A fost identificat un nou program de tip trojan care poate interactiona cu o mare diversitate de echipamente intr-o retea locala, continand un exploit care redirectioneaza echipamentele respective catre site-uri malitioase.

Trojanul este o noua varianta a mai vechiului trojan DNSChanger, care este cunoscut de multa vreme si care schimba configuratiile DNS ale computerelor. Noua varianta de trojan face posibil ca o singura masina infectata sa propage in reteaua locala modificari ale serverelor DNS prin serviciul de DHCP, care aloca IP-uri dinamic.

Pentru a depista in reteaua voastra existenta unor servere DHCP, puteti folosi din linux urmatorul script:

#!/bin/bash # Prints list of rogue DHCP servers INT="eth0" DUMPFILE="/tmp/dhcp_packet.dump" REALSERVER=`/sbin/ifconfig $INT | grep "inet addr" | head -n 1 | awk '{print $2}' | cut -c6-` /usr/sbin/tcpdump -i $INT -l -w $DUMPFILE "udp src port 67 and udp dst port 68 and not src $REALSERVER" 2> /dev/null & /sbin/dhcpcd -T -L /tmp $INT 2> /dev/null sleep 1 kill $! `pidof dhcpcd-bin` 2> /dev/null sleep 1 # report the results /usr/sbin/tcpdump -n -t -r $DUMPFILE 2> /dev/null | awk '{print $2}' | cut -f1-4 -d