Uma variante do rootkit Alureon está sequestrando servidores DHCP em redes locais com a intenção de se propagar, de acordo com uma postagem publicada no blog da Kaspersky. O carregador para o rootkit, Net-Worm.Win32.Rorpian, utiliza uma técnica bastante normal para a divulgação em mídia removível: ele cria um autorun.inf e lnk (setup.lnk, myporno.avi.lnk, pornmovs.lnk). que apontam para rundll32.exe com os parâmetros que irão carregar e executar uma DLL pertencente ao rootkit.
Mas, se ele estiver sendo executado em uma máquina conectada a uma rede de área local, ele verifica se um servidor DHCP está sendo usado na rede. Em seguida, ele verifica a existência de endereços disponíveis nessa rede e lança seu próprio servidor DHCP.
Quando uma outra máquina na rede local faz uma solicitação DHCP, ela tenta responder antes do servidor DHCP legítimo, enviando um endereço IP a partir dos endereços previamente recolhidos, o endereço do gateway, conforme configurado no sistema infectado e, para o DNS, o endereço IP do servidor DNS dos criminosos configurado maliciosamente.
Essa técnica de seqüestro de DNS através do DHCP não é nova: em 2008, uma variante do DNSChanger foi flagrado fingindo ser um servidor DHCP ao invés de apenas explorar as vulnerabilidades do servidor DHCP.
Para mais informações, consulte uma Wiki que foi criada e sempre é atualizada com novas informações.
