Новый троян заражает локальную сеть - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
p2u

Новый троян заражает локальную сеть

Recommended Posts

p2u

18/03/2009 10:56

Эксперты по интернет-безопасности сообщают об обнаружении новых атак вредоносного ПО, которое при попадании внутрь локальной сети может повлиять на работу большого количества устройств. Вирус под названием Trojan.Flush.M создаёт фальшивый DHCP-сервер в локальной сети. После этого другие подключённые к сети устройства будут использовать ложные DNS-серверы, которые направляют пользователей на различные фишинговые веб-сайты, сообщает The Register. По словам Йоханнеса Ульриха (Johannes Ullrich), главного технолога центра по интернет-безопасности SANS Internet Storm Center, Trojan.Flush.M имеет ряд улучшений по сравнению со своим предшественником, который был обнаружен в начале декабря 2008 г. Так, теперь вирус не указывает имя DNS-сервера, из-за чего фальшивый DHCP сложнее обнаружить.

http://www.uinc.ru/news/sn11625.html

P.S.: Дополнительно:

Новая версия вредоносного приложения осуществляет следующие действия:

* Устанавливает время резервирования IP на 1 час

* Устанавливает MAC назначение на широковещательный адрес

* Не указывает доменное имя DNS

* Поле options не содержит опцию END после PAD

* В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit

Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

Источник: securitylab.ru

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

Так это уже фактически неновость: см. http://www.cybersecurity.ru/news/60537.html

Тут на форуме Admin выкладывал эту же новость, вот она.

Неужели так называемая "новая версия" намного злее предыдущей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Каждый день выдаются новости, которые уже не новость. Например, что серьёзная часть ЖЖ аккаунтов хакнутые я не постил, потому что предполагал, что это все так уже знают... ;)

Неужели так называемая "новая версия" намного злее предыдущей?

Вирус теперь не указывает имя DNS-сервера, из-за чего фальшивый DHCP сложнее обнаружить. Мне кажется, что это достаточно серьёзное 'улучшение'...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×