Červ sa šíri pomocou vytvorenia falošného DHCP serveru

DSL.sk, 6.6.2011

Antivírusová spoločnosť Kaspersky upozornila na zaujímavého nového červa, ktorý pre svoje šírenie na počítače na rovnakej LAN využíva kombináciu falošného DHCP serveru a sociálneho inžinierstva.

Červ, ktorého spoločnosť označuje Rorpian, je po infikovaní PC následne používaný na šírenie rootkitu s označením TDSS.

Po infikovaní počítača nachádzajúceho sa na lokálnej sieti vytvorí červ falošný DHCP server, ktorý sa snaží odpovedať na DHCP dotazy skôr ako legitímny DHCP server.

Falošný DHCP server počítačom prideľuje IP adresy spomedzi neobsadených IP adries v IP rozsahu používanom LAN, bránu nastaví na IP adresu, ktorú má nastavenú ako bránu aj infikovaný počítač, a DNS servery nastaví na IP adresy pod kontrolou tvorcov červa.

Pri prístupe na Internet z počítača s údajmi nastavenými falošným DHCP serverom je užívateľ upozornený na potrebu nainštalovania aktualizácie prehliadača, aktualizácia je samozrejme škodlivým kódom inštalujúcim na PC červa Rorpian.

Červ sa okrem toho šíri aj kopírovaním na USB kľúče a ďalšie prenosné médiá.

Falošný DHCP server v červe Rorpian nie je prvým použitím falošného DHCP servera v škodlivom kóde, na konci roku 2008 používal falošný DHCP server aj trojan DNSChanger. DNSChanger používal DHCP server ako jeden zo spôsobov zmeny nastavených DNS serverov na infikovaných a ďalších počítačoch, podľa dostupných informácií ho nevyužíval priamo na svoje šírenie na ďalšie PC.


Najnovšie články:



Diskusia:

Hmmmm Od: oraJaro_off | Pridané: 6.6.2011 14:02 Takze na tomto teraz v Kaspersky Lab pracuju... Odpovedať Známka: 6.5 Hodnotiť:

Re: Hmmmm Od: Admin123 | Pridané: 6.6.2011 14:29 A kde je ESET, veď je najlepší:-D Odpovedať Známka: 3.7 Hodnotiť:

Re: Hmmmm Od: rms_ | Pridané: 6.6.2011 14:39 Nie je, dal som vypoved. Odpovedať Známka: 4.4 Hodnotiť:

Re: Hmmmm Od: Hmm | Pridané: 6.6.2011 15:36 A vytvoril si toho červa. Treba si asi dať banán... Odpovedať Známka: -4.8 Hodnotiť:

Re: Hmmmm Od: 2Martel | Pridané: 7.6.2011 7:32 Mne sa zdá, že Kspersky tvoria mnoho zákerných červov... Odpovedať Známka: 4.3 Hodnotiť:

Re: Hmmmm Od: mjg | Pridané: 7.6.2011 8:06 tak prestaň fetovať alebo sa zobuď! mne sa minule zdalo že som vymrdal jenni lopezovú. Odpovedať Známka: -1.1 Hodnotiť:

Re: Hmmmm Od: FBI | Pridané: 7.6.2011 12:51 mozu za to americania tak ako si vytvaraju svojich teroristov v afganistane tk si vytvaraju aj cervov aby mali dovod zautocit napriklad na iran ja to vravim stale burn that fucking usa Odpovedať Známka: 4.0 Hodnotiť:

Re: Hmmmm Od: pravdaaaaa | Pridané: 12.6.2011 16:55 presne :D aj tie dvojicki si zhodili sami .... keby to boli teroristi tak bi nezahinuli len ti malo postaveni ale aj ti najviac postaveni ktori zahadne akurat v tom momente neboli v budove ... :D plus to bolo len koli tomu abi mali dovod vivolat vojnu z irakom alebo afkanistanom .... :D takze americania povedali tim najvisim nech idu napr. na obed a zatial buchli do dvojicok litadla a zahinuli len zamestnanci ... :D a mali dovod na vojnu :) Odpovedať Hodnotiť:

Re: Hmmmm Od: ééééj žítko žítko | Pridané: 6.6.2011 15:41 robi predsa nabor, nedaju sa robit dve veci naraz Odpovedať Známka: 8.1 Hodnotiť:

Re: Hmmmm Od: kido | Pridané: 6.6.2011 18:33 Nemas predstavu ... Odpovedať Známka: 5.0 Hodnotiť:

Re: Hmmmm Od: weeeeeeeeeeeeeeeesdtasetakdjglf | Pridané: 6.6.2011 17:57 Tak v kaspersky uz dopracovali ... vsak im to dlho trvalo kym ten virus vytvorili a uz hadam protilatku maju...:D Odpovedať Známka: -6.0 Hodnotiť:

Re: Hmmmm Od: ????, | Pridané: 12.6.2011 16:51 nevim nevim ci to vitvorili oni ale mne sa zda ze zase niekto sa doma pri PC hral ... :D ved taki červ je jednoduch spravit len nevim keri trulo vimislel pouzit k tomu DHCP server ked staci to napichnut na nejaki hlavni router a pridat to k overovaciemu paketu ..... takze bi to mal kazdi chuj kto bi mal net cez wifi .. a prave cez ten hlavni router na ktorom bi to bolo skrite pravdupovediac napriklad pod hlavičkov hesla ... :D a s heslom bi dostali ti ludia aj pekny darcek :) virus .. .:D Odpovedať Hodnotiť:

Kaspersky zas Od reg.: Lars Schotte | Pridané: 6.6.2011 15:41 Kaspersky (znie ako vypalniK) vytvoril dalsieho cerva a teraz pred nim varuje.. a pre kazdeho, do nevi, co je to DHCP server, co je skurvene vela tzv "pouzivatelov" tak si mozu kupit najnovsu verziu kaspersky antivirusu za len 99,99€ vratane DPH a postovneho a balneho. Odpovedať Známka: -0.4 Hodnotiť:

Re: Kaspersky zas Od: rms_ | Pridané: 6.6.2011 15:45 NEKLAM! Ferrari ediciu mozes mat uz za $79.95 !!! Odpovedať Známka: -2.2 Hodnotiť:

Co robi ESET? Od reg.: Lars Schotte | Pridané: 6.6.2011 15:47 co robi eset sa tu ozvalo ... ok, ja na tuto otazku odpoviem. eset v prvom rade hlada novych c++ programatorov, ktory budu radi pracovat v tej firme, tak radi, ze ju ani nebudu (moct) opustit (aby nevykecali, ze robia pre opacnu stranu). najnovsi gag esetu bude, ked vyvinu antivirus, ktory nebude robit len profilaxu, ale pojde aj dalej a bude chranit pouzivatela pred novyma prihodami za 7 dolami a za 7 horami v krajine zlych elfov a cloud computingu. tento nebezpecny kloud sa prenasa uz do devajsov ako je ipad a niektore jazyky tvrdia, ze aj do gameboya a v japonsku aj v tamagoci. preto teraz pride velky ESET, kery nas ochrani, aby sme neprepadli zlemu diablovi zeleznemu muzovi a jeho gnomovi torvaldsovi a aby sme nepouzivali rucne(arm) tablety v mracnach, aby sme sa nenehali zahalit tymato teroristickyma produktami, kere ESETu a Microsoftu podkopavaju business model. Odpovedať Známka: -3.1 Hodnotiť:

Re: Co robi ESET? Od: -...- | Pridané: 6.6.2011 16:27 Dakujem. Pripravil si ma o minutu zivota... Odpovedať Známka: 7.9 Hodnotiť:

Re: Co robi ESET? Od: anti talent | Pridané: 6.6.2011 21:07 ej tuhe fajcis Odpovedať Známka: 8.1 Hodnotiť:

Re: Co robi ESET? Od: __mmm | Pridané: 6.6.2011 21:38 too cheap drugs Odpovedať Známka: -1.4 Hodnotiť:

Re: Co robi ESET? Od: ........ | Pridané: 7.6.2011 4:19 Spoplatnili ti SME.sk, tak si prišiel sem? Tipujem, že áno, lebo ako sledujem fb, tak ty si schopný prispievať na stránke TVnoviny.sk (od Markízy) a napísať 28 komentárov (nezveličujem) k jednému článku . . . no nič, komplex menejcennosti a snaha zapadnúť nepochopeným (pre teba určite mimoriadne inteligentným) vtipom je už dnes bežný, tak si nerob z toho ťažkú hlavu ;-) Odpovedať Známka: -2.0 Hodnotiť:

Re: Co robi ESET? Od: tsc | Pridané: 7.6.2011 9:48 kvalitna dialkova analyza od niekoho kdo si meno vysklada z bodiek, s vetou zakoncenou smajlikom - pozor, to je prejav inteligencie Odpovedať Známka: -0.9 Hodnotiť:

Re: Co robi ESET? Od: .......... | Pridané: 8.6.2011 11:24 Prepáč, zabudol som, že smajlíky dávajú iba retardovaní a sprostí ľudia, už nebudem. Odpovedať Hodnotiť:

dhcp snooping Od: risototh | Pridané: 6.6.2011 16:37 A presne na taketo veci je na L2/3 switchoch dobre nastavit DHCP snooping... Odpovedať Známka: 6.5 Hodnotiť:

asfasdfgsd Od: sdgbsdkgdb | Pridané: 6.6.2011 17:10 to ma nikdy nenapadlo si to pozriet ci je to mozne ale meze byt na pocitaci dhcp server ktory prideli adresu sam sebe? Odpovedať Známka: 6.0 Hodnotiť:

Re: asfasdfgsd Od: prdlajs | Pridané: 6.6.2011 17:26 Samozrejme. Odpovedať Známka: 7.1 Hodnotiť:

Re: asfasdfgsd Od reg.: BulloDT | Pridané: 6.6.2011 17:58 jasné. aj janka hospodarová si to myslí Odpovedať Známka: 0.0 Hodnotiť:

Re: asfasdfgsd Od reg.: pocitujlasku | Pridané: 6.6.2011 17:59 preco nie? PC posle DHCP broadcast, ktory sa da zachytit pri snifovani rozhrania. A posle odpoved na to iste rozhranie. localhost posle odpoved skor, ako server niekde v sieti. Inac dobra myslienka ako sirit virusy, najma v podnikovej sfere :D Odpovedať Známka: 4.0 Hodnotiť:

Re: asfasdfgsd Od: Koumak | Pridané: 6.6.2011 18:50 Normalna firma s normalnym ITckarom (alebo outsourcingom) pouziva manageovatelne switche, kde je DHCP broadcast povolene na konkretny port, potom ho prideluje len autorizovany stroj. :) Ale je fakt, ze rychlokojenci co sa tvaria ze su ITckari, tak nieco take nepoznaju a ani pri sieti coilen 20PC nepouziju podobne bezpecnostne riesenie .. holt, nasa Slovakia :D Odpovedať Známka: -6.4 Hodnotiť:

Re: asfasdfgsd Od: Heavy | Pridané: 6.6.2011 19:18 Pri sieti 20 a viac pc je bezpečné vypnúť DHCP a nastaviť IP manuálne.. Odpovedať Známka: 6.0 Hodnotiť:

Re: asfasdfgsd Od: Koumak | Pridané: 6.6.2011 20:19 S kludom bezim DHCP na cca 70PC + 30tlaciek a 65 telefonov, samozrejme ale aj podla MAC maju pevne pridelene IP v tabulkach. Je to pri zmene adresovania siete, alebo vkladani nejakeho prvku do siete vyhodnejsie ako staticke IP(+DNS). Odpovedať Známka: -1.7 Hodnotiť:

Re: asfasdfgsd Od reg.: marha | Pridané: 7.6.2011 8:10 snivaj dalej Odpovedať Známka: 2.0 Hodnotiť:

Re: asfasdfgsd Od: Meno musí | Pridané: 6.6.2011 20:22 Pri 200 pocitacoch to musi byt vzrusujuce.. Odpovedať Známka: 8.6 Hodnotiť:

Re: asfasdfgsd Od: prdlajs | Pridané: 6.6.2011 21:20 A ako ti manazovatelny switch zabrani v tom, aby si niekto nainstaloval na svojom PCku DHCP server a ten mu pridelil nejaku IP adresu? Je mi jasne, ze mu ta IPcka bude na 3 veci, ak je pripojeny len cez ten switch, ale nezabrani mu to v tom, aby si rozchodil vlastny funkcny DHCP server, ktory mu bude fungovat len na lokale. A s tym outsourcingom si to trafil riadne mimo, napr. "borcov" zo Soitronu radsej ani zadara, ti vedia max. ako sa hra CS-ko. To skor pustim programatora so srobovakom dovnutra PCka, ako soitronaka cez dvere :) Odpovedať Známka: 0.0 Hodnotiť:

Re: asfasdfgsd Od: Koumak | Pridané: 6.6.2011 21:36 Asi sa do sieti moc nerozumies, ze? Co ti sietovo ohrozi zavireny komp, ktory ostatne nemoze zavirit, lebo mu v tom jednoducho switch zabrani? (vravime o tomto konkretnom DHCPckovom) A ze prideli sam sebe nejaku IPcku? No a? Pokial je to jediny sposob sirenia v danej sieti, tak proste zakape, lebo jeho DHCPd voci ostatnym PC v sieti zostava neviditelne. Navyse ak by bol admin trosku paranoidnejsi, alebo siet mala splnovat vyssiu bezpecnost, tak si predstav, ze na manageovatelnom switchi mozes prikazat, ze ak sa tam vyskytne zariadenie, ktore necheckne DHCP, ale ma svoju IP, tak ho odignoruje (port-lock). A existuje kopec kopec kooooooooopec dalsich vychytavok, ale ako vravim, rychlokvasky ich nepoznaju a v nejakom Riki, computerworld, alebo nevim akom casaku sa ich zrejme nedocitaju ;) Takze pokial vravis o borcoch konkretnej firmy, ja ich nepoznam, ale poznam rozne ine, ktore vsak nerobia za 9 eur/hod, ale za normalne peniaze a poskytuju velmi serioznu pracu. Odpovedať Známka: -2.0 Hodnotiť:

Re: asfasdfgsd Od: prdlajs | Pridané: 7.6.2011 12:48 A ty zrejme nerozumies slovencine. Pozorne si precitaj, na co sa pytal clovek na zaciatku vlakna. O tom bola cela diskusia. Nie o tvojej onanii nad tym, ako to super zabezpecit cez switch. Btw., ako vyriesis pripad, ked sa niekto pripoji na net cez mobil cez BT? Das manazovatelny switch aj operatorovi do serverovne? :))) Odpovedať Známka: 6.0 Hodnotiť:

Re: asfasdfgsd Od: risototh | Pridané: 7.6.2011 8:53 o tom je napriklad ten dhcp snooping. ale to nejaky prdlajs vediet nemoze. Odpovedať Známka: -3.3 Hodnotiť:

achhhh Od: ach | Pridané: 6.6.2011 18:55 naco nam je DHCP ked mame VODKU? Odpovedať Známka: 5.7 Hodnotiť:

Re: achhhh Od reg.: marha | Pridané: 7.6.2011 8:14 veru ked uz tak RHCP Odpovedať Známka: 6.0 Hodnotiť:

zaujmal Od: U.hlik | Pridané: 6.6.2011 20:15 by ma odborny nazor Lucie Kollarovej z Telerana, aby nam ozrejmila o co vlastne ide.. Dakujem, Uhlik Odpovedať Známka: 0.9 Hodnotiť:

Re: zaujmal Od: tsc | Pridané: 7.6.2011 9:51 to je kdo ked to ma ozrejmit? Odpovedať Známka: 3.3 Hodnotiť:

mrkva Od: kolohnat | Pridané: 6.6.2011 20:24 este 100 clankov a bude zase dalsie zaujimave id ;) Odpovedať Známka: 7.1 Hodnotiť:

Re: mrkva Od: -...- | Pridané: 6.6.2011 22:20 Alebo dalsich 20326 a vystihne to osoby komentujuce na dsl.sk :) Odpovedať Známka: 2.5 Hodnotiť:

Re: mrkva Od: kwaq | Pridané: 6.6.2011 23:05 heh, tu sa to hemzi samymi elitakmi :) Odpovedať Známka: 3.3 Hodnotiť:

aky prehliadac? Od reg.: e3k.. | Pridané: 6.6.2011 21:23 by bolo fajn vediet... Odpovedať Známka: -5.0 Hodnotiť:

Virus Od: Macilaci25 | Pridané: 7.6.2011 8:17 Niekolko dni do zadu sa mi stalo ze nieco mi uplne znefunkcnil siet doma.Nemal som konektivitu na siet ale zo strany poskytovatela internetu nebol ziadny problem.Mam staticku adresu, co sa mi zmenilo na dynamicku a ani za bohovi, sa nedalo nastavit spat. Nepomohlo ani reinstall sietovky. Asi nieco podobne som musel chytit, ako ten cerv. Pomohlo iba uplny system restore. Odvtedy problem sa neobjavil. Odpovedať Známka: -3.3 Hodnotiť:

Re: Virus Od: 2Martel | Pridané: 7.6.2011 8:26 Ty si mi teda odborník... Nepoznáš Recovery konzolu, alebo Núdzový režim? A nestiahol si si nejaký ponúkaný "antivír"??? Odpovedať Známka: 6.0 Hodnotiť:

Re: Virus Od: dagi | Pridané: 7.6.2011 9:02 no schvalne, co by si v takom pripade robil v recovery konzole alebo v nudzovom rezime... Odpovedať Hodnotiť:

Re: Virus Od: 2Martel | Pridané: 7.6.2011 9:08 Vymazal problém, resp. pohľadal rootkita. Či? Ešte môžem predsa dať HDD aj do iného kompu a čiastočne poriešiť problém aj tak. Odpovedať Známka: 3.3 Hodnotiť:

Virus Od: Macilaci25 | Pridané: 7.6.2011 10:03 skusal som vsetko mozne! aj ten HDD vybrat a preskenovat na inom pocitaci! Odpovedať Známka: -3.3 Hodnotiť:

Re: Virus Od: Cuda | Pridané: 7.6.2011 17:22 V inom kompe musíš povoliť hĺbkovú a heuristickú kontrolu aj na skrYté priečinky a súbory, aj vymazať System Volume Information a tak. Keď sa Ti nedarí, hľadaj podľa dátumu..., možno na niečo prídeš. V inom kompe sa HDD ťažšie deratizuje, lebo mu nebeží vlastný OS, ale dajú sa aspoň vymazať problémové súbory... A potom pustiť sken v Núdzovom režime a až následne v Normálnem, samozrejme všetko bez prítomnosti sieť, Internetu, či USB zariadení, ktoré infekciu môžu roznášať. Odpovedať Hodnotiť:

šť ľšť ľšťľ šť ľť Od: ertwetwš twš ťt | Pridané: 7.6.2011 12:30 WTF Odpovedať Hodnotiť:

cooollll Od: coollll | Pridané: 7.6.2011 14:41 Sused to chytil a nakazil vsetky compy po sieti kde bezalo DHCP...vsetkym kompom sa nastavi DHCP server na adresu infikovaneho compu miesto povodnej adresy....riesenie je celkom jednoduche - vypnut DHCP a IP adresu a DNS server nastavit rucne....u mna pomohlo... Odpovedať Známka: 3.3 Hodnotiť:

neviem ci som sa trafil k teme. Nie som odbornik. Od: Iggggor | Pridané: 7.6.2011 16:32 Vcera mi zacala blbnut mozilla prehliadac. Po kratkej dobe jej spustenia mi ju zrusilo a napisala sa tabulka ze treba restartovat mozillu alebo ukoncit lebo sa vyskytka chyba . Niekedy mi na nu hodi volaku inu stranku ako som chcel. Teraz som nuteny pouzivat google Chrome. Otazka znie z mojej strany moze to byt tento cerv v clanku ? Odpovedať Známka: -6.0 Hodnotiť:

Nie som odbornik. Od: Cuda | Pridané: 7.6.2011 17:24 Možo máš v kompe aj slimákov... Odpovedať Známka: 6.7 Hodnotiť:

Re: Nie som odbornik. Od: palko z kvášova | Pridané: 7.6.2011 18:02 mam na kompe aj svoj penis položený Odpovedať Známka: 5.0 Hodnotiť:

Re: Nie som odbornik. Od: gigolo patedias dva | Pridané: 7.6.2011 20:34 & čoklit nula dva Odpovedať Známka: 3.3 Hodnotiť:

Re: Nie som odbornik. Od: socialka 60e | Pridané: 7.6.2011 22:10 a urcite nim pises, lebo tolko kokotin nikdo nenapise len tak "od ruky" Odpovedať Známka: -2.0 Hodnotiť:

Pridať komentár