Перейти к содержанию
p2u

Новый троян заражает локальную сеть

Recommended Posts

p2u

18/03/2009 10:56

Эксперты по интернет-безопасности сообщают об обнаружении новых атак вредоносного ПО, которое при попадании внутрь локальной сети может повлиять на работу большого количества устройств. Вирус под названием Trojan.Flush.M создаёт фальшивый DHCP-сервер в локальной сети. После этого другие подключённые к сети устройства будут использовать ложные DNS-серверы, которые направляют пользователей на различные фишинговые веб-сайты, сообщает The Register. По словам Йоханнеса Ульриха (Johannes Ullrich), главного технолога центра по интернет-безопасности SANS Internet Storm Center, Trojan.Flush.M имеет ряд улучшений по сравнению со своим предшественником, который был обнаружен в начале декабря 2008 г. Так, теперь вирус не указывает имя DNS-сервера, из-за чего фальшивый DHCP сложнее обнаружить.

http://www.uinc.ru/news/sn11625.html

P.S.: Дополнительно:

Новая версия вредоносного приложения осуществляет следующие действия:

* Устанавливает время резервирования IP на 1 час

* Устанавливает MAC назначение на широковещательный адрес

* Не указывает доменное имя DNS

* Поле options не содержит опцию END после PAD

* В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

Источник: securitylab.ru

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

Так это уже фактически неновость: см. http://www.cybersecurity.ru/news/60537.html

Тут на форуме Admin выкладывал эту же новость, вот она.

Неужели так называемая "новая версия" намного злее предыдущей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Каждый день выдаются новости, которые уже не новость. Например, что серьёзная часть ЖЖ аккаунтов хакнутые я не постил, потому что предполагал, что это все так уже знают... ;)

Неужели так называемая "новая версия" намного злее предыдущей?

Вирус теперь не указывает имя DNS-сервера, из-за чего фальшивый DHCP сложнее обнаружить. Мне кажется, что это достаточно серьёзное 'улучшение'...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Кирилл Иванов
      Уличные елки от производителя Green Trees пытаемся продвинуть в топ за короткие сроки, как это эффективно сделать без санкций со стороны поисковиков?
    • Mawa27
      Всем привет)Ребят,независимо от опыта, советую выбирать надежные,рейтинговые игровые заведения) мое любимое казино это дрифт казино http://driftcasino1.mobi/ , регистрация не займет и минуты)
    • Booi77Casino
    • demkd
      это я еще не смотрел.
    • PR55.RP55
      uVS 4.1.8
      Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети ) ----------------
      Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\start.exe - Ярлык.lnk
                                  
      ------------------
      Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
      ------------------
      В самом ярлыке:
      Объект: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова\start.exe"
      Рабочая папка: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова" ----------------------------------- При обычном запуске ( Запустить под текущим пользователем )  - этой записи нет. И соответственно ярлык не удаляется.  
×