Эксперты обнаружили новый троян, способный взаимодействовать с широким
спектром устройств, подключенных к локальной сети. Эксплоит перенаправляет на
вредоносные сайты даже тех пользователей, чьи машины хорошо защищены и полностью
пропатчены, причем касается это не только компьютеров под управлением ОС Windows.

Троян представляет собой новую разновидность DNSChanger, известного своей
способностью изменять настройки DNS на различных системах, в том числе – Mac. По
информации McAfee, одна зараженная трояном машина способна инфицировать сотни
компьютеров из той же локальной сети, изменив на них DHCP настройки.

Примерный сценарий проведения атаки выглядит так:

  • Зараженный трояном компьютер подключается к публичной точке доступа
    Wi-Fi или к корпоративной локальной сети.
  • К этой же сети подключается еще один человек, полностью пропатченный
    компьютер которого под управлением ОС Linux посылает запрос на присвоение
    IP-адреса.
  • Зараженный компьютер посылает команду DHCP, при помощи которой
    инструктирует вновь подключенную машину осуществлять маршрутизацию запросов
    через подставной DNS-сервер.
  • Владелец компьютера под управлением Linux больше не может доверять тем
    сайтам, адреса которых набирает в адресной строке своего браузера. Даже если
    в этой строке значится bankofamerica.com, реальным адресом будет адрес
    вредоносного сайта.

Единственный способ предотвратить атаку – вручную задать настройки DNS на
своем компьютере. Поскольку троян не использует каких-то конкретных уязвимостей,
присущих ограниченному кругу машин, возможности его распространения довольно
широки. Троян устанавливает в систему драйвер ndisprot.sys, который осуществляет
мониторинг сетевого трафика на предмет DHCP-запросов, перехватывает их и
подменяет IP-адресом фиктивного сервера.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии