Security Professionals - ipfw add deny all from eindgebruikers to any

Nieuw DNS trojan in omloop.

17-03-2009, 22:29 door Pr3torian, 3 reacties
Internet security experts waarschuwen voor een nieuw soort uitslag van malware aanval, nl het hijacken van de security settings in een local area network, Windows en non windows. Eenmaal geactiveerd, zet de trojan een kwaadaardige DHCP server op de host machine. Vandaar, kunnen andere apparaten die in dezelfde LAN zitten, worden getricked om een kwaadaardig DNS server te gebruiken, in plaats van degene die is opgezet door de netwerk admin. De nieuwe trojan variant genaamd Trojan.Flush.M doet nu zijn ronde. De kwaadaardige DHCP server is erg moeilijk te ontdekken.
source:
http://www.theregister.co.uk/2009/03/16/dns_hijacking_trojan/
Reacties (3)
17-03-2009, 23:55 door Zarco.nl
De url is dus [url=http://www.theregister.co.uk/2009/03/16/dns_hijacking_trojan/]http://www.theregister.co.uk/2009/03/16/dns_hijacking_trojan/[/url]
Dat zo'n DHCP-server moeilijk te vinden is, waag ik te betwijfelen.
Download [url=http://www.networksecurityhome.com/downloads/DhcpExplorer.exe]DHCP Explorer[/url] en je weet welke DHCP-servers er op je subnet adverteren :P
Je kunt natuurlijk ook preventief alleen je vertrouwde DHCP OFFER pakketten doorlaten op je switch :)

Test: [url=http://security.zarco.nl]security.zarco.nl[/url]
18-03-2009, 00:02 door Pr3torian
Je kan ook deze range blacklisten 64.86.133.51 en 63.243.173.162 dit zijn de DNS servers die op dit moment gebruikt worden door deze variant
18-03-2009, 09:15 door Zarco.nl
Door Pr3torianJe kan ook deze range blacklisten 64.86.133.51 en 63.243.173.162 dit zijn de DNS servers die op dit moment gebruikt worden door deze variant
Dat is natuurlijk een lapmiddel (bovendien zijn dat geen ranges :P), dergelijke malware wordt vaak regelmatig ge-updatet, om nieuwe externe bronnen toe te voegen aan hun repertoire.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.