Как я познакомился с Trojan.Rbrute или тонны банеров в браузере

В один прекрасный тяжелый понедельник, в моей компании, на 10 машинах одновременно вылезла одна проблема — реклама непристойного содержания в браузерах, причем в любых — Opera, Mozilla, Chrome. Похоже на какую то заразу, которая распространилась по сети.

Выбрав одну из машин для проверки, я очистил кэшы браузеров, общий кэш интернета. Результатов это не дало.
Проверил браузеры на наличие паразитных расширений с помощью Avast Browser CleanUp. Сторонних расширений найдено НЕ было.
Файл hosts (C/WINDOWS/System32/drivers/etc) паразитных строк НЕ содержал, изменен в ближайшие дни НЕ был.
В свойствах интернет подключения паразитных DNS, IP и прочего НЕ найдено.
Затем я поставил Malwarebytes Anti-Malware, провел проверку, но результаты были тщетны, есть какие то мелкие жучки но не более того.
Далее дело дошло до AdwCleaner — скачав свежую базу он тоже кроме паразитных поисковых систем в браузере ничего не нашел.

С учетом того, что все компы через маршрутизатор подключены к D-Link DIR-300, решил взяться за него. И не зря. Нашел в настройках интернет соединения (в офисе ADSL линия) вовсе не нужный DNS адрес — 91.224.160.10. Именно он и являлся тем самым паразитом которого я искал.

Как выяснилось, такой безпредел творит Trojan.Rbrute. Злоумышленники используют данную вредоносную программу для распространения файлового вируса, известного под именем Win32.Sector.

Запустившись на инфицированном компьютере, работающем под управлением Windows, Trojan.Rbrute устанавливает соединение с удаленным сервером и ожидает от него соответствующих команд. В качестве одной из них троянец получает диапазон IP-адресов для выполнения сканирования. Вредоносная программа обладает функционалом по подбору паролей к следующим моделям Wi-Fi-роутеров: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII и некоторым другим. Фактически, троянец способен выполнять две команды:

сканирование сети по заданному диапазону IP-адресов;
перебор паролей по словарю.
При этом перечисленные команды не взаимосвязаны и могут выполняться троянцем по отдельности. Если по одному из опрошенных IP-адресов обнаруживается работающий роутер, Trojan.Rbrute получает оттуда веб-страницу, определяет модель устройства с использованием тега realm=\», и рапортует об этом событии на управляющий сервер.

Также троянец может получить команду на подбор пароля к обнаруженному роутеру по словарю — такое задание содержит все необходимые исходные данные: IP-адрес цели, DNS для подмены и словарь паролей. В качестве логина Trojan.Rbrute использует значения admin или support.

Если аутентификация с подобранным сочетанием логина и пароля прошла успешно, троянец рапортует на удаленный сервер об успешном факте взлома и посылает роутеру запрос на изменение адресов зарегистрированных в его настройках DNS-серверов. В результате при попытке открытия в окне браузера различных веб-сайтов пользователь может быть перенаправлен на другие ресурсы, специально созданные злоумышленниками. Эта схема в настоящее время используется киберпреступниками для расширения численности бот-сети, созданной с использованием вредоносной программы Win32.Sector.

В целом используемая злоумышленниками схема выглядит следующим образом.

На компьютер, уже инфицированный вирусом Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute.
Trojan.Rbrute получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов и данные для подбора паролей к ним.
В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов.
При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу.

С этой страницы на компьютер жертвы загружается вирус Win32.Sector и инфицирует его.
Впоследствии Win32.Sector может загрузить на вновь инфицированный ПК копию троянца Trojan.Rbrute. Цикл повторяется.
Сигнатура Trojan.Rbrute добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» рекомендуют владельцам Wi-Fi-роутеров не использовать на своих устройствах настройки по умолчанию и устанавливать в административном интерфейсе роутеров сложные пароли, которые затруднят их взлом методом простого перебора.

Ссылка — http://news.drweb.com/show/?i=4271

В общем ДНС на роутере подмениваются на
IP: 91.224.160.10

Относящиеся к
Хост: 91.224.160.10
Город: Не определен
Страна: Netherlands
IP диапазон: 91.224.160.0 — 91.224.161.255
Название провайдера: Bergdorf Group Ltd.

Вывод — ставьте логин от роутера отличным от admin, делайте сложные пароли со спецсимволами, цифрами, буквами разного регистра.
Эта статья — общее правило по тем действиям, которые необходимо выполнить. Скорее всего у Вас дело закончится до стадии настроек роутера.

После того как зараза найдена и обезврежена — удаляем браузеры полностью с компьютера — через панель управления — программы и компоненты + поиском по диску C компьютера с именем браузера и удалением всех папок связанных с браузерами (за исключением IE). Делаем очистку диска C.

Один комментарий в“Как я познакомился с Trojan.Rbrute или тонны банеров в браузере”

  1. Константин
    19.01.2015 в 16:10 #

    Если поможет я буду безмерно благодарен

Обсуждение закрыто.