Жесть.
Если учитывать то, что подобное случается (как мне уже стало казаться) в одной подсети и если всмотреться в dhcpdump получается, что кто-то подделывает ответы от сервера DHCP. На сколько позволяет судить сниф изменяется только DNS сервера на 85.255.112.36 85.255.112.41, большей инфы сниф не дает на первый взгляд.
Поиск в инете по данным адресам дал инфу, что это:
Trojan.Flush.MTrojan.Flush.M impacts network traffic with Address Resolution Protocol (ARP) requests and lowers security settings.
When executed, it creates some files and modifies the registry. The trojan then creates a new service with the following characteristics:
Service name: \??\C:\WINDOWS\system32\drivers\Ndisprot.sys
Display name: ArcNet NDIS Protocol Driver
Startup Type: Automatic
The threat sends fake DHCP offer packets using UDP ports 67 and 68 when another computer on the same network renews its IP address. It then attempts to hijack the DNS configuration of other computers on the same LAN network.
Computers on the affected local network that renew their IP addresses may then receive DHCP packets that may use the following malicious DNS servers:
- 85.255.112.36
- 85.255.112.41
The trojan may also send ARP packets on the local network.
Человека я вычислил и завтра накажу, бггг.
Появляется вопрос: возможно ли такое поведение сервера DHCP всего-лишь из-за подмены ДНС серверов? Это реакция винды (кривые настройки) на получение настроек сразу от двух "типа серваков"?
Продолжу исследования и отпишу как и что, но все же будут интересны мнения других. Я еще с подобным не сталкивался.
