Обнаружен новый троян, атакующий DNS

Компании Symantec и McAfee одновременно сообщили об обнаружении новой версии трояна DNSChanger Trojan, атакующего системы, работающие с доменными именами. По классификации Symantec, новый вредоносный код получил название Trojan.Flush.M, он создает поддельный DHCP-сервер, который якобы отвечает за динамическое присвоение IP-адресов компьютерам в сети.

Скомпрометированная машина отсылает другим участникам сети DHCP-пакеты с запросом на повторное присвоение адресов. В итоге новый трафик может проходить по измененному маршруту, например через узел, прослушиваемый злоумышленником.

Эксперты говорят, что если данному трояну удастся переконфигурировать сеть, то он сможет произвести замену локальных DNS-серверов, либо сбросить текущие DNS-установки на маршрутизаторах.

В Symantec сообщают, что пока троян не получил серьезного распространения, однако в случае популярности, он может доставить немало бед и проблем пользователям и системным администраторам.

"Если троян окажется достаточно быстрым для отправки DHCР-пакетов, то при наличии некоторого везения, он сможет изменить конфигурацию большой сети и многих ее компонентов. В случае наличия трояна в сети, между ним и настоящим DHCP-сервером развернется борьба. В том случае, если легальный DCHP-сервер будет первым, то троян окажется бессильным. Если же при назначении адресов будет первым троян, то он сможет направить клиентские компьютеры на поддельные DNS-серверы. В этом случае, даже те пользователи, компьютеры которых не инфицированы, рискуют отправиться на мошеннические сайты", - говорит Элиа Флорио, представитель Symantec.

Для того, чтобы попытаться обнаружить троян в сети, антивирусные компании советуют администраторам просканировать локальный диапазон IP-адресов в сетях на наличие сторонних DHCP-пакетов.

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft устранила баг WSUS, мешающий Windows получить майские патчи

Microsoft устранила баг, препятствовавший установке майского набора патчей на отдельные устройства под управлением операционной системы Windows. Оказалось, что проблема крылась в службе Windows Server Update Services (WSUS).

С багом столкнулись как клиентские, так и серверные платформы — от Windows 7 SP1 и Windows Server 2008 SP2 до последних релизов ОС (Windows 10 20H2 и Windows Server 20H2).

Список обновлений, установку которых блокировал баг, выглядит так:

  • KB5003173 (Windows 10/Server версии 20H2/2004)
  • KB5003169 (Windows 10/Server версии 1909)
  • KB5003171 (Windows 10 версии 1809 и Windows Server 2019)
  • KB5003174 (Windows 10 версии 1803)
  • KB5003197 (Windows 10 версии 1607 и Windows Server 2016)
  • KB5003172 (Windows 10 версии 1507)
  • KB5003209 (Windows 8.1 и Windows Server 2012 R2)
  • KB5003208 (Windows Server 2012)
  • KB5003233 (Windows 7 и Windows Server 2008 R2 SP1)
  • KB5003210 (Windows Server 2008 SP2)

«При проверке обновлений через Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager некоторые устройства не получали уведомления о доступности патчей», — объяснили в Microsoft.

Напомним, что в мае разработчики устранили 55 уязвимостей, 4 из которых получили статус критических, а ещё три использовались в реальных кибератаках.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru