Новый троян заражает локальную сеть

[p2u 824]

18/03/2009 10:56

Эксперты по интернет-безопасности сообщают об обнаружении новых атак вредоносного ПО, которое при попадании внутрь локальной сети может повлиять на работу большого количества устройств. Вирус под названием Trojan.Flush.M создаёт фальшивый DHCP-сервер в локальной сети. После этого другие подключённые к сети устройства будут использовать ложные DNS-серверы, которые направляют пользователей на различные фишинговые веб-сайты, сообщает The Register. По словам Йоханнеса Ульриха (Johannes Ullrich), главного технолога центра по интернет-безопасности SANS Internet Storm Center, Trojan.Flush.M имеет ряд улучшений по сравнению со своим предшественником, который был обнаружен в начале декабря 2008 г. Так, теперь вирус не указывает имя DNS-сервера, из-за чего фальшивый DHCP сложнее обнаружить.

http://www.uinc.ru/news/sn11625.html

P.S.: Дополнительно:

Новая версия вредоносного приложения осуществляет следующие действия:

* Устанавливает время резервирования IP на 1 час

* Устанавливает MAC назначение на широковещательный адрес

* Не указывает доменное имя DNS

* Поле options не содержит опцию END после PAD

* В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

Источник: securitylab.ru

Paul

[Андрей-001 1099]

p2u

Так это уже фактически неновость: см. http://www.cybersecurity.ru/news/60537.html

Тут на форуме Admin выкладывал эту же новость, вот она.

Неужели так называемая "новая версия" намного злее предыдущей?

[p2u 824]

Каждый день выдаются новости, которые уже не новость. Например, что серьёзная часть ЖЖ аккаунтов хакнутые я не постил, потому что предполагал, что это все так уже знают...

Неужели так называемая "новая версия" намного злее предыдущей?

Вирус теперь не указывает имя DNS-сервера, из-за чего фальшивый DHCP сложнее обнаружить. Мне кажется, что это достаточно серьёзное 'улучшение'...

Paul