Ritkán posztolok új kártevőkről, mivel valószínűleg egy egész főállású szerkesztőség is kevés lenne a "piac" eseményeinek nyomonkövetésére. Ma azonban a Symantec egy olyan trójai variánsról adott hírt, amely azon kívül, hogy működését tekintve is kifejezetten érdekes, okot ad arra, hogy ismét felszólaljak a Minek-Nekem-Antivírus júzerekkel szemben. 

A Trojan.Flush.M névre keresztelt gazfickó egy DHCP szervert csinál a fertőzött gépekből, és vezeték nélküli hálózatokban folyamatosan monitorozza rajtuk keresztül a hálózati forgalmat, melyben DHCP kéréseket keres, ezekre pedig nyomban válaszol is, két kétes hírű DNS szerver címét adva meg névkiszolgálónak. 

Mit is jelent ez? Minek-Nekem-Antivírus Józsi benyalja a trójait. Észrevenni az ég világon semmit nem fog (Józsinak nyilván tűzfala sincs, mert az még az antivírusoknál is idegesítőbb jószág), a cuki kis program viszont szépen átírja a DNS konfigurációt, és amikor óvatlan barátunk ellátogat mondjuk az eBay-re, valójában nem az eredeti oldal, hanem annak tökéletes másolata fog megjelenni böngészője képernyőjén, ami annak rendje módja szerint el is küldi Józsika összes személyes- és számlaadatát a rosszfiúknak.

Ez eddig persze nem nagy ok a szívfájdalomra. Ha azonban Józsi mondjuk betér a kedvenc netkávézójába és felcsapja a laptopját, a környéken bejelentkező számítógépek - legyenek azok akár tökig patchelt Macek, Linuxok vagy OpenBSD-k - könnyen megkaphatják ugyanezeket a gázos DNS beállításokat Józsikától, és onnantól ők sem mindig oda fognak bejelentkezni, ahova szeretnének. 

Persze egyrészt a fertőzött gép mindig versenyt fut a legitim routerrel, ezért a továbbterjedés nem garantált, másrészt az SSL-hitelesített kapcsolatok morogni fognak - persze ez utóbbi nem sokat ér ha nincs olyan egységsugarú felhasználó, aki odafigyelne a kapcsolatai titkosságára.

A vírusfertőzés tehát nem magánügy, tessék védekezni! IRL is ;)