BezpieczeństwoWirus włamuje się do routerów > redakcja Opublikowane 9 kwietnia 20140 0 104 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Zagrożenie Win32/Sality powstało głównie w celach zarobkowych i prawdopodobnie nadal skutecznie spełnia to założenie. Ten złośliwy program infekuje komputery użytkowników i przejmuje nad nimi kontrolę, zamieniając je w maszyny zombie, które bez wiedzy i zgody właścicieli wykorzystywane są do rozsyłania spamu albo do realizowania zmasowanych ataków DDoS (Distributed Denial of Service) na serwery WWW, w wyniku których konkretne strony stają się niedostępne w sieci.Analitycy zagrożeń, pracujący w laboratorium antywirusowym firmy ESET zauważyli w grudniu ubiegłego roku, że sieć zombie tworzona przez komputery zainfekowane Win32/Sality powiększyła się. Wstępna analiza wykazała, że zagrożenie zaczęło pracować „na dopingu” i jest wspomagane przez złośliwy kod identyfikowany jako Win32/RBrute. Win32/Sality posiłkuje się tym zagrożeniem w dwóch odmianach: A i B. Obie wersje są wykorzystywane przez Sality do rozbudowy istniejącej już sieci komputerów zombie, a według danych firmy ESET sieć ta jest dość pokaźna – twórcy Sality kontrolują obecnie ponad 115 tys. maszyn na całym świecie.Win32/RBrute w odmianie A można przyrównać do „headhuntera”, który odnajduje w sieci panele administracyjne następujących routerów:• D-Link DSL-2520U• D-Link DSL-2542B• D-Link DSL-2600U• Huawei EchoLife• TP-LINK• TP-Link TD-8816• TP-Link TD-8817• TP-Link TD-8817 2.0• TP-Link TD-8840T• TP-Link TD-8840T 2.0• TP-Link TD-W8101G• TP-Link TD-W8151N• TP-Link TD-W8901G• TP-Link TD-W8901G 3.0• TP-Link TD-W8901GB• TP-Link TD-W8951ND• TP-Link TD-W8961ND• TP-Link TD-W8961ND• ZTE ZXDSL 831CII• ZTE ZXV10 W300Jeśli użytkownik jednego z powyższych routerów włączył możliwość dostępu do swojego urządzenia spoza sieci domowej, Win32/RBrute spróbuje zalogować się do panelu administracyjnego urządzenia, stosując jedną z nazw użytkownika: „admin”, „administrator”, „support” lub „root” oraz jedno z kilkunastu najpopularniejszych haseł dostępowych, stosowanych przez Internautów. Wśród nich, prócz powtórzeń wspomnianych nazw, znaleźć można m.in.: „12345678”, „abc123”, „password”, „qwerty” czy (dość zabawne) „trustno1”. Jeśli któraś z kombinacji nazwy użytkownika i hasła okaże się prawidłowa, RBrute w wersji A włamuje się do routera i zmienia jego ustawienia.Wtedy do akcji wkracza Win32/RBrute w odmianie B, nazywany pieszczotliwie „egzekutorem”. Jego działanie uwidacznia się szczególnie w momencie, w którym użytkownik próbuje połączyć się z dowolną stroną w domenie „Google” lub „Facebook”. Każda taka próba kończy się nawiązaniem połączenia nie z wybraną stroną, a z innym komputerem zainfekowanym Win32/Sality. W efekcie użytkownikowi wyświetlana jest informacja o konieczności pobrania instalatora Google Chrome. Zbyt pochopna instalacja sugerowanego dodatku sprawia, że komputer użytkownika dołącza do grona maszyn zainfekowanych Win32/Sality, które kontroluje cyberprzestępca. – Jeśli posiadasz jeden z wymienionych powyżej routerów, upewnij się, że zdalny dostęp do routera spoza sieci domowej jest zablokowany, a Twoje hasło do routera jest wystarczająco silne. Komputer dla pewności zabezpiecz solidnym pakietem bezpieczeństwa, który nie zezwoli na przypadkowe pobranie i uruchomienie fałszywego instalatora – radzi Kamil Sadkowski, analityk zagrożeń z firmy ESET. Related Posts Przeczytaj również!Znowu fałszywe antywirusyZłote Blachy 2009 za walkę z piractwem Złośliwe oprogramowanie na nośnikachZagrożenie fałszywymi antywirusami rośnieZa darmo ochroni do 5 komputerów
Niemal co piąty Polak nie wie, czy był ofiarą internetowego oszustwa. Kto jest najbardziej narażony na ataki?
