Trojansk hest ændrer DNS-indstilling

Artiklen blev oprindeligt publiceret den 2/10/2003

En trojansk hest udnytter et sikkerhedshul i Internet Explorer til at ændre pc'ens DNS-indstilling, så brugere kan føres til forkerte web-steder. Man skal besøge et særligt websted for at blive ramt.

Den trojanske hest, der har fået navnet Qhosts, ændrer i Windows' registreringsdatabase, så pc'en får en ny DNS-server. DNS står for opgaven med at oversætte domænenavne til IP-adresser. Endvidere ændrer den trojanske hest også på pc'ens såkaldte Hosts-fil, der indeholder nogle faste oversættelser mellem bestemte domænenavne og IP-adresser. På den måde kommer man ikke til www.google.com, når man indtaster den adresse i browseren, men i stedet til en anden server.

Qhosts anvender en sårbarhed i Internet Explorer, som endnu ikke er rettet. Den kræver, at offeret besøger et web-sted, der udnytter sårbarheden. Et besøg vil medføre, at den trojanske hest bliver placeret og afviklet på offerets pc.

Links

• Beskrivelse af Qhosts fra Network Associates
• Beskrivelse af Qhosts fra Symantec
• Tidligere DK-CERT-artikel om sårbarheden