Wirus egzekutor zamienia komputer w zombie

Mamy listę urządzeń, które ostatnio upodobali sobie hakerzy.

Eksperci z firmy antywirusowej ESET poddali analizie zagrożenie, które włamuje się do popularnych routerów i zmienia ich ustawienia. W konsekwencji próba połączenia użytkownika routera z serwisem Facebook lub wyszukiwarką Google może skończyć się zainfekowaniem maszyny zagrożeniem Win32/Sality, które zamieni komputer w zombie.

Zagrożenie Win32/Sality powstało głównie w celach zarobkowych i prawdopodobnie nadal skutecznie spełnia to założenie. Ten złośliwy program infekuje komputery użytkowników i przejmuje nad nimi kontrolę, zamieniając je w maszyny zombie, które bez wiedzy i zgody właścicieli wykorzystywane są do rozsyłania spamu albo do realizowania zmasowanych ataków DDoS (Distributed Denial of Service) na serwery WWW, w wyniku których konkretne strony stają się niedostępne w sieci.

Analitycy zagrożeń zauważyli w grudniu ubiegłego roku, że sieć zombie tworzona przez komputery zainfekowane Win32/Sality powiększyła się. Wstępna analiza wykazała, że zagrożenie zaczęło pracować na dopingu i jest wspomagane przez złośliwy kod identyfikowany jako Win32/RBrute. Win32/Sality posiłkuje się tym zagrożeniem w dwóch odmianach: A i B. Obie wersje są wykorzystywane przez Sality do rozbudowy istniejącej już sieci komputerów zombie, a według danych firmy ESET sieć ta jest dość pokaźna - twórcy Sality kontrolują obecnie ponad 115 tys. maszyn na całym świecie.

Win32/RBrute w odmianie A można przyrównać do headhuntera, który odnajduje w sieci panele administracyjne następujących routerów:

- D-Link DSL-2520U
- D-Link DSL-2542B
- D-Link DSL-2600U
- Huawei EchoLife
- TP-LINK
- TP-Link TD-8816
- TP-Link TD-8817
- TP-Link TD-8817 2.0
- TP-Link TD-8840T
- TP-Link TD-8840T 2.0
- TP-Link TD-W8101G
- TP-Link TD-W8151N
- TP-Link TD-W8901G
- TP-Link TD-W8901G 3.0
- TP-Link TD-W8901GB
- TP-Link TD-W8951ND
- TP-Link TD-W8961ND
- TP-Link TD-W8961ND
- ZTE ZXDSL 831CII
- ZTE ZXV10 W300

Jeśli użytkownik jednego z powyższych routerów włączył możliwość dostępu do swojego urządzenia spoza sieci domowej, Win32/RBrute spróbuje zalogować się do panelu administracyjnego urządzenia, stosując jedną z nazw użytkownika: admin, administrator, support lub root oraz jedno z kilkunastu najpopularniejszych haseł dostępowych, stosowanych przez Internautów. Wśród nich, prócz powtórzeń wspomnianych nazw, znaleźć można m.in.: 12345678, abc123, password, qwerty czy (dość zabawne) trustno1. Jeśli któraś z kombinacji nazwy użytkownika i hasła okaże się prawidłowa, RBrute w wersji A włamuje się do routera i zmienia jego ustawienia.

Wtedy do akcji wkracza Win32/RBrute w odmianie B, nazywany pieszczotliwie egzekutorem. Jego działanie uwidacznia się szczególnie w momencie, w którym użytkownik próbuje połączyć się z dowolną stroną w domenie Google lub Facebook. Każda taka próba kończy się nawiązaniem połączenia nie z wybraną stroną, a z innym komputerem zainfekowanym Win32/Sality. W efekcie użytkownikowi wyświetlana jest informacja o konieczności pobrania instalatora Google Chrome. Zbyt pochopna instalacja sugerowanego dodatku sprawia, że komputer użytkownika dołącza do grona maszyn zainfekowanych Win32/Sality, które kontroluje cyberprzestępca.

- Jeśli posiadasz jeden z wymienionych powyżej routerów, upewnij się, że zdalny dostęp do routera spoza sieci domowej jest zablokowany, a Twoje hasło do routera jest wystarczająco silne. Komputer dla pewności zabezpiecz solidnym pakietem bezpieczeństwa, który nie zezwoli na przypadkowe pobranie i uruchomienie fałszywego instalatora - radzi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"