17  мар

Встречайте, гроза wi-fi-роутеров: Trojan.Rbrute

Встречайте, гроза wi-fi-роутеров: Trojan.RbruteНа днях разработчики антивируса Dr. Web обнаружили программу Trojan.Rbrute, которая используется злоумышленниками для взлома роутеров с wi-fi технологией брут форса, т.е. перебора возможных паролей, и замены адресов для DNS-серверов, прописанных в настройках роутера. И все это – для распространения известного трояна Win32.Sector.
Важно отметить, что 3g роутеры намного более устойчивы к таким вирусам, так как программное обеспечение имеет большую степень зашиты, что делает их практически неуязвимыми.

Принцип работы вирусной программы прост: запустившись на компьютере жертвы, Trojan.Rbrute соединяется с удаленным сервером для получения последующих команд. Одна из таких команд: список IP-адресов для сканирования. На сегодняшний день программа способна таким образом подбирать пароли к роутерам компаний D-Link. Для взлома вредоносное ПО использует два метода: сканирование сети по ее списку IP-адресов и тупой перебор паролей. Самое интересное, что эти две команды не связаны между собой и программа способна выполнять их отдельно друг от друга, что, несомненно, повышает ее опасность для пользователей.

Когда по одному из IP-адресов находится доступный роутер, Trojan.Rbrute определяет адрес открытой через роутер веб-страницы, с помощью нее соединяется с роутером, получает сведения о модели устройства и сообщает о результатах на свой сервер.

Также программа может получить команду для подбора пароля к роутеру по словарю. Эта команда посылается со всеми необходимыми данными: DNS для замены, IP-адрес, словарь с паролями. В этом случае троянец использует логины admin и support.

Когда логин и пароль подобраны, и аутентификация прошла успешно, программа с радостью сообщает на сервер об удачном взломе и сразу же посылает роутеру запрос на замену его DNS-адресов. В итоге, когда пользователь пытается открыть веб-сайт в браузере, его будет переносить на сторонние ресурсы, заранее созданные мошенниками не для самых благих намерений. Сегодня этим способом вовсю пользуются интернет-преступники для увеличения своих бот-сетей, в чем им и помогает упомянутый ранее Win32.Sector, который попадает на ПК через интернет-страницу мошенников.

Давайте еще раз вкратце рассмотрим схему работы Trojan.Rbrute:

1. На компьютер, который заражен троянцем Win32.Sector, загружается вредоносная программа Trojan.Rbrute.

2. Trojan.Rbrute начинает работать: подключаясь к своему серверу, программа получает задание о взломе роутера одним из двух доступных ей способов.

3. После успешного взлома роутера, Trojan.Rbrute заменяет DNS-адреса роутера на свои собственные, полученные с сервера мошенников.

4. При попытке выхода в Сеть с компьютера, который подключен к сети wi-fi взломанного роутера, происходит переадресация на мошеннический сайт, на котором хранится Win32.Sector.

5. Win32.Sector инфицирует компьютер. При необходимости он загружает на свежий зараженный компьютер Trojan.Rbrute, и весь процесс повторяется на компьютере новой жертвы.

Разработчики антивируса Dr. Web советуют владельцам роутеров с wi-fi компании D-Link быть осторожными, не использовать дефолтные настройки и прописывать в роутере сложные пароли, которые тяжело взломать методом брут форса. Создать такой пароль можно на множестве сайтов по генерации случайных паролей.



Обнаружили ошибку в тексте или не рабочую ссылку? Выделите ошибку или ссылку мышкой и нажмите Ctrl+Enter!

Добавление комментария

Ваше Имя:
Ваш E-Mail:

Вопрос: Пятью пять (цифрами)

Введите ответ: