Una nuova variante del rootkit TDSS si finge server DHCP

I tecnici di Kaspersky hanno rilevato in Rete una nuova variante del noto rootkit TDSS (conosciuto anche con l’appellativo di “Alureon” o “TDL3“; ne abbiamo parlato ripetutamente in questi nostri articoli). Il componente che si occupa del caricamento del rootkit utilizza una tecnica piuttosto nota per porre in memoria il contenuto di un file DLL in grado di rendere operativo il malware vero e proprio: un file autorun.inf e alcuni “collegamenti” (setup.lnk, myporno.avi.lnk, pornmovs.lnk) sono creati proprio con l’obiettivo di caricare la libreria DLL nociva, invocando rundll32.exe.

La principale novità della nuova variante di TDSS consiste però nell’individuazione dell’eventuale server DHCP impiegato all’interno della rete locale per l’assegnazione automatica degli indirizzi IP ai vari sistemi client di volta in volta connessi. Il rootkit controlla quali indirizzi sono disponibili nella LAN e provvede a lanciare il proprio server DHCP. Non appena una macchina client, collegata alla rete locale, inoltra la richiesta di un IP, il malware cerca di rispondere prima del server DHCP legittimo. Come sistema gateway viene restituito l’indirizzo della macchina già infetta e, come server DNS, gli indirizzi dei server remoti gestiti da criminali informatici.

In questo modo, se l’attacco andrà a buon fine, gli aggressori potranno reindirizzare le richieste web provenienti dalle macchine via a via collegate alla LAN verso siti maligni. Tali pagine inviteranno ad installare un fantomatico aggiornamento per il browser che, in realtà, provvederà soltanto ad insedire sul sistema nuove minacce.