Новый троян атакует клиентские системы через DHCP сервер

Новый троян атакует клиентские системы через DHCP сервер

Обнаружено новое троянское приложение, создающее поддельный DHCP сервер в локальной сети.

SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:

  • Устанавливает время резервирования IP на 1 час
  • Устанавливает MAC назначение на широковещательный адрес
  • Не указывает доменное имя DNS
  • Поле options не содержит опцию END после PAD
  • В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

 

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!