Rootkit przechwytuje DHCP

Pojawi艂a si臋 odmiana rootkita Alureon, kt贸ra przechwytuje DHCP w sieciach lokalnych. No艣nikiem rootkita jest Net-Worm.Win32.Rorpian, kt贸ry tworzy na no艣nikach przeno艣nych plik autorun.inf oraz pliki .lnk wskazuj膮ce na rundll32.exe z parametrami, kt贸re powoduj膮 uruchomienie biblioteki DLL nale偶膮cej do rootkita.
Je艣li taki zara偶ony no艣nik zostanie uruchomiony w sieci lokalnej, szkodliwy kod szuka serwera DHCP, skanuje sie膰 zbieraj膮c informacje o adresach IP i uruchomia w艂asny serwer DHCP. Je艣li jaki艣 komputer skieruje zapytanie do DHCP z艂o艣liwy serwer stara si臋 odpowiedzie膰 pierwszy, wysy艂aj膮c w odpowiedzi jeden ze znalezionych wcze艣niej adres贸w IP do kt贸rego bramka prowadzi przez nale偶膮cy do cyberprzest臋pc贸w serwer DNS. Je艣li nast臋pnie u偶ytkownik komputera, kt贸ry skorzysta艂 ze z艂o艣liwego DHCP spr贸buje po艂膮czy膰 si臋 z sieci膮 zewn臋trzn膮, zostanie przekierowany na fa艂szyw膮 witryn臋, kt贸ra zaleci mu zaktualizowanie przegl膮darki. Rzekoma aktualizacja to w rzeczywisto艣ci szkodliwy kod. Po zara偶eniu maszyny ustawienia DNS s膮 resetowane tak, by wskazywa艂y na serwer DNS Google'a.

殴r贸d艂o:
ArcaBit