segunda-feira, 20 de junho de 2016
Worm utiliza Built-in-Servidor DHCP para sua propagação!
Um noivo Worm usa o Built-in-Servidor para sua propagação. Confira!
Essa é uma variante do rootkit Alureon que está sequestrando servidores DHCP em redes locais com a intenção de se propagar, de acordo com uma postagem publicada no blog da Kaspersky. O carregador para o rootkit, Net-Worm.Win32.Rorpian, utiliza uma técnica bastante normal para a divulgação em mídia removível: ele cria um autorun.inf e lnk (setup.lnk, myporno.avi.lnk, pornmovs.lnk). que apontam para rundll32.exe com os parâmetros que irão carregar e executar uma DLL pertencente ao rootkit.
Mas, se ele estiver sendo executado em uma máquina conectada a uma rede de área local, ele verifica se um servidor DHCP está sendo usado na rede. Em seguida, ele verifica a existência de endereços disponíveis nessa rede e lança seu próprio servidor DHCP.
Resumindo ,quando uma outra máquina na rede local faz uma solicitação DHCP, ela tenta responder antes do servidor DHCP legítimo, enviando um endereço IP a partir dos endereços previamente recolhidos, o endereço do gateway, conforme configurado no sistema infectado e, para o DNS, o endereço IP do servidor DNS dos criminosos configurado maliciosamente.
Essa técnica de seqüestro de DNS através do DHCP também não é nova: já que em 2008, uma variante do DNSChanger foi flagrado fingindo ser um servidor DHCP ao invés de apenas explorar as vulnerabilidades do servidor DHCP.
Até a próxima!!!
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário