Эксперты обнаружили новый троян, способный взаимодействовать с широким
спектром устройств, подключенных к локальной сети. Эксплоит перенаправляет на
вредоносные сайты даже тех пользователей, чьи машины хорошо защищены и полностью
пропатчены, причем касается это не только компьютеров под управлением ОС Windows.
Троян представляет собой новую разновидность DNSChanger, известного своей
способностью изменять настройки DNS на различных системах, в том числе – Mac. По
информации McAfee, одна зараженная трояном машина способна инфицировать сотни
компьютеров из той же локальной сети, изменив на них DHCP настройки.
Примерный сценарий проведения атаки выглядит так:
- Зараженный трояном компьютер подключается к публичной точке доступа
Wi-Fi или к корпоративной локальной сети. - К этой же сети подключается еще один человек, полностью пропатченный
компьютер которого под управлением ОС Linux посылает запрос на присвоение
IP-адреса. - Зараженный компьютер посылает команду DHCP, при помощи которой
инструктирует вновь подключенную машину осуществлять маршрутизацию запросов
через подставной DNS-сервер. - Владелец компьютера под управлением Linux больше не может доверять тем
сайтам, адреса которых набирает в адресной строке своего браузера. Даже если
в этой строке значится bankofamerica.com, реальным адресом будет адрес
вредоносного сайта.
Единственный способ предотвратить атаку – вручную задать настройки DNS на
своем компьютере. Поскольку троян не использует каких-то конкретных уязвимостей,
присущих ограниченному кругу машин, возможности его распространения довольно
широки. Троян устанавливает в систему драйвер ndisprot.sys, который осуществляет
мониторинг сетевого трафика на предмет DHCP-запросов, перехватывает их и
подменяет IP-адресом фиктивного сервера.