[xfnotgiven_antivir_box]

Win32/RBrute поражает ПК пользователей Google и Facebook

ESET обнаружен новый компонент обширнейшего ботнета Win32/Sality – так называемый Win32/RBrute. По сравнению с уже известными элементами ботнета, им модифицируется DNS-сервис роутеров так, чтобы скомпрометированный роутер начал перенаправлять пользователей на поддельную веб-страницу загрузки Google Chrome. Ложный установщик - это один из вредонесущих файлов Sality.

Надо сказать, семейство данных файловых инфекторов известно с 2003-тьего года. Специалисты ESET занимались его отслеживанием на протяжении достаточно длительного времени. Так, в рейтинге информугроз за март 2014-того года Sality занял 2-рую строку, показав рост активности почти в 1,7%.

Sality способен выступать в качестве вируса, либо загрузчика иных вредонесущих программ (downloader). Ему свойственна модульная архитектура, его компоненты обеспечивают рассылку спама, наматывание рекламного трафика, организацию DDoS, а также взлом VoIP - аккаунтов. Долговременность существования и постоянное совершенствование данного ботнета свидетельствуют о высочайшей квалификации авторов, составлявших этот вредоносный код.

По данным телеметрии, в октябре-месяце 2013-того года в составе Sality выявили еще один функциональный компонент, который расширил возможности ботнета. Его назвали Win32/RBrute.

1-вый модуль RBrute антивирусными решениями ESET NOD32 детектируется в качестве Win32/RBrute.А. Он производит поиск веб-страниц управленческих панелей роутера, дабы изменить запись базового DNS-сервера. На данный момент времени Win32/RBrute.A дает злоумышленникам возможность получить доступ к разнообразным моделям роутеров, чьи административные управленческие веб-страницы защищены крайне слабым паролем, а также к тем, к которым доступ можно получить из интернета.

Стоит пользователям обратиться к сайтам, которые содержат в названии домена слово «google» или «facebook», как поддельный DNS-сервис сразу же направляет их на лже - «страницу Google Chrome». Вместо оригинального браузера на ПК загружается вредонесущий файл Win32/Sality. Таким образом злоумышленниками обеспечивается дальнейшее расширение данного ботнета.

Разработан и еще один злонамеренный модуль вредоноса – Win32/RBrute.B, способный устанавливать Sality на зараженных компьютерах и выступать в роли НТТР или DNS прокси-сервера для осуществления доставки лже-установщика Google Chrome.

Как прокомментировал ситуацию Артем Баранов, ведущий аналитик ESET, простые векторы поражения пользовательских компьютеров вредоносным кодом Sality не способны быть по-настоящему эффективными, чтобы осуществлять поддержку популяции ботнета на соответственном уровне. Злоумышленникам нужен был новый способ распространения вредонесущей программы, и именно таким способом явился DNS hijacking для роутера. В Исходя от того, подвергается ли избранный роутер эксплуатации, в роли жертв перенаправлений могут выступить множество пользователей, подключенных к нему.

Экспертами ESET рекомендуется использовать исключительно безопасные пароли для аккаунтов управленческих панелей роутеров, а кроме того, проверять, действительно ли нужно разрешать к ней доступ из интернета.

Источник: www.esetnod32.ru