Новый троян с DHCP и DNS поражает всю локальную сеть с одного компьютера
17.03.2009
Эксперты в области сетевой безопасности предупреждают о возможном появлении нового типа вредоносного приложения, способного преодолевать настройки безопасности широкого спектра подключенных к локальной сети устройств, причем даже тех из них, где такие настройки заданы аппаратно и которые работают вне среды операционных систем Windows.
Будучи активированным, такой троян настраивает на инфицированной машине вредоносный DHCP-сервер. После этого он принуждает другие сетевые устройства в локальной сети использовать опасный DNS-сервер вместо того, который задан администратором. Фальшивый DNS-сервер, в свою очередь, отправляет сетевые устройства на подставные веб-сайты, которые порой очень трудно отличить от настоящих.
О появлении новой разновидности подобного трояна под названием Trojan.Flush.M предупредил недавно технический директор SANS Internet Storm Center Йохан Ульрих. Среди изменений по сравнению с обнаруженным в начале декабря более ранним экземпляром, можно отметить то, что новый штамм больше не задает определенного имени DNS, что затрудняет обнаружение поддельного DHCP-сервера.
Одним из способов противостоять атаке является аппаратная прошивка настроек DNS в твой iPhone, компьютер, или другое сетевое устройство. Это позволит обходить поддельный DNS-сервер даже если устройству посчастливилось соединиться с самозваным DHCP-сервером. Кроме того, администраторам рекомендуется отслеживать соединения на все DNS-серверы, которые не входят в список официальных. И наконец, можно внести в черный список IP-адреса 64.86.133.51 и 63.243.173.162, которые используются последними версиями трояна. Однако последняя мера является наименее эффективной, поскольку следующая его разновидность наверняка перейдет на использование других адресов.
