Новый троян работает DHCP-сервером

Эксперты обнаружили новый троян — DNSChanger, способный взаимодействовать с широким спектром устройств, подключенных к локальной сети. DNSChanger активно распространяется некоторое время. Он обратил на себя внимание, когда начал атаковать ADSL модемы. Как следует из названия – это программное обеспечение, которое меняет настройки для DNS серверов.

Это приложение эволюционировало со смены настроек для DNS серверов в операционных системах (Windows и Mac) до смены настроек DNS на ADSL модемах/маршрутизатора.

Фактически — это следующий шаг в развитии DNSChanger: установка поддельного DHCP сервера в сети. Это ПО устанавливает на системе легитимный драйвер NDISProt, что позволяет отправку и прием Ethernet фреймов. После установки драйвера, злонамеренное ПО эмулирует DHCP сервер. Приложение прослушивает сетевой трафик и при получении DHCP Discoverу пакета, отправляет свой DHCP Offer пакет. Предложенная аренда подобным DHCP сервером содержит вредоносные DNS сервера.

После смены DNS сервера на злонамеренный, злоумышленники могут перенаправить пользователей на поддельные сайты и перехватить логины и пароли, или, при наличии уязвимости в браузере, скомпрометировать целевую систему. Троянское приложение, идентифицируемое Symantec как Trojan.Flush.M создает некоторые файлы. Затем создает записи в реестре и создает новую службу на системе ( driversNdisprot.sys ).