Зловредна програма Trojan.Rbrute краде пароли за Wi-Fi рутери по метода „brute force” и подменя адреси на DNS сървъри, указани в настройките на устройството.
Атакуващите използват тази програма, за да разпространят друг троянец, известен като Win32.Sector, алармира компанията за сигурност Доктор Уеб (Dr.Web).
Сред като бъде пуснат на инфектиран компютър под управление на Windows, Trojan.Rbrute установява връзка с отдалечен сървър и остава в очакване на команди от него. Една такава команда съдържа диапазон с IP адреси за сканиране.
Зловредният софтуер може да разбива паролите на популярни Wi-Fi рутери на D-Link, TP-Link, ZTE и други устройства, твърди Доктор Уеб. Когато извърши успешна автентификация, троянецът докладва на отдалечения сървър и иска разрешение да промени настройките на DNS сървъра, записани в рутера.
Крайният резултат е, че при опит да отвори даден сайт в браузъра, потребителят бива пренасочван към друг уеб ресурс, създаден за целите на атакуващите. В момента тази схема се използва за разширяване на ботмрежи чрез Win32.Sector.
7 коментара
Здравейте.
За три седмици , два пъти си преинсталирам компа , понеже при сърфиране започват да ми излизат досадни рекламни прозорци , които изяждат близо една трета от екрана. При първата и втората инсталация използвах различни инсталационни дискове защото си мислих ,че проблема е от конкретния windows.Инсталирал съм и ползвам Malwarebytes и hitman и CCleaner. Никакъв резултат. Възможно лие рутера ми да е заразен с подобен вирус и подобен начин на лечение ли препоръчвате с ресетване и смяна на дсн?
Saevar още веднъж благодаря. Направо си гуру.
да, вирусът влиза първо в компютъра и от него влиза в рутера, за това споменах 4е ако правиш промени в настройките на рутера винаги изтривай хисторито от браузъра понеже вирусът търси паролата за рутера … и пак зависи какъв вирус е… ако вирус влезе в рутера директно то ще е най ве4е заради ъпдейт от производителя, но моя съвет е просто да си сложиш ай-питата на гугъл DNS сървърите както съм описал в предния си коментар точка 4, и така няма да си зависим от ДНС-а на рутера или на интернет достав4икът ти а директно ще пита гугъл ДНС-а, може да използваш и на OpenDNS айпитата които са: 208.67.222.222 и 208.67.220.220
Saevar благодаря. Това са яки съвети. Ама да питам, пак ли съм в опасност дори и рутъра да е откачен от всякакви ЛАН кабели от компа. Т.е. в него влиза само ЛАН-а от провайдъра и всичко друго е безжично.
съветът ми е:
1- сменете името на потребителя на рутера от admin с някакво друго ако рутера ви позволява това.
2- паролата да е най малко 10 инициала дълга със съдържание на то4ки, големи и малки букви
3-ако влизате в настройките на рутера после изтриите хисторито от браузъра си ведна след като свършите
4-от компютъра си ( зависи коя дистрибуциа ползвате дали Win или Linux)примера ви го давам за Windows 8, от Network and Sharing Center – Change adapter settings на ethernet ili Wi-fi десен клик Properties и кликвате 2 пъти на Internet Protocol Version 4 в по долната 4аст на прозореца където пише Obtain DNS server address automatically изберете по долното под него и на Preferred DNS server слагате на гугъл ДНС адреса който е 8.8.8.8 и под него слагате 8.8.4.4 ок и това е,
5-а ако сте хванали вече такъв вирус в рутера просто натиснете на рутера си reset за да го ресетнете … това е 🙂 наздраве че петък е вече не се трае треба се пие 🙂
Тия рутъри са голяма тъпня. Нямат никъв блокаж на броя на опитите за влизане. Пускат им един генератор, пият едно кафе и станало. Ами ще ги рабиват как няма.
И точно за същото става въпрос – “Зловредният софтуер може да разбива паролите на популярни Wi-Fi рутери …”
Тия дето ги правят на кой свят са, да му се не знае ??
Добре е и да дадете някакви опции за противодействие , иначе полезна информация.