Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Il Trojan.Rbrute attacca router Wi-Fi

5 marzo 2014

Gli specialisti di Doctor Web hanno esaminato il Trojan.Rbrute, un programma malevolo capace di violare il meccanismo di autenticazione dei router wireless tramite il metodo "attacco a dizionario". Una volta che ha avuto accesso a un router, il malware sostituisce gli indirizzi dei server DNS impostati sul dispositivo. Attualmente, i malintenzionati utilizzano questo programma malevolo al fine di diffondere un altro trojan chiamato Win32.Sector.

Su un computer Windows, il Trojan.Rbrute stabilisce la connessione al server remoto dei malintenzionati e attende comandi. Il primo comando che arriva è quello di eseguire una scansione della rete sulla base di una serie di indirizzi IP. Inoltre, il trojan cerca di ottenere l'accesso non autorizzato ai router, in particolare, dei seguenti modelli: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII e di altri ancora. In sostanza, il trojan è in grado di eseguire questi due comandi:

  1. Scansionare la rete in un intervallo di indirizzi IP stabilito;
  2. Determinare la password cercando tra un grande numero di possibilità (il metodo "attacco a dizionario").

Questi comandi non sono interconnessi e possono essere eseguiti separatamente. Se il Trojan.Rbrute scopre un router attivo a un indirizzo IP interrogato durante la scansione della rete, riceve la pagina web corrispondente, determina il modello del router con l'ausilio del tag realm=\" e comunica questi dati al server remoto di controllo.

In un altro caso, il trojan riceve il comando di attaccare un router già scoperto in precedenza. Tale comando contiene tutti i dati necessari per effettuare un attacco a dizionario: l'indirizzo IP bersaglio, una lista di possibili password da provare e indirizzi dei server DNS con cui sostituire quelli definiti nella configurazione del router compromesso. Come il login, il Trojan.Rbrute utilizza gli username "admin" o "support".

Se il trojan riesce ad accedere al router utilizzando questi username e le password trovate, ne informa il server remoto e manda al router una query di cambiare gli indirizzi dei server DNS. In seguito a queste modifiche, se l'utente cerca di aprire alcuni siti, il router potrebbe reindirizzare il browser verso siti creati dai malintenzionati. In particolare, adesso i malintenzionati utilizzano questa possibilità per diffondere il trojan Win32.Sector che unisce i computer infetti in una rete dannosa.

Lo schema utilizzato dai malintenzionati include i seguenti passi.

  1. Il trojan Win32.Sector già presente su un computer scarica il Trojan.Rbrute sulla postazione infetta.
  2. Il Trojan.Rbrute riceve dal server di controllo il comando di cercare router Wi-Fi e i dati necessari per un attacco a dizionario.
  3. Se il Trojan.Rbrute riesce ad autentificarsi su un router, cambia gli indirizzi dei server DNS nella configurazione del dispositivo compromesso.
  4. Quando l'utente che utilizza il router si connette a Internet, viene reindirizzato verso una pagina web malevola.

  5. Da questa pagina viene scaricato il trojan Win32.Sector il quale infetta il computer dell'utente.
  6. In seguito, il trojan Win32.Sector potrebbe scaricare il Trojan.Rbrute sul nuovo computer compromesso, dopo di che la catena potrebbe ripetersi.

La firma antivirale Trojan.Rbrute è stata aggiunta ai database Dr.Web. Un consiglio degli specialisti di Doctor Web: non lasciate le impostazioni dei router Wi-Fi nei valori predefiniti e scegliete password complesse, difficili da scoprire tramite il metodo "attacco a dizionario".

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2021

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A