Wirus włamuje się do routerów i zamienia komputery w zombie

Zagrożenie Win32/Sality powstało głównie w celach zarobkowych i prawdopodobnie nadal skutecznie spełnia to założenie. Ten złośliwy program infekuje komputery użytkowników i przejmuje nad nimi kontrolę, zamieniając je w maszyny zombie, które bez wiedzy i zgody właścicieli wykorzystywane są do rozsyłania spamu albo do realizowania zmasowanych ataków DDoS (Distributed Denial of Service) na serwery WWW, w wyniku których konkretne strony stają się niedostępne w sieci. 

Analitycy zagrożeń, pracujący w laboratorium antywirusowym firmy Eset zauważyli w grudniu ubiegłego roku, że sieć zombie tworzona przez komputery zainfekowane Win32/Sality powiększyła się. Wstępna analiza wykazała, że zagrożenie zaczęło pracować „na dopingu” i jest wspomagane przez złośliwy kod identyfikowany jako Win32/RBrute. Win32/Sality posiłkuje się tym zagrożeniem w dwóch odmianach: A i B. Obie wersje są wykorzystywane przez Sality do rozbudowy istniejącej już sieci komputerów zombie, a według danych firmy Eset, sieć ta jest dość pokaźna - twórcy Sality kontrolują obecnie ponad 115 tys. maszyn na całym świecie.  
 
Win32/RBrute w odmianie A można przyrównać do „headhuntera”, który  odnajduje w sieci panele administracyjne następujących routerów:
 
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300
 
Jeśli użytkownik jednego z powyższych routerów włączył możliwość dostępu do swojego urządzenia spoza sieci domowej, Win32/RBrute spróbuje zalogować się do panelu administracyjnego urządzenia, stosując jedną z nazw użytkownika: „admin”, „administrator”, „support” lub „root” oraz jedno z kilkunastu najpopularniejszych haseł dostępowych, stosowanych przez internautów. Wśród nich, prócz powtórzeń wspomnianych nazw, znaleźć można m.in.: „12345678”, „abc123”, „password”, „qwerty” czy (dość zabawne) „trustno1”. Jeśli któraś z kombinacji nazwy użytkownika i hasła okaże się prawidłowa, RBrute w wersji A włamuje się do routera i zmienia jego ustawienia.  
 
Wtedy do akcji wkracza Win32/RBrute w odmianie B, nazywany pieszczotliwie „egzekutorem”. Jego działanie uwidacznia się szczególnie w momencie, w którym użytkownik próbuje połączyć się z dowolną stroną w domenie „Google” lub „Facebook”. Każda taka próba kończy się nawiązaniem połączenia nie z wybraną stroną, a z innym komputerem zainfekowanym Win32/Sality. W efekcie użytkownikowi wyświetlana jest informacja o konieczności pobrania instalatora Google Chrome. Zbyt pochopna instalacja sugerowanego dodatku sprawia, że komputer użytkownika dołącza do grona maszyn zainfekowanych Win32/Sality, które kontroluje cyberprzestępca.
 
- Jeśli posiadasz jeden z wymienionych powyżej routerów, upewnij się, że zdalny dostęp do routera spoza sieci domowej jest zablokowany, a twoje hasło do routera jest wystarczająco silne. Komputer dla pewności zabezpiecz solidnym pakietem bezpieczeństwa, który nie zezwoli na przypadkowe pobranie i uruchomienie fałszywego instalatora – radzi Kamil Sadkowski, analityk zagrożeń z firmy Eset.