Zatímco u případů z minulého roku se jednalo o zařízení TP-LINK a změna spočívala v přenastavení DNS serveru používaného samotným zařízením, tentokrát se jedná o útok, při kterém je změněno chování DHCP serveru a to tak, že je přímo koncovým stanicím přidělována jako IP adresa primárního DNS 91.212.124.159, jako sekundární pak standardní DNS od Google, tedy 8.8.8.8. Tuto změnu však nelze ve webovém rozhraní routeru poznat a na routeru ji lze zjistit přihlášením přes telnet a zadáním příkazu show lan.

Podle informací od uživatele, který nám router dodal, pak počítače v síti začnou zobrazovat veliké množství reklamních oken s erotickým obsahem. Zároveň prý došlo k instalaci trojského koně. Zatím není znám mechanismus, díky němuž ke změně došlo, ale na routeru nebylo v době útoku výchozí heslo, ačkoliv použité heslo bylo poměrně triviální. Podle informací dostupných na internetu má tento router ve výchozím nastavení dostupnou konfiguraci přes WAN port. Na tuto informaci se chceme proto zaměřit při další analýze útoku. Zatím tedy pouze doporučujeme všem uživatelům, kteří používají routeru Edimax AR-7084gB, aby provedli kontrolu DNS serverů, jenž jsou přidělovány jejich koncovým stanicím. V OS Windows tak lze učinit například z příkazového řádku spuštěním příkazu ipconfig /all.