Специалисты фирмы «Доктор Веб» обследовали вредоносную программу Trojan.Rbrute, предназначенную для взлома паролей Wi-Fi-роутеров способом перебора (brute force), а уж тоже замены адресов DNS-серверов, указанных в настройках этих устройств. преступники пользуются эту вредоносную программу для распространения файлового вируса, знаменитого под именованием Win32.Sector.
Запустившись на инфицированном компьютере, работающем под управлением Windows, Trojan.Rbrute устанавливает сплетение с удаленным сервером так что ждет от него сообразных команд. В качестве одной из них троянец приобретает спектр айпишников для исполнения сканирования. вредная программа владеет функционалом по подбору паролей к надлежащим моделям Wi-Fi-роутеров: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII так что кое-каким другим. Фактически, троянец в силах исполнять две команды:
сканирование паутине по данному спектру IP-адресов;
перебор паролей по словарю.
При конкретно в данном перечисленные команды перестать делать взаимосвязаны так что имеют конец шансы производиться троянцем по отдельности. коли по единому из опрошенных айпишников находится работающий роутер, Trojan.Rbrute приобретает оттуда веб-страницу, измеряет модель устройства с внедрением тега realm=", так что рапортует об конкретно в данном событии на управляющий сервер.
Также троянец умножать приобрести команду на подбор пароля к обнаруженному роутеру по словарю — подобное поручение содержит конец нужные начальные данные: айпишник цели, DNS для замены так что лексика паролей. В качестве логина Trojan.Rbrute применяет смысла admin или же support.
Если аутентификация с подобранным сочетанием логина так что пароля прошла успешно, троянец рапортует на удаленный сервер об успешном факте взлома так что отправляет роутеру запрос на изменение адресов зарегистрированных в его настройках DNS-серверов. В итоге при попытке открытия в окне браузера разных сайтов юзер умножать пребывать перенаправлен на альтернативные ресурсы, специально сотворенные злоумышленниками. данная схема в истинное пора применяется киберпреступниками для расширения количества бот-сети, сотворенной с внедрением вредной программы Win32.Sector.
В цельном применяемая злодеями схема смотрится надлежащим образом.
На компьютер, уже инфицированный вирусом Win32.Sector, с внедрением этой вредной программы загружается Trojan.Rbrute.
Trojan.Rbrute приобретает с управляющего сервера поручения на розыск Wi-Fi-маршрутизаторов так что заданные для подбора паролей к ним.
В случае успеха Trojan.Rbrute заменяет в настройках роутера адреса DNS-серверов.
При попытке включения к вебу юзер незараженного компьютера, использующий подключение чрез скомпрометированный маршрутизатор, перенаправляется на специально сотворенную злодеями веб-страницу.
С этой вебстраницы на комп жертвы загружается вирус Win32.Sector так что инфицирует его.
Впоследствии Win32.Sector умножать завалить на снова инфицированный ПК копию троянца Trojan.Rbrute. Цикл повторяется.
Сигнатура Trojan.Rbrute добавлена в вирусные основы Dr.Web. знатоки фирмы «Доктор Веб» советуют обладателям Wi-Fi-роутеров перестать делать задействовать на своих устройствах опции по умолчанию так что ставить в административном интерфейсе роутеров сложные пароли, коие сделают труднее них взлом способом элементарного перебора.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости