Опять угрожают DNS
Очередная угроза: ПО для подмены DHCP серверов и смены настроек DNS
Очередная угроза: ПО для подмены DHCP серверов и смены настроек DNS

Symantec опубликовал технические подробности интересного образца хорошо известного вредоносного ПО DNSChanger.

DNSChanger активно распространяется некоторое время. Он обратил на себя внимание, когда начал атаковать ADSL модемы. Как следует из названия – это программное обеспечение, которое меняет настройки для DNS серверов.

Это приложение эволюционировало со смены настроек для DNS серверов в операционных системах (Windows и Mac) до смены настроек DNS на ADSL модемах/маршрутизатора.

Вредоносное ПО, описанное Symantec – следующий шаг в развитии DNSChanger: установка поддельного DHCP сервера в сети. Это ПО устанавливает на системе легитимный драйвер NDISProt, что позволяет отправку и прием Ethernet фреймов. После установки драйвера, злонамеренное ПО эмулирует DHCP сервер. Приложение прослушивает сетевой трафик и при получении DHCP Discoverу пакета, отправляет свой DHCP Offer пакет. Предложенная аренда подобным DHCP сервером содержит вредоносные DNS сервера:

После смены DNS сервера на злонамеренный, злоумышленники могут перенаправить пользователей на поддельные сайты и перехватить логины и пароли, или, при наличии уязвимости в браузере, скомпрометировать целевую систему.

Троянское приложение, идентифицируемое Symantec как Trojan.Flush.M создает следующие файлы %Windir%inf
disprot.inf  и %System%drivers
disprot.sys. Затем создает следующие записи в Реестре:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT"NextInstance" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000"Service" = "Ndisprot"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000"Legacy" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000"ConfigFlags" = "0"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000"DeviceDesc" = "ArcNet NDIS Protocol Driver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000Control"*NewlyCreated*" = "0"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NDISPROT000Control"ActiveService" = "Ndisprot"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNdisprotEnum"Count" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNdisprotEnum"NextInstance" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNdisprotTimestampMode" = "0"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNdisprot"Type" = "1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNdisprot"Start" = "3"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNdisprot"ErrorControl" = "1"

Троян создает новую службу на системе со следующими характеристиками:

Имя службы: ??C:WINDOWSsystem32driversNdisprot.sys
Отображаемое имя: ArcNet NDIS Protocol Driver
Тип запуска: Автоматический

SecurityLab рекомендует мониторить или фильтровать трафик к сетям 85.255.112.0 – 85.255.127.255.


You should to log in

loading