Новый троян атакует клиентские системы через DHCP сервер

image

Теги: троян

Обнаружено новое троянское приложение, создающее поддельный DHCP сервер в локальной сети.

SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:

  • Устанавливает время резервирования IP на 1 час
  • Устанавливает MAC назначение на широковещательный адрес
  • Не указывает доменное имя DNS
  • Поле options не содержит опцию END после PAD
  • В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

 


comments powered by Disqus