Trojan.Rbrute взламывает Wi-Fi роутеры | Ofisp.org

Trojan.Rbrute взламывает Wi-Fi роутеры

28 Март 201408:28

Специалисты компании «Доктор Веб» исследовали вредоносную программу Trojan.Rbrute, предназначенную для взлома паролей Wi-Fi-роутеров методом перебора (brute force), а также подмены адресов DNS-серверов, указанных в настройках этих устройств. Злоумышленники используют данную вредоносную программу для распространения другого троянца, известного под именем Win32.Sector.

Запустившись на инфицированном компьютере, работающем под управлением Windows, Trojan.Rbrute устанавливает соединение с удаленным сервером и ожидает от него соответствующих команд. В качестве одной из них троянец получает диапазон IP-адресов для выполнения сканирования. Вредоносная программа обладает функциональностью по подбору паролей к следующим моделям Wi-Fi-роутеров: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII и некоторым другим.

Фактически, троянец способен выполнять две команды: сканирование сети по заданному диапазону IP-адресов; перебор паролей по словарю. При этом перечисленные команды не взаимосвязаны и могут выполняться троянцем по отдельности. Если по одному из опрошенных IP-адресов обнаруживается работающий роутер, Trojan.Rbrute получает оттуда веб-страницу, определяет модель устройства с использованием тега realm=\", и рапортует об этом событии на управляющий сервер.

Также троянец может получить команду на подбор пароля к обнаруженному роутеру по словарю — такое задание содержит все необходимые исходные данные: IP-адрес цели, DNS для подмены и словарь паролей. В качестве логина Trojan.Rbrute использует значения admin или support.

Если аутентификация с подобранным сочетанием логина и пароля прошла успешно, троянец рапортует на удаленный сервер об успешном факте взлома и посылает роутеру запрос на изменение адресов зарегистрированных в его настройках DNS-серверов. В результате при попытке открытия в окне браузера различных веб-сайтов пользователь может быть перенаправлен на другие ресурсы, специально созданные злоумышленниками. Эта схема в настоящее время используется киберпреступниками для расширения численности бот-сети, созданной с использованием вредоносной программы Win32.Sector.

В целом используемая злоумышленниками схема выглядит следующим образом. На компьютер, уже инфицированный троянцем Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute. Trojan.Rbrute получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов и данные для подбора паролей к ним. В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов. При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу. С этой страницы на компьютер жертвы загружается троянец Win32.Sector и инфицирует его. Впоследствии Win32.Sector может загрузить на вновь инфицированный ПК копию троянца Trojan.Rbrute. Цикл повторяется.

Похожие материалы

18.02.2014
Хакеры взломали сайт Kickstarter, который помогает авторам собрать средства на осуществление своих проектов. Об этом в ночь на воскресенье, 16 февраля, сообщила администрация сервиса в корпоративном блоге.
29.04.2014
Корпорация Oracle провела в Москве форум Oracle CloudWorld (см. «Облака против сложности», Computerworld Россия, № 10, 2014), крупнейшее, по утверждению московского офиса, бизнес-мероприятие корпорации в России. Валерий Лановенко, глава представительства Oracle в России и СНГ, ответил на вопросы Computerworld Россия. - Oracle трансформирует свои предложения от СУБД к полному спектру ИТ-решений. Каким образом эта трансформация отражается на российском бизнесе корпорации?
03.12.2013
Освободиться от «мобильного рабства» уже пожелали 230 человек. Другими словами, заявление о желании сменить оператора написал один абонент на миллион активных SIM-карт. Сами же операторы призывают граждан не торопиться со сменой компании и открыто говорят о том, что у тех, кто сделает это до нового года, могут возникнуть проблемы. Если бы у нас были такие пульты как пульты для телевизоров, где нажав кнопку мы сразу получаем то что хотели и без негативных последствий, но увы. Это подтверждает генеральный директор аналитического агентства Telecomdaily Денис Кусков: «Сотовые телефоны – это не только голосовая связь, это еще много других услуг. Какие проблемы могут быть?
05.09.2013
Эксперты «Лаборатории Касперского» впервые зафиксировали новый способ распространения мобильных троянцев – через мобильные ботнеты, созданные на основе другой вредоносной программы. По крайней мере, именно этот метод, среди прочих традиционных, избрали злоумышленники, стоящие за самым сложным мобильным троянцем Obad с широкими вредоносными функциями и хорошо зашифрованным кодом.
22.11.2013
Венчурный инвестор Евгений Гордеев работает над созданием в России «бесплатного сотового оператора», работающего по freemium-модели. Запуск оператора может состояться летом 2014 г. По замыслу Гордеева, при использовании инфраструктуры существующих сотовых операторов может быть построен прибыльный оператор сотовой связи, работающий по условно бесплатной (freemium) модели. Операторы, использующие чужую инфраструктуру, называются «виртуальными операторами» или MVNO (Mobile Virtual Network Operator).

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв