eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetWin32/Sality zmienia komputery w zombie

Win32/Sality zmienia komputery w zombie

2014-04-07 13:35

Win32/Sality zmienia komputery w zombie

Win32/Sality zmienia komputery w zombie © cutimage - Fotolia.com

Eksperci z firmy antywirusowej ESET demaskują zagrożenie Win32/Sality, które poprzez włamanie do popularnych routerów, m.in. TP-Link TD-8816, D-Link DSL-2520U, Huawei EchoLife oraz ZTE ZXDSL 831CII, może zamienić komputer użytkownika w zombie. Złośliwy program powstał głównie w celach zarobkowych i najprawdopodobniej ciągle doskonale się w nich spełnia.

Przeczytaj także: Trojan.Rbrute atakuje routery WiFi

Przesłanką powstania zagrożenia Win32/Sality były cele ekonomiczne i prawdopodobnie nadal spełnia ono to założenie z dużą skutecznością. Jak wygląda schemat infekcji?

Ten złośliwy program infekuje komputery użytkowników i przejmuje nad nimi kontrolę, zamieniając je w maszyny zombie, które bez wiedzy i zgody właścicieli wykorzystywane są do rozsyłania spamu albo do realizowania zmasowanych ataków DDoS (Distributed Denial of Service) na serwery WWW, w wyniku których konkretne strony stają się niedostępne w sieci.

Analitycy zagrożeń, pracujący w laboratorium antywirusowym firmy ESET zauważyli w grudniu ubiegłego roku, że sieć zombie tworzona przez komputery zainfekowane Win32/Sality powiększyła się. Wstępna analiza wykazała, że zagrożenie zaczęło pracować „na dopingu” i jest wspomagane przez złośliwy kod identyfikowany jako Win32/RBrute. Win32/Sality posiłkuje się tym zagrożeniem w dwóch odmianach: A i B. Obie wersje są wykorzystywane przez Sality do rozbudowy istniejącej już sieci komputerów zombie, a według danych firmy ESET sieć ta jest dość pokaźna - twórcy Sality kontrolują obecnie ponad 115 tys. maszyn na całym świecie.

fot. cutimage - Fotolia.com

Win32/Sality zmienia komputery w zombie

Eksperci z firmy antywirusowej ESET poddali analizie zagrożenie, które włamuje się do popularnych routerów i zmienia ich ustawienia.


Win32/RBrute w odmianie A można przyrównać do „headhuntera”, który odnajduje w sieci panele administracyjne następujących routerów:
  • D-Link DSL-2520U
  • D-Link DSL-2542B
  • D-Link DSL-2600U
  • Huawei EchoLife
  • TP-LINK
  • TP-Link TD-8816
  • TP-Link TD-8817
  • TP-Link TD-8817 2.0
  • TP-Link TD-8840T
  • TP-Link TD-8840T 2.0
  • TP-Link TD-W8101G
  • TP-Link TD-W8151N
  • TP-Link TD-W8901G
  • TP-Link TD-W8901G 3.0
  • TP-Link TD-W8901GB
  • TP-Link TD-W8951ND
  • TP-Link TD-W8961ND
  • TP-Link TD-W8961ND
  • ZTE ZXDSL 831CII
  • ZTE ZXV10 W300

Jeśli użytkownik jednego z powyższych routerów włączył możliwość dostępu do swojego urządzenia spoza sieci domowej, Win32/RBrute spróbuje zalogować się do panelu administracyjnego urządzenia, stosując jedną z nazw użytkownika: „admin”, „administrator”, „support” lub „root” oraz jedno z kilkunastu najpopularniejszych haseł dostępowych, stosowanych przez Internautów. Wśród nich, prócz powtórzeń wspomnianych nazw, znaleźć można m.in.: „12345678”, „abc123”, „password”, „qwerty” czy (dość zabawne) „trustno1”. Jeśli któraś z kombinacji nazwy użytkownika i hasła okaże się prawidłowa, RBrute w wersji A włamuje się do routera i zmienia jego ustawienia.

Wtedy do akcji wkracza Win32/RBrute w odmianie B, nazywany pieszczotliwie „egzekutorem”. Jego działanie uwidacznia się szczególnie w momencie, w którym użytkownik próbuje połączyć się z dowolną stroną w domenie „Google” lub „Facebook”. Każda taka próba kończy się nawiązaniem połączenia nie z wybraną stroną, a z innym komputerem zainfekowanym Win32/Sality. W efekcie użytkownikowi wyświetlana jest informacja o konieczności pobrania instalatora Google Chrome. Zbyt pochopna instalacja sugerowanego dodatku sprawia, że komputer użytkownika dołącza do grona maszyn zainfekowanych Win32/Sality, które kontroluje cyberprzestępca.

- Jeśli posiadasz jeden z wymienionych powyżej routerów, upewnij się, że zdalny dostęp do routera spoza sieci domowej jest zablokowany, a Twoje hasło do routera jest wystarczająco silne. Komputer dla pewności zabezpiecz solidnym pakietem bezpieczeństwa, który nie zezwoli na przypadkowe pobranie i uruchomienie fałszywego instalatora – radzi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

oprac. : Aleksandra Baranowska-Skimina / eGospodarka.pl eGospodarka.pl

Spam II 2014

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: