<
  • Главная
Статьи

Trojan.Rbrute зламує Wi-Fi-роутери

5 березня 2014 року

Фахівці компанії «Доктор Веб» досліджували шкідливу програму Trojan.Rbrute , Призначену для злому паролів Wi-Fi-роутерів методом перебору (brute force), а також підміни адрес DNS-серверів, зазначених в налаштуваннях цих пристроїв. Зловмисники використовують дану шкідливу програму для поширення файлового вірусу, відомого під ім'ям Win32.Sector.

Запустити на інфікованому комп'ютері, що працює під управлінням Windows, Trojan.Rbrute встановлює з'єднання з віддаленим сервером і очікує від нього відповідних команд. В якості однієї з них троянець отримує діапазон IP-адрес для виконання сканування. Шкідлива програма має функціоналом по підбору паролів до наступних моделям Wi-Fi-роутерів: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND , TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII і деяким іншим. Фактично, троянець здатний виконувати дві команди:

  1. сканування мережі по заданому діапазону IP-адрес;
  2. перебір паролів по словнику.

При цьому перераховані команди не взаємопов'язані і можуть виконуватися троянцем окремо. Якщо по одному з опитаних IP-адрес виявляється працює роутер, Trojan.Rbrute отримує звідти веб-сторінку, визначає модель пристрою з використанням тега realm = \ ", і рапортує про цю подію на керуючий сервер.

Також троянець може отримати команду на підбір пароля до виявленого роутера за словником - таке завдання містить всі необхідні вихідні дані: IP-адреса цілі, DNS для підміни і словник паролів. В якості логіна Trojan.Rbrute використовує значення admin або support.

Rbrute   використовує значення admin або support

Якщо аутентифікація з підібраним поєднанням логіна і пароля пройшла успішно, троянець рапортує на віддалений сервер про успішне факт злому і посилає роутера запит на зміну адрес зареєстрованих в його налаштуваннях DNS-серверів. В результаті при спробі відкриття у вікні браузера різних веб-сайтів користувач може бути перенаправлений на інші ресурси, спеціально створені зловмисниками. Ця схема в даний час використовується кіберзлочинцями для розширення чисельності бот-мережі, створеної з використанням шкідливої ​​програми Win32.Sector.

В цілому використовувана зловмисниками схема виглядає наступним чином.

  1. На комп'ютер, вже інфікований вірусом Win32.Sector, з використанням цієї шкідливої ​​програми завантажується Trojan.Rbrute .
  2. Trojan.Rbrute отримує з керуючого сервера завдання на пошук Wi-Fi-маршрутизаторів і дані для підбору паролів до них.
  3. У разі успіху Trojan.Rbrute підміняє в настройках роутера адреси DNS-серверів.
  4. При спробі підключення до Інтернету користувач незараженої комп'ютера, який використовує підключення через скомпрометований маршрутизатор, перенаправляється на спеціально створену зловмисниками веб-сторінку.

    При спробі підключення до Інтернету користувач незараженої комп'ютера, який використовує підключення через скомпрометований маршрутизатор, перенаправляється на спеціально створену зловмисниками веб-сторінку

  5. З цієї сторінки на комп'ютер жертви завантажується вірус Win32.Sector і інфікує його.
  6. Згодом Win32.Sector може завантажити на знову інфікований ПК копію троянця Trojan.Rbrute . Цикл повторюється.

сигнатура Trojan.Rbrute додана в вірусні бази Dr.Web. Фахівці компанії «Доктор Веб» рекомендують власникам Wi-Fi-роутерів не використовувати на своїх пристроях налаштування за замовчуванням і встановлювати в адміністративному інтерфейсі роутерів складні паролі, які ускладнять їх злом методом простого перебору.



Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью