Компании Symantec и McAfee обнаружили новую разновидность трояна DNSChanger Trojan, который поражает системы, работающие с доменными именами. Symantec назвала новый вредоносный код Trojan.Flush.M. Данный вирус создает фальшивый DHCP-сервер, который задает IP-адреса сетевым компьютерам.
Пораженный компьютер отправляет прочим сетевым машинам DHCP-пакеты, которые присваивают им другие адреса. Таким образом все данные могут проходить по новосозданному мошенниками маршруту, например через узел, где они будут прослушиваться.
По словам специалистов по IT-безопасности, в случае, если Trojan.Flush.M сможет перестроить сетевой трафик, далее он произведет замену локальных DNS-серверов или поменяет существующие DNS-настройки на маршрутизаторах.
Эксперты из Symantec говорят, что пока новый троян встречается редко, тем не менее, в случае его более масштабной экспансии, проблем и убытков от него не оберешься.
"Если троян будет быстро отсылать DHCР-пакеты, скорее всего, ему удастся изменить конфигурацию большой сети и многих ее компонентов. При попадании трояна в сеть, между ним и настоящим DHCP-сервером начнется борьба. Если первый шаг будет за настоящим DCHP-сервером, троян не окажет никакого вредоносного воздействия. Если же троян начнет первым назначать адреса, то впоследствии он сможет направить компьютеры пользователей на поддельные DNS-серверы. В таком случае даже пользователи со «здоровыми» компьютерами могут привлекаться на злонамеренные сайты", - говорит Элиа Флорио, представитель Symantec.
В качестве проверки сети на наличие нового трояна представители Symantec и McAfee советуют просканировать локальные IP-адреса на предмет сторонних DHCP-пакетов.
