Kod, opublikowany kilka dni temu przez programistów Adriana Pastora i Petko Petkova, wykorzystuje mechanizmy znajdujące się w dwóch technologiach: w protokole UPnP (Universal Plug and Play; protokół stosowany przez wiele systemów operacyjnych, ułatwiający współpracę z urządzeniami sieciowymi) i w oprogramowaniu Flash (oprogramowanie Adobe używane do obsługiwania multimediów).

Zmuszając ofiarę do przeglądania pliku Flash, włamywacz wykorzystuje protokół UPnP do zmiany podstawowego serwera DNS, który jest wykorzystywany przez routery do odnajdywania w internecie komputerów. Używając tej metody włamywacz może przekierowywać żądania użytkowników i wysyłać je do spreparowanych przez siebie witryn.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych

W ten sposób użytkownik może być np. po wpisaniu przez siebie adresu www.nazwabanku.pl kierowany nie do właściwej witryny obsługiwanej przez ten bank, ale do podstawionej, udającej ten bank witryny.

W efekcie działań włamywacza, router zainstalowany w domu albo w firmie zamienia się w specyficznego rodzaju komputer zombie, który może być w dowolnym czasie wykorzystany do przeprowadzenia ataku. Biorąc pod uwagę fakt, że znakomita większość routerów (szczególnie domowych) wspiera protokół UPnP, jest to bardzo poważny problem.

Użytkownicy mogą się bronić przed takimi atakami, wyłączając w routerze obsługę protokołu UPnP (który jest najczęściej domyślnie włączony). Jednak trzeba się wtedy liczyć z tym, że szereg aplikacji (takich jak np. Skype czy IM) przestanie działać i użytkownik będzie zmuszony do ręcznego konfigurowania routera.