DNSChange 트로이목마는 DNS 파밍 공격(Pharming Attack)으로 보입니다. 이 트로이목마는 시만텍에서 Trojan.Flush.M이라고 이름지어졌으며, 컴퓨터가 이 트로이목마에 감염되면 가자의 DHCP 서버를 생성합니다.
SANS 인터넷 스톰 센터에 따르면 이 트로이목마는 로컬 컴퓨터의 네트워크 설정에 있는 DNS 정보 또한 변경한다고 합니다.
12월 초에는 이 트로이목마가 널리 퍼져있지 않았지만, 공격의 특성상 성공시에는 꽤 영향을 미칠 것이라고 합니다.
트로이목마가 감염된 컴퓨터가 빠르거나 네트워크 대역폭이 충분하여 DHCP 패킷을 많이 전송할 수 있다면 다른 컴퓨터의 네트워크 구성을 쉽사리 변경할 수 있을 것이라고 시만텍의 엘리어 플로이오가 블로그에서 밝혔다. "정상적인 DHCP 서버와 가짜 DHCP 서버가 경쟁을 벌이게 되면 운이나 성능에 따라 승패가 결정될 수 있으며, 공격이 항상 성공하는 것은 아니라고 한다"
하여튼, 감염된 컴퓨터가 이기는 경우에는 가짜 DNS 서버로 요청을 우회하도록 네트워크의 다른 컴퓨터를 조정하게 됩니다. 감염되지 않은 컴퓨터에 로그온할 때에 사용자가 알 수 없는 상태에서 가짜 사이트로 방문하게 될 수 있습니다.
이 공격을 진단하기 위해서는 DHCP 서버가 아닌 컴퓨터에서 트래픽이 발생하는지 검사하는 방법을 추천합니다. 또한 SANS에 따르면 이 트로이목마는 85.255 네트워크 대역으로 DNS 설정을 변경하므로 85.255.112.0-85.255.127.255 구간을 차단하거나 모니터링하는 방법을 사용해도 됩니다.
