Wirus włamuje się do routerów i zamienia komputery w zombie

Zagrożenie Win32/Sality powstało głównie w celach zarobkowych i prawdopodobnie nadal skutecznie spełnia to założenie. Ten złośliwy program infekuje komputery użytkowników i przejmuje nad nimi kontrolę, zamieniając je w maszyny zombie, które bez wiedzy i zgody właścicieli wykorzystywane są do rozsyłania spamu albo do realizowania zmasowanych ataków DDoS (Distributed Denial of Service) na serwery WWW, w wyniku których konkretne strony stają się niedostępne w sieci.

Analitycy zagrożeń, pracujący w laboratorium antywirusowym firmy Eset zauważyli w grudniu ubiegłego roku, że sieć zombie tworzona przez komputery zainfekowane Win32/Sality powiększyła się. Wstępna analiza wykazała, że zagrożenie zaczęło pracować „na dopingu” i jest wspomagane przez złośliwy kod identyfikowany jako Win32/RBrute. Win32/Sality posiłkuje się tym zagrożeniem w dwóch odmianach: A i B. Obie wersje są wykorzystywane przez Sality do rozbudowy istniejącej już sieci komputerów zombie, a według danych firmy Eset, sieć ta jest dość pokaźna - twórcy Sality kontrolują obecnie ponad 115 tys. maszyn na całym świecie.   Win32/RBrute w odmianie A można przyrównać do „headhuntera”, który  odnajduje w sieci panele administracyjne następujących routerów:  D-Link DSL-2520U D-Link DSL-2542B D-Link DSL-2600U Huawei EchoLife TP-LINK TP-Link TD-8816 TP-Link TD-8817 TP-Link TD-8817 2.0 TP-Link TD-8840T TP-Link TD-8840T 2.0 TP-Link TD-W8101G TP-Link TD-W8151N TP-Link TD-W8901G TP-Link TD-W8901G 3.0 TP-Link TD-W8901GB TP-Link TD-W8951ND TP-Link TD-W8961ND TP-Link TD-W8961ND ZTE ZXDSL 831CII ZTE ZXV10 W300  Jeśli użytkownik jednego z powyższych routerów włączył możliwość dostępu do swojego urządzenia spoza sieci domowej, Win32/RBrute spróbuje zalogować się do panelu administracyjnego urządzenia, stosując jedną z nazw użytkownika: „admin”, „administrator”, „support” lub „root” oraz jedno z kilkunastu najpopularniejszych haseł dostępowych, stosowanych przez internautów. Wśród nich, prócz powtórzeń wspomnianych nazw, znaleźć można m.in.: „12345678”, „abc123”, „password”, „qwerty” czy (dość zabawne) „trustno1”. Jeśli któraś z kombinacji nazwy użytkownika i hasła okaże się prawidłowa, RBrute w wersji A włamuje się do routera i zmienia jego ustawienia.   Wtedy do akcji wkracza Win32/RBrute w odmianie B, nazywany pieszczotliwie „egzekutorem”. Jego działanie uwidacznia się szczególnie w momencie, w którym użytkownik próbuje połączyć się z dowolną stroną w domenie „Google” lub „Facebook”. Każda taka próba kończy się nawiązaniem połączenia nie z wybraną stroną, a z innym komputerem zainfekowanym Win32/Sality. W efekcie użytkownikowi wyświetlana jest informacja o konieczności pobrania instalatora Google Chrome. Zbyt pochopna instalacja sugerowanego dodatku sprawia, że komputer użytkownika dołącza do grona maszyn zainfekowanych Win32/Sality, które kontroluje cyberprzestępca.  - Jeśli posiadasz jeden z wymienionych powyżej routerów, upewnij się, że zdalny dostęp do routera spoza sieci domowej jest zablokowany, a twoje hasło do routera jest wystarczająco silne. Komputer dla pewności zabezpiecz solidnym pakietem bezpieczeństwa, który nie zezwoli na przypadkowe pobranie i uruchomienie fałszywego instalatora – radzi Kamil Sadkowski, analityk zagrożeń z firmy Eset.