Новый троян атакует клиентские системы через DHCP сервер

image

Теги: троян

Обнаружено новое троянское приложение, создающее поддельный DHCP сервер в локальной сети.

SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:

  • Устанавливает время резервирования IP на 1 час
  • Устанавливает MAC назначение на широковещательный адрес
  • Не указывает доменное имя DNS
  • Поле options не содержит опцию END после PAD
  • В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

 


или введите имя

CAPTCHA
Страницы: 1  2  3  
XeoniuMiX
18-03-2009 12:51:14
Ну не новость... Новый троян атакуетДавненько уже помнится, в 2000-2001, нарывался на моменты, когда вместо введённого mail.ru я попадал куданить на porno.com... Не знаю точно, был ли это вирус или троян, но сам принцип уже был изобретён и успешно использовался ))))) А как известно, главное идея!
0 |
Bad-XxX
18-03-2009 13:08:59
изучи содержимое файла /etc/hosts и поймёшь, что это - нечто другое.
0 |
bot
18-03-2009 13:24:25
только в винде он другой)) уже непомню.... но вроде %windir%/hosts.ini
0 |
XeoniuMiX
18-03-2009 13:35:55
Ну что то типа C:\WINDOWS\system32\drivers\etc\hosts
0 |
XeoniuMiX
18-03-2009 13:29:10
Ну, сейчас то я знаю в чём проблема, что надо делать, а вот тогда... Говорю ж давно было! Да и склоняюсь именно к левому дхцп, потому что проблема возникала не постоянно, а изредка.
0 |
XeoniuMiX
18-03-2009 18:48:53
2 Антитролль Рад что смог развеселить тебя. А теперь расскажи-ка в чём твоя проблема? У тебя в голове 18 осколков от мины и ты слышишь голоса? Расскажи над чем ржёш, я, если не прав, тоже посмеюсь!
0 |
Школьник
19-03-2009 09:58:36
ДХЦП служба раздающая ип автоматом из заданного диапазона. При чем тут другой сайт?
0 |
Детскосадовец
19-03-2009 10:38:47
Тема dhcp не раскрыта. Садись, двойка. Сервер dhcp может еще кучу параметров клиенту выдать и в частности dns (как описано выше для умеющих читать).
0 |
Антитролль
20-03-2009 13:31:29
DHCP(Dуnamic Host Configuration Protocol) в русской транскрипции Дэ-Аш-Си-Пи Понятно, дхцп-клоун?Читай и если не знаешь буржуйского, то хотя бы не коверкай русского
0 |
21-03-2009 04:06:21
Ухахах, тролль блеснул знанием англицкого, йопта! Читай и если не знаешь буржуйского, то хотя бы не коверкай русского Сказал тролль коверкая русский йэзыг: пропустил 2 (две) запятые, не поставил точку в конце, дефис пропустил...
0 |
Детскосадовец
19-03-2009 10:42:33
Хотя перед dhcp клиент и беззащитен, админ сразу заподозрит неладное при появлении второго dhcp, а если еще и клиенты со своих резерваций слетят, то он на 100% засветится. ИМХО, что бы перекинуть клиента на левый урл мутить фигню в левыми dhcp, dns муторно... можно "окучить" браузер и т.п. приложения/механизмы.
0 |
дштгчгыук
18-03-2009 13:47:04
Было еще что троянец садился службой-прокси или сок5, и в бровзерах правил настройки на локалхост. И начиналось.....
0 |
На огонек зашел
18-03-2009 17:01:55
Сексик он назывался. Редиректил все запросы через проксю зарубежом. Дико глючил и всегда имел забитый канал (дюже популярный трой)
0 |
18-03-2009 13:16:18
под wine не заработает, можете не пробовать, т.к. порты < 1024 юзер не откроет мухахахаХахА
0 |
18-03-2009 13:22:02
А причем здесь wine ? Это подделка DHCP, к системе никакого отношения не имеет
0 |
XeoniuMiX
18-03-2009 13:34:19
+1 Конь, хоть и сидит под лин, видимо не понял о чём идёт речь! Даже если ты будеш сидеть под QNX, тебе поддельный дхцп выдаст левые ДНС. Захочеш зайти на вконтакте, попадёш на полностью копирующую его (вконтакт) главную страничку, введёш пароль и логин и всё - увели аккаунт... Это в лучшем случае. А так и на бабло могут кинуть!
0 |
дштггыук
18-03-2009 13:49:29
О, это как он с со своего же компа получит аренду ип? Этот левый дшцп для других компов в сети.
0 |
Pers
18-03-2009 14:04:43
DHCP работает через UDP, учите матчасть.
0 |
дштгчгыук
18-03-2009 14:19:46
Ты подумал бы перед тем как писать. Нахрена ему получать адрес по ип, если он уже по ип работает, то есть ип адрес имеет?
0 |
Legat
18-03-2009 18:15:43
ну и кому надо думать? Ты бы внимательно прочитал как он работает и какой адрес у хоста, пока он не получил адрес
0 |
18-03-2009 14:04:47
а, йа подумал что все зараженные компы открывают дхцпы чтоб других заражать. не? ну ладно...
0 |
errr
18-03-2009 14:19:49
wine не работает под рутом??? что кривая поделка этот ваш wine?...
0 |
18-03-2009 14:21:44
wine не работает под рутом??? что кривая поделка этот ваш wine?... а какой идиот будет закрытый вендовый код запускать под рутом?
0 |
18-03-2009 13:48:47
DHCP для домохозяек. Нормальные люди все прописывают статически.
0 |
дштгчгыук
18-03-2009 13:51:08
DHCP для домохозяек. Нормальные люди все прописывают статически. А вдруг будет арпспуфинг? Арпы мира тоже статически?
0 |
18-03-2009 13:56:28
Не понял. Речь вроде о локалке идет. Если ты имел ввиду сниффинг, то естественно, арп желательно статический.
0 |
дштгрщт
18-03-2009 14:01:43
Не, я не о привязке по маку. я об отравлении арп кешей, пофиг будет ипшник статический.
0 |
37315
18-03-2009 16:54:32
в вашем сообщении 0 полезных байт. arp poison атаки направлены на отравление локальной arp таблицы, никакого отношения к пассивному снифингу это не имеет. Да, после удачно проведённой атаки интерфейс атакующего ставится в promisc mode, что бы собирать трафег.
0 |
sdv
18-03-2009 23:54:09
Классическая man-in-the-middle включает в себя отравление кэшей жертв(ы). А дальше все просто, promisc на карте, сниффер и софт для проброса пакетов дальше. Спасает от такого сниффинга именно статические MAC. В общем я даже не знаю, сколько в Вашем собственном сообщении этих самых полезных байт.
0 |
sdv
18-03-2009 23:49:19
> Арпы мира тоже статически? А зачем знать что-то кроме MAC шлюзов и узлов своей локалки? ИМХО Вы слабо представляете себе работу сетей И вообще, ARP - это протокол.. Арпы мира, говорите? ню-ню...
0 |
XeoniuMiX
18-03-2009 14:00:04
Согласен, дома и в офисах только статика! А вот различные кафе с вай-фай? Ну это просто к примеру! дштггыук Ну да! А на локальном можно, как писали выше и hosts подправить ))
0 |
18-03-2009 14:07:55
А что мешает свой DNS-сервер поднять? Пусть локальные домены у прова берет, а внешки с доверенного DNS-сервера. А с вай-фай совсем беда) Тут все на свой страх и риск.
0 |
artemua
18-03-2009 16:32:18
Конечно для домохозяек и если в сети под несколько тысяч абонентов. Настоящие админы обзванивают всех и рссказывают как им сменить адрес и какие надо маршруты прописать статиками!
0 |
18-03-2009 14:23:10
"Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162." хы..может запросы? XD
0 |
03376
18-03-2009 21:17:20
нет. настоящие суровые тру-пользователи генерируют только DNS-трафик, лол
0 |
19-03-2009 07:46:45
хы.. жалко мне этих тру-пользователей, нуб )
0 |
artemua
18-03-2009 16:30:12
Помоему options82+ DHCP Snooping снимают данную проблему(правда не до конца она остаётся но в рамках одного управляемого порта, а не всей сети)
0 |
Страницы: 1  2  3