Die Sicherheitsexperten des SANS Internet Storm Center haben vor einer neuen Version des Trojaners Trojan.Flush.M gewarnt. Dieser kann ganze Rechner-Serien in einem LAN mit Malware infizieren.
Der Schädling nistet sich dafür in einem System ein und bietet einen eigenen DHCP-Server an. Die Rechner im gleichen Netzwerk werden so mit den von den Entwicklern des Trojaners gewünschten Netzwerkeinstellungen versorgt. Im Mittelpunkt steht dabei die Adresse für einen manipulierten DNS-Server.
Versuchen die Nutzer nun bestimmte Webseiten aufzurufen, werden sie von diesem nicht etwa an die richtigen Anbieter weitervermittelt, sondern zu anderen Seiten umgeleitet, in die weitere Schadcodes eingebettet sind. So sollen diese PCs zusätzlich mit Malware infiziert werden.
Gegenüber der im Dezember aufgetauchten vorherigen Version weist Trojan.Flush.M mehrere Verbesserungen auf. So ist er beispielsweise im Netzwerk deutlich schlechter zu lokalisieren. Nach Angaben des SANS können Administratoren ihr Netz schützen, in dem sie die IP-Adressen 64.86.133.51 und 63.243.173.162 sperren - hinter ihnen verbergen sich die von dem Trojaner angesteuerten manipulierten DNS-Server.
"Diese Art von Malware ist recht gefährlich, weil die auch Systeme betrifft, die an sich nicht unsicher sind", sagte Johannes Ullrich, Chef des SANS. "Es reicht ein infizierter Rechner im Netzwerk, um auch alle anderen PCs angreifbar zu machen."
Quelle :
http://winfuture.de
