Внимание, Вирусы!

Trojan.Rbrute

Распространяется через P2P-сеть Win32.Sector, представляет собой троянца для подбора паролей к Wi-Fi-роутерам.

Список роутеров, с которыми умеет работать троянец:

DSL router
D-Link: DSL-2520U, DSL-2600U
TP-LINK: TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G

Если в теге встречается одно из имен роутера, то бот сообщает на управляющий сервер об успешном обнаружении IP-адреса, троянец получает команду, после этого начинает перебор паролей. В качестве логина использует значения (по умолчанию):

admin, support, password

Если пароль сменили на сложный, взлом происходит через файл: /rom-0

После успешной авторизации, бот отправляет запросы на смену DNS в настройках модема. Первый адрес берет из собственного запроса ns1=.dns, в качестве второго подставляет адрес Google: ns2=8.8.8.8. И отправляет отчет на сервер об успешном подборе пароля.

Принцип работы:

Троянец используется для дальнейшего распространения Win32.Sector

  1. На компьютер, уже инфицированный троянцем Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute;
  2. Trojan.Rbrute получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов (DSL) и данные для подбора паролей к ним.
  3. В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов.
  4. При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу.
  5. С этой страницы на компьютер жертвы загружается троянец Win32.Sector и инфицирует его.
  6. Впоследствии Win32.Sector может загрузить на вновь инфицированный ПК копию троянца Trojan.Rbrute. Цикл повторяется.
  7. После выполнения всех необходимых сценарий выполняется команда: сброс настроек роутера

 

Сигнатура Trojan.Rbrute добавлена в вирусные базы. Рекомендуется владельцам Wi-Fi-роутеров не использовать на своих устройствах настройки по умолчанию и устанавливать в административном интерфейсе роутеров сложные пароли, которые затруднят их взлом методом простого перебора.

Что бы проверить Ваш компьютер на вирусы пожалуйста, кликните по ссылке.