Warp - trojan podszywający się pod router
- Antoni Steliński,
- 11.07.2012, godz. 11:05
Specjaliści Kindsight Security Labs wykryli nietypowego konia trojańskiego, stworzonego prawdopodobnie w Chinach. Warp infekuje komputery z Windows, a następnie podszywa się pod router i próbuje przechwytywać ruch z wszystkich komputerów w lokalnej sieci (atak typu man-in-the-middle).
Polecamy:
Przedstawiciel Kindsight podkreśla, że choć w pewnych aspektach Warp jest typowym, wręcz sztampowym złośliwym programem (dotyczy to mechanizmu infekowania Windows - poprzez znane od dawna luki w oprogramowaniu Adobe i Javie), to wykorzystywana przez niego metoda rozpowszechniania się w lokalnej sieci jest bardzo nowatorska. Oczywiście, malware infekujące komputery podłączone do tego samego routera istniały już wcześniej - ale program podszywający się w tym celu pod router jest nowością.
Zobacz również:
- Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
- Co trzecia firma w Polsce z cyberincydentem
"Program korzysta z protokołu ARP - Address Resolution Protocol. Warp informuje oryginalny router, że ruch do wszystkich innych lokalnych komputerów powinien być kierowany przez zainfekowaną stację."- wyjaśnia Morris. Zdaniem eksperta, "nabranie" routera na sfałszowane żądania ARP jest proste. Przeprowadzone testy wykazały, że bardzo wiele routerów (w tym Cisco) nie odrzuca pakietów Unsolicited ARP (uaktualniających tablice ARP sąsiadów, ale też mogących je zatruwać).
Specjalista dodaje, że trojan został stworzony z myślą o atakowaniu chińskich użytkowników i wątpliwe jest, by stał się aktywny w innych regionach (przynajmniej w tej wersji).