Эксперты компании Dr. Web провели исследование трояна Rbrute, используемого для взлома Wi-Fi маршрутизаторов и распространения вредоносного ПО одного из старейших семейств Sality. Ему удалось продержаться столько времени благодаря способу распространения и коммуникационным возможностям.
Вирус способен отключать антивирусное ПО и межсетевые экраны, похищать информацию с зараженного компьютера и использовать его для рассылки спама, скачивать дополнительные вредоносные программы и т. д. Кроме того, он может использоваться в качестве руткита и распространяется через съемные накопители и сетевые ресурсы. Вредонос также работает в сочетании с вышеупомянутым трояном.
«После загрузки на Windows троян Rbrute устанавливает соединение с удаленным сервером и ждет дальнейших инструкций. Одна из них обеспечивает троян определенным количеством IP-адресов для сканирования», - поясняют эксперты. Помимо этого, ПО используется для осуществления атак по словарю. В случае их успешного проведения, троян отсылает соответствующий отчет на сервер, который затем дает команду маршрутизатору изменить настройки DNS-адресов.
Таким образом при попытке зайти на какой-либо сайт, пользователь перенаправляется на созданный злоумышленниками ресурс. По словам исследователей, данная схема применяется киберпреступниками для расширения ботнета, созданного при помощи вируса Win32.Sector, который также относится к семейству Sality.
Rbrute способен взламывать пароли к маршрутизаторам D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII.
Источник: SecurityLab
|