Информационная безопасность компьютерных систем и защита конфиденциальных данных
Новости

Новая угроза для служб DNS в локальных сетях

автор: Administrator | 17 марта 2009, 22:13 | Просмотров: 4682
теги: вирус, DHCP, сервер, Новости, Интернет, угроза, запросы

Эксперты по безопасности Интернета обнаружили новую опасную угрозу в виде еще одной вариации вируса, получившего название Trojan.Flush.M. При попадании внутрь локальной сети этот вирус создает фальшивый DHCP-сервер, который затем переключает на себя все запросы от клиентских машин. После этого клиентские ПК начинают использовать ложные DNS-серверы, поэтому часто попадают на поддельные веб-сайты, внешне неотличимые от настоящих.

Новая версия вируса отличается тем, что:
>> не указывает имя домена DNS в передаваемых параметрах – это резко затрудняет обнаружение фальшивого DHCP-сервера в сети
>> устанавливает время владения DHCP протокола на 1 час
>> он устанавливает адресата MAC на широковещательный адрес, быстрее чем адрес MAC клиента DHCP
>> поле опций не содержит опцию END, выполняемую опциями PAD
>> установлен Широковещательный BootP бит

Главная угроза нового вируса, по мнению Йоханнеса Ульриха (Johannes Ullrich) из центра предупреждения угроз SANS Internet Storm Center, состоит в компрометации систем, которые сами по себе не подвержены уязвимости. Дело в том, что фальшивый сервер использует протокол DHCP (Dynamic Host Configuration Protocol), изначально предназначенный для автоматической настройки IP-адресов и параметров службы разрешения имен DNS (Domain Name System) на клиентских машинах, которые не могут самостоятельно отличить настоящий DHCP-сервер от поддельного без специальной настройки. В результате зараженная машина передает остальным системам адрес DNS-сервера злоумышленников – это позволяет перенаправлять запросы к благонадежным сайтам на любые, в том числе потенциально опасные веб-сайты. Новая версия вируса отличается тем, что не указывает имя домена DNS в передаваемых параметрах – это резко затрудняет обнаружение фальшивого DHCP-сервера в сети.