Uma variante do rootkit Alureon está sequestrando servidores DHCP em redes locais com a intenção de se propagar, de acordo com uma postagem publicada no blog da Kaspersky. O carregador para o rootkit, Net-Worm.Win32.Rorpian, utiliza uma técnica bastante normal para a divulgação em mídia removível: ele cria um autorun.inf e lnk (setup.lnk, myporno.avi.lnk, pornmovs.lnk). que apontam para rundll32.exe com os parâmetros que irão carregar e executar uma DLL pertencente ao rootkit.
Mas, se ele estiver sendo executado em uma máquina conectada a uma rede de área local, ele verifica se um servidor DHCP está sendo usado na rede. Em seguida, ele verifica a existência de endereços disponíveis nessa rede e lança seu próprio servidor DHCP.
Quando uma outra máquina na rede local faz uma solicitação DHCP, ela tenta responder antes do servidor DHCP legítimo, enviando um endereço IP a partir dos endereços previamente recolhidos, o endereço do gateway, conforme configurado no sistema infectado e, para o DNS, o endereço IP do servidor DNS dos criminosos configurado maliciosamente.
Essa técnica de seqüestro de DNS através do DHCP não é nova: em 2008, uma variante do DNSChanger foi flagrado fingindo ser um servidor DHCP ao invés de apenas explorar as vulnerabilidades do servidor DHCP.
Mas, se ele estiver sendo executado em uma máquina conectada a uma rede de área local, ele verifica se um servidor DHCP está sendo usado na rede. Em seguida, ele verifica a existência de endereços disponíveis nessa rede e lança seu próprio servidor DHCP.
Quando uma outra máquina na rede local faz uma solicitação DHCP, ela tenta responder antes do servidor DHCP legítimo, enviando um endereço IP a partir dos endereços previamente recolhidos, o endereço do gateway, conforme configurado no sistema infectado e, para o DNS, o endereço IP do servidor DNS dos criminosos configurado maliciosamente.
Essa técnica de seqüestro de DNS através do DHCP não é nova: em 2008, uma variante do DNSChanger foi flagrado fingindo ser um servidor DHCP ao invés de apenas explorar as vulnerabilidades do servidor DHCP.
Mais informações em:
SecureList: http://www.securelist.com/en/blog/20...r_now_got_legs
