SANS Internet Storm Center сообщает об обнаружении нового троянского приложения, которое создает поддельный DHCP сервер в локальной сети. Основная цель подобного DHCP сервера – распространение клиентам DNS серверов, контролируемых злоумышленниками. В декабре прошлого года SecurityLab сообщал своим читателям о вредоносном приложении Trojan.Flush.M, которое осуществляло подобные действия. Новый экземпляр имеет ряд улучшений по сравнению со своим предшественником. Новая версия вредоносного приложения осуществляет следующие действия:
* Устанавливает время резервирования IP на 1 час
* Устанавливает MAC назначение на широковещательный адрес
* Не указывает доменное имя DNS
* Поле options не содержит опцию END после PAD
* В отличие от Trojan.Flush.M, устанавливается BootP Broadcast Bit
Трафик пользователей перенаправляется на DNS сервера 64.86.133.51 и 63.243.173.162.
Источник