lunedì 20 agosto 2007

Rogue Domain Name System Servers

Dal TrendLabs Malware Blog si apprende che e' stata individuata una rete di piu' di 115 DNS server modificati che possono essere utilizzati da trojan che cambiano l indirizzo del server DNS sul computer colpito. (es TROJ_DNSCHANG.BM )

Sempre in questo interessante articolo si legge che, da prove fatte, se il pc ha l'indirizzo DNS server cambiato, digitando una errata url, sul tipo wwe.google.com invece di visulaizzare l usuale messaggio di errore “page not found”, viene visualizzato un sito contenente un motore di ricerca di contenuti per adulti che da' come risultati altri siti contenti malware.


(Immagine trastta dal sito blog http://blog.trendmicro.com/rogue-domain-name-system-servers-5breposted5d/)


Sembra inoltre che questi server DNS fasulli reindirizzino anche le chiamate a siti malware conosciuti , in questo caso se nel computer colpito esisteva un malware che cercava di scaricare aggiornamenti di codice da un sito noto, questo malware adesso scarichera' differenti codici da un altro differente sito in quanto l indirizzo IP orginale a cui si appoggiava viene modificato dal falso server DNS.

Questi sono alcuni degli indirizzi di server DNS modificati

Questo sitema di dns fasulli potrebbe essere anche utilizzato in associazione alla modifica delle impostazioni di un router come ho descritto in questo precedente post.

Come si vede siamo in presenza di un diverso tipo di Typo-squatting, rispetto a quanto scritto nel precedente post, ma che in pratica ottiene il medesimo risultato con in piu' l'aggiunta di una modifica del comportamento di eventuali altri malware presenti sul pc che si sta usando.

Edgar

3 commenti:

maverick ha detto...

Ciao edgar.
Indivina di chi sono quei dns?
inhoster/atrivo/intercage/estdomains ...

Ovvero sempri i soliti russi del cavolo.

Stanno distruggendo il web

Non capisco che aspettano a chiuderli in prigione e buttare via la chiave

Edgar Bangkok ha detto...

Infatti, avevo visto facendo un whois che erano server dei soliti ...
Per il fatto che continuano ad agire indisturbati ... non e' che magari fanno comodo anche a chi produce antivirus e programmi di sicurezza per la rete ??? Penso che il giro di affari non sia poca cosa ... dietro alla vendita di software di sicurezza e consulenze varie... E' una ipostesi un po azzardata ma in effetti potrebbero fare comodo a qualcuno.........
Edgar

Sbronzo di Riace ha detto...

No è semplice inerzia e pigrizia.