Onderzoekers hebben malware ontdekt die de dns-instellingen van het systeem aanpast zodat gebruikers de bijbehorende adware niet kunnen verwijderen. Ook schakelt de malware ipv6 uit en voegt het een rootcertificaat toe. De dns-malware wordt Extenbro genoemd en is onderdeel van een adware-bundel.

Deze adware-bundel wordt bijvoorbeeld via gratis downloadsites aangeboden en bevat naast de adware ook nog één of meer andere programma's. Gebruikers denken dat het aangeboden bestand alleen het gewenste programma bevat, maar tegelijkertijd wordt ook de adware geïnstalleerd. Om te voorkomen dat gebruikers de adware verwijderen bevat de bundel ook de "changer" Extenbro.

Deze malware wijzigt de ingestelde dns-servers. Op deze manier wordt voorkomen dat gebruikers de websites van antivirus- en securitybedrijven kunnen benaderen.In tegenstelling tot andere changers die twee dns-servers instellen, voegt Extenbro vier dns-servers toe. Gebruikers moeten dan ook op de Geavanceerd-knop van de dns-tab klikken om de twee andere servers te zien, zo meldt antimalwarebedrijf Malwarebytes.

De malware maakt ook gebruik van de Taakplanner om de dns-instellingen weer aan te passen zodra de gebruiker de originele waardes heeft teruggezet. Verder installeert Extenbro een eigen rootcertificaat waarmee het bijvoorbeeld https-verkeer kan onderscheppen en schakelt het ipv6 uit. Op deze manier wordt het systeem gedwongen de nieuw ingestelde dns-servers te gebruiken. "Vanuit ons standpunt lijkt dit misschien overdreven, maar de aanvallers achter deze aanval hebben in het verleden vaker agressieve tactieken toegepast", zegt onderzoeker Pieter Arntz.