Warp - trojan podszywający się pod router

Specjaliści Kindsight Security Labs wykryli nietypowego konia trojańskiego, stworzonego prawdopodobnie w Chinach. Warp infekuje komputery z Windows, a następnie podszywa się pod router i próbuje przechwytywać ruch z wszystkich komputerów w lokalnej sieci (atak typu man-in-the-middle).

"Warp potrafi w ten sposób wpływać na wszystkie komputery w lokalnej sieci i modyfikować dane, które trafiają do nich z zewnątrz" - tłumaczy John Morris, główny specjalista ds. bezpieczeństwa Kindsight Security Labs. Jego zdaniem pochodzący z Chin szkodnik jest pewną odmianą oprogramowania typu adware, zaś jego zadaniem jest przekierowywanie komputerów na określone przez jego twórców strony WWW (np. w celu sztucznego zwiększenia ich oglądalności).

Przedstawiciel Kindsight podkreśla, że choć w pewnych aspektach Warp jest typowym, wręcz sztampowym złośliwym programem (dotyczy to mechanizmu infekowania Windows - poprzez znane od dawna luki w oprogramowaniu Adobe i Javie), to wykorzystywana przez niego metoda rozpowszechniania się w lokalnej sieci jest bardzo nowatorska. Oczywiście, malware infekujące komputery podłączone do tego samego routera istniały już wcześniej - ale program podszywający się w tym celu pod router jest nowością.

Zobacz również:

"Program korzysta z protokołu ARP - Address Resolution Protocol. Warp informuje oryginalny router, że ruch do wszystkich innych lokalnych komputerów powinien być kierowany przez zainfekowaną stację."- wyjaśnia Morris. Zdaniem eksperta, "nabranie" routera na sfałszowane żądania ARP jest proste. Przeprowadzone testy wykazały, że bardzo wiele routerów (w tym Cisco) nie odrzuca pakietów Unsolicited ARP (uaktualniających tablice ARP sąsiadów, ale też mogących je zatruwać).

Specjalista dodaje, że trojan został stworzony z myślą o atakowaniu chińskich użytkowników i wątpliwe jest, by stał się aktywny w innych regionach (przynajmniej w tej wersji).


TOP 200