Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad

DNSChanger uppvisar nya trick

Trojanen DNSChanger förpestar sin omgivning med egen DHCP-server.

En ny variant av trojanen DNSChanger har dykt upp. Denna gång använder den DHCP för att lura användare till att använda riggade DNS-servrar.

Tidigare har det förekommit trojaner som kunnat ändra lokala inställningar för DNS (Windows och Mac). Det har även förekommit varianter som genom CSRF (Cross-Site Request Forgery) modifierat DNS-inställningar på hemmaroutrar.

Nu har det alltså även dykt upp en variant som innehåller en egen DHCP-server. Denna DHCP-server lyssnar på trafik och skickar sina egna svar till alla inte ont anande klienter som efterfrågar en IP-adress på det lokala nätet. I det fall det riggade svaret hinner före den legitima DHCP-serverns svar blir klienten fast med oönskade DNS-inställningar.

Systemadministratörer rekommenderas att övervaka trafik och hålla ögonen öppna efter "DHCPOFFER"-meddelanden som inte kommer från en legitim DHCP-server. Vissa switchar innehåller även funktionalitet för att filtrera bort olovlig DHCP-trafik.

För mer information besök:
http://isc.sans.org/diary.html?storyid=5434
http://www.avertlabs.com/research/blog/index.php/2008/12/04/dnschanger-trojans-v40/