El mundo de antivirus

La empresa Dell advirtió a algunos usuarios de servidores PowerEdge R310, PowerEdge R410, PowerEdge R510 and PowerEdge T410 de que la placa madre pueda contener un software nocivo. Según la información publicada en el foro del soporte técnico de Dell, un lote pequeño de placas madre PowerEdge R410 enviado a los clientes de la empresa, contenía un código nocivo implementado en el software incrustado para administrar el servidor.

http://en.community.dell.com/support-forums/servers/f/956/t/19339458
http://www.channelregister.co.uk/2010/07/21/dell_server_warning
http://ria.ru/science/20100721/257059385.html#ixzz4CV0afA4N

Como resultado de las acciones del troyano Trojan.Rbrute, al intentar abrir algunos sitios web en la ventana del navegador, el usuario puede ser redirigido a otros recursos creados a propósito por los malintencionados.

En general, el esquema usado por los malintencionados es el siguiente.

1. Al equipo ya infectado por el troyano Win32.Sector usando este programa nocivo se descarga Trojan.Rbrute.
2. Trojan.Rbrute recibe desde el servidor administrativo las tareas para buscar enrutadores Wi-Fi y los datos para averiguar las contraseñas para los mismos.

   El programa nocivo dispone de funcionalidad para averiguar contraseñas para los siguientes modelos de routers Wi-Fi: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII y algunos otros.

   Como nombre de usuario, Trojan.Rbrute recibe los valores admin o support.

3. En caso de éxito, Trojan.Rbrute suplanta en la configuración del router las direcciones de los servidores DNS.
4. Al intentar conectarse a Internet, el usuario del equipo no infectado que usa la conexión a través del enrutador comprometido, se redirige a la página web creada a propósito por los malintencionados.
5. Desde esta página, al equipo de la víctima se descarga el troyano Win32.Sector y lo infecta.

https://news.drweb.com/show/?c=5&i=4271&lng=en

El rasgo característico de un ataque usando el troyano Trojan.Dyre fue la ubicación de las “placas” primarias de proxy en los routers hackeados por los malintencionados, donde de forma correspondiente fue cambiada la tabla de enrutamiento.

https://news.drweb-av.es/show/?c=5&i=9829&lng=es

El troyano añadido a las bases de virus Dr.Web bajo el nombre de Linux.PNScan.1, supuestamente se instala en los routers atacados por el mismo creador de virus, por ejemplo, usando la vulnerabilidad shellshock por medio de iniciar un script con las opciones correspondientes, y luego se descarga y se instala en los routers atacados por los troyanos de la familia Linux.BackDoor.Tsunami que a su vez se difunden usando el mismo Linux.PNScan.1.

https://news.drweb-av.es/show/?c=5&i=9548&lng=es

Los representantes de la empresa Mandiant publicaron los resultados de la investigación del backdoor SYNful Knock para enrutadores Cisco.

Usado la contraseña «hardwired» en la imagen los malintencionados pueden obtener acceso remoto al enrutador a través de la consola o telnet. Las pestañas se activan cada vez al reiniciar el dispositivo. Para suplantar el SO, se usan los datos de la cuenta robados y las contraseñas estándar (frecuentemente, los usuarios se olvidan de cambiar la contraseña predeterminada).

Según los datos de las investigaciones, los enrutadores Cisco de modelos 1841, 2811 y 3825 pueden ser sometidos al ataque.

El ataque descrito tiene que ver con el método presentado en agosto de este año por el mismo personal de Cisco. Entonces la empresa advirtió a sus clientes de que los malintencionados pueden suplantar el firmware ROMMON (ROM Monitor) por una copia nociva. Así mismo, tampoco se usaba alguna vulnerabilidad, y el acceso a dispositivos los hackers lo obtenían usando los datos de la cuenta reales, lo que puede significar que el personal de la empresa-dueña del enrutador participó en el ataque, o la gente que tiene acceso físico al dispositivo.

El ataque no es característico solo para enrutadores Cisco: de la misma forma se puede atacar los dispositivos de varios productores. En particular, varios investigadores publicaron la información sobre el hackeo del firmware de equipamiento Juniper.

https://habrahabr.ru/company/pt/blog/267141