Інтернет-магазин Jammer завжди стежить за останніми новинами у сфері захисту інформації. Сьогодні ми вирішили розповісти про нову загрозу для WiFi роутерів. Кваліфіковані фахівці з компанії «Доктор Веб» зуміли знайти шкідливу програму під назвою Trojan.Rbrute, яка була створена для злому найскладніших паролів Wi-Fi-роутерів методом перебору «brute force» і підміни DNS-серверів, які задані в налаштуваннях даних пристроїв. Всі зловмисники використовують цю програму, щоб поширювати інший троян, який відомий під назвою Win32.Sector.

Після того, як програма запуститься на абсолютно будь-якому ПК під управлінням ОС Windows, цей вірус встановлює з'єднання з віддаленим сервером і починає чекати від нього певних команд. В якості однієї з таких команд, йому передається діапазон IP-адрес для сканування. Як відомо, все бездротові мережі дуже вразливі . Дана програма може легко підібрати потрібні паролі до певних моделей Wi-Fi-роутерів: TD-W8961ND, TD-W8101G, D-Link DSL-2520U, TD-8840T, TP-Link TD-W8901G, TD-W8901GB, TD-8817, TD-8840T 2.0, DSL-2600U, ZTE ZXV10 W300, TD-W8961ND, ZXDSL 831CII і також деяким іншим моделям.

В принципі, цей троянець може виконувати дві основні команди:

- сканування доступних мереж по заздалегідь заданому діапазону IP-адрес;

- підбір паролів по величезному словником.

При цьому всі перераховані команди абсолютно не пов'язані і можуть бути виконані програмою окремо. Якщо вірус, який, до речі, ніж те схожий з іншим вірусом під Windows - W32.Flamer , По одному з IP-адрес виявляє функціонуючий роутер, троян відразу отримує веб-сторінку, визначає модель апарату, завдяки використанню спеціального тега realm = \ », але також і повідомляє про цю подію на керуючий сервер. Ще вірус може отримати команду, на початок підбору пароля до знайденого роутера за словником - це завдання має всі потрібні вихідні дані: IP-адреса пристрою, DNS і цілий словник паролів. Як логін, програма-вірус використовує значення support або admin.

Якщо процес аутентифікації з таким поєднанням логіна і пароля був проведений успішно, програма повідомляє на заданий віддалений сервер про успішне зломі і відразу передає роутера запит на зміну адрес, які зареєстровані в настройках DNS-серверів. Через це, під час спроби відкриття в браузері різноманітних веб-сайтів користувач може відразу бути перенаправлений на інші ресурси, які були спеціально створені бандитами. Дана схема зараз застосовується найбільшими кіберпріступнікамі для збільшення чисельності бот-мережі, яка створена із застосуванням шкідливої ​​вірус-програми Win32.Sector. Не виключено, що подібний вірус незабаром може дістатися і до інших гаджетів, як наприклад, електронні WiFi / Bluetooth замки .

В принципі, схема, яку застосовують зловмисники, виглядає приблизно таким чином:

1. На персональний комп'ютер, який вже був заражений трояном Win32.Sector, з його використанням завантажується також Trojan.Rbrute;

2. Потім, Trojan.Rbrute отримує з керуючого сервера спеціальні завдання для початку пошуків Wi-Fi-маршрутизаторів, а також дані для підбору потрібних паролів до них;

3. Якщо все пройде успішно, вірус-програма Trojan.Rbrute в настройках роутера замінює адреси DNS-серверів;

4. Під час підключення до мережі Інтернет, користувач незараженої персонального комп'ютера, який використовує підключення до мережі через зламаний маршрутизатор, відразу перенаправляється на раніше створену спеціальну веб-сторінку зловмисника;

5. Потім, з даної сторінки на ПК жертви, моментально завантажується троян Win32.Sector і повністю інфікує його;

6. Після цього, вірус Win32.Sector може завантажити і знову інфікувати комп'ютер копією трояна Trojan.Rbrute. Потім цикл повторюється.

Кваліфіковані фахівці з відомої компанії «Доктор Веб» дуже настійно рекомендують всім господарям Wi-Fi-роутерів ніколи не використовувати на них стандартні параметри, а завжди намагатися в адміністративному інтерфейсі пристроїв встановлювати складні паролі, які зможуть максимально утруднити їх злом, за допомогою елементарного методу «перебору». Ми ж можемо порекомендувати подавители WiFi роутерів для повної безпеки.