Conheça uma variante do rootkit Alureon, que utiliza built-in servidor DHCP para propagação!

Emanuel Negromonte
2 minutos de leitura

Uma variante do rootkit Alureon está sequestrando servidores DHCP em redes locais com a intenção de se propagar, de acordo com uma postagem publicada no blog da Kaspersky. O carregador para o rootkit, Net-Worm.Win32.Rorpian, utiliza uma técnica bastante normal para a divulgação em mídia removível: ele cria um autorun.inf e lnk (setup.lnk, myporno.avi.lnk, pornmovs.lnk). que apontam para rundll32.exe com os parâmetros que irão carregar e executar uma DLL pertencente ao rootkit.

Mas, se ele estiver sendo executado em uma máquina conectada a uma rede de área local, ele verifica se um servidor DHCP está sendo usado na rede. Em seguida, ele verifica a existência de endereços disponíveis nessa rede e lança seu próprio servidor DHCP.

Quando uma outra máquina na rede local faz uma solicitação DHCP, ela tenta responder antes do servidor DHCP legítimo, enviando um endereço IP a partir dos endereços previamente recolhidos, o endereço do gateway, conforme configurado no sistema infectado e, para o DNS, o endereço IP do servidor DNS dos criminosos configurado maliciosamente.

Essa técnica de seqüestro de DNS através do DHCP não é nova: em 2008, uma variante do DNSChanger foi flagrado fingindo ser um servidor DHCP ao invés de apenas explorar as vulnerabilidades do servidor DHCP.

Para mais informações, consulte uma Wiki que foi criada e sempre é atualizada com novas informações.

Share This Article
Follow:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.