Показать сообщение отдельно
Старый 17.03.2009, 18:16   #2
 
Статус: Ст.Лейтенант
Регистрация: 03.10.2008
Адрес: КМВ))•
Сообщений: 449
СПАСИБО: 316
сказали Спасибо 355 раз(а) в 196 сообщении
Получено наград:
По умолчанию Re: Новости информационной безопасности


Цитата:
Эксперты по безопасности Интернета обнаружили новую опасную угрозу в виде еще одной вариации вируса, получившего название Trojan.Flush.M. При попадании внутрь локальной сети этот вирус создает фальшивый DHCP-сервер, который затем переключает на себя все запросы от клиентских машин. После этого клиентские ПК начинают использовать ложные DNS-серверы, поэтому часто попадают на поддельные веб-сайты, внешне неотличимые от настоящих.

Главная угроза нового вируса, по мнению Йоханнеса Ульриха (Johannes Ullrich) из центра предупреждения угроз SANS Internet Storm Center, состоит в компрометации систем, которые сами по себе не подвержены уязвимости. Дело в том, что фальшивый сервер использует протокол DHCP (Dynamic Host Configuration Protocol), изначально предназначенный для автоматической настройки IP-адресов и параметров службы разрешения имен DNS (Domain Name System) на клиентских машинах, которые не могут самостоятельно отличить настоящий DHCP-сервер от поддельного без специальной настройки. В результате зараженная машина передает остальным системам адрес DNS-сервера злоумышленников – это позволяет перенаправлять запросы к благонадежным сайтам на любые, в том числе потенциально опасные веб-сайты. Новая версия вируса отличается тем, что не указывает имя домена DNS в передаваемых параметрах – это резко затрудняет обнаружение фальшивого DHCP-сервера в сети.

Для борьбы с вирусом Trojan.Flush.M можно жестко прописать адреса DNS-серверов своего провайдера на каждой клиентской машине – в этом случае клиентские машины будут обращаться к настоящему DNS-серверу независимо от параметров, которые им передал фальшивый DHCP-сервер. Тем не менее, такой подход фактически неприменим в больших организациях, где работают сотни и тысячи машин. Также можно просто заблокировать адреса 64.86.133.51 и 63.243.173.162, которые авторы вируса используют в качестве ложных DNS-серверов, но такой подход не даст серьезного выигрыша – уже следующая версия вируса наверняка сможет использовать новые адреса, в том числе по команде злоумышленников.

Более подробно о вирусе Trojan.Flush.M и связанных с ним угрозах можно узнать на [Ссылки могут видеть только зарегистрированные пользователи. ] компании SANS.


[Ссылки могут видеть только зарегистрированные пользователи. ]
Владимир_ вне форума   ЦИТИРОВАТЬ
Этот пользователь сказал Спасибо Владимир_ за это полезное сообщение:
Faraon (17.03.2009)