Новый троян атакует клиентские системы через DHCP сервер

SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:

• Устанавливает время резервирования IP на 1 час 
• Устанавливает MAC назначение на широковещательный адрес 
• Не указывает доменное имя DNS 
• Поле options не содержит опцию END после PAD 
• В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit 
• Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.

Источник: www.securitylab.ru