Новый троян работает DHCP-сервером
Эксперты обнаружили новый троян, способный взаимодействовать с широким спектром устройств, подключенных к локальной сети. Эксплоит перенаправляет на вредоносные сайты даже тех пользователей, чьи машины хорошо защищены и полностью пропатчены, причем касается это не только компьютеров под управлением ОС Windows.
Троян представляет собой новую разновидность DNSChanger, известного своей способностью изменять настройки DNS на различных системах, в том числе – Mac. По информации McAfee, одна зараженная трояном машина способна инфицировать сотни компьютеров из той же локальной сети, изменив на них DHCP настройки.
Примерный сценарий проведения атаки выглядит так:
Зараженный трояном компьютер подключается к публичной точке доступа Wi-Fi или к корпоративной локальной сети.
К этой же сети подключается еще один человек, полностью пропатченный компьютер которого под управлением ОС Linux посылает запрос на присвоение IP-адреса.
Зараженный компьютер посылает команду DHCP, при помощи которой инструктирует вновь подключенную машину осуществлять маршрутизацию запросов через подставной DNS-сервер.
Владелец компьютера под управлением Linux больше не может доверять тем сайтам, адреса которых набирает в адресной строке своего браузера. Даже если в этой строке значится bankofamerica.com, реальным адресом будет адрес вредоносного сайта.
Единственный способ предотвратить атаку – вручную задать настройки DNS на своем компьютере. Поскольку троян не использует каких-то конкретных уязвимостей, присущих ограниченному кругу машин, возможности его распространения довольно широки. Троян устанавливает в систему драйвер ndisprot.sys, который осуществляет мониторинг сетевого трафика на предмет DHCP-запросов, перехватывает их и подменяет IP-адресом фиктивного сервера.