Китайский троян Warp подделывает ARP-трафик

Специалисты компании Kindsight Security Labs при анализе подозрительной сетевой активности обнаружили новый образец китайского вредоносной программы Warp. Это ВПО с 2005 года знакомо антивирусным экспертам под разными названиями: в 2006 году его называли NetSniff, в 2008 — Capiframe, а иногда его без уникального имени относили к семейству ARPSpoof и Trojan.Sniff. Однако, в основе всех этих образцов лежала китайская утилита ZXArps, предназначенная для проведения атак с подменой трафика. Для работы этой утилиты также требовались библиотеки сетевого мониторинга WinPCAP. Всё это, дополненное скриптами автоматизации вредоносной деятельности и распространялось в виде трояна Warp. Как показало исследование, деятельность Warp в большей степени ориентирована на локальные сети предприятий. После своего запуска Warp производит изменение структуры сети путем спуффинга ARP-протокола. Тем самым, весь внутрисетевой трафик проходит через инфицированную систему. Это делалось для получения возможности внедрять вредоносный HTML-код в запрашиваемые из сети веб-страницы. Внедренный код, эксплуатируя уязвимости в Java и Adobe Flash, производил установку рекламного программного обеспечения и распространялся на другие узлы сети. Вредоносный скрипт располагался на домене «xiagg.info», зарегистрированном в феврале 2012 года и размещаемом на хостинге China Telecom. Несмотря на то, что большинство обнаруженных образцов Warp успешно детектируются антивирусными системами, эта атака интересна тем, что для получения контроля над сетевым трафиком необходимо заражение всего одного узла сети.

Источник: uinc.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s