¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (60)
  • añadir a favoritos
    Añadir a marcadores

Bajo el control externo

Consultas: 1334 Comentarios: 15 Ranking: 40

¿Ha abierto un navegador y en vez de la ventana de inicio de siempre ve un sitio web desconocido?

¿La página web del banco de repente solicita los datos de autorización?

Muchos usuarios en este caso inician un escaneo antivirus. Y, en caso de no encontrar nada, algunos de ellos contactan con el soporte técnico. Es una reacción normal, pero no es la única correcta.

Los malintencionados siempre están buscando un sitio en el sistema para esconderse de los antivirus. Pero en caso de sistemas operativos Windows/Linux/Mac estos sitios casi no existen. Por supuesto, hay una posibilidad de ubicar el código nocivo en microcódigos del núcleo, la tarjeta de red o la batería, pero es muy poco probable — las posibilidades de estas infecciones normalmente existen solo en investigaciones.

La empresa Dell advirtió a algunos usuarios de servidores PowerEdge R310, PowerEdge R410, PowerEdge R510 and PowerEdge T410 de que la placa madre pueda contener un software nocivo. Según la información publicada en el foro del soporte técnico de Dell, un lote pequeño de placas madre PowerEdge R410 enviado a los clientes de la empresa, contenía un código nocivo implementado en el software incrustado para administrar el servidor.

http://en.community.dell.com/support-forums/servers/f/956/t/19339458
http://www.channelregister.co.uk/2010/07/21/dell_server_warning
http://ria.ru/science/20100721/257059385.html#ixzz4CV0afA4N

Normalmente el problema radica en otra cosa.

Como resultado de las acciones del troyano Trojan.Rbrute, al intentar abrir algunos sitios web en la ventana del navegador, el usuario puede ser redirigido a otros recursos creados a propósito por los malintencionados.

En general, el esquema usado por los malintencionados es el siguiente.

  1. Al equipo ya infectado por el troyano Win32.Sector usando este programa nocivo se descarga Trojan.Rbrute.
  2. Trojan.Rbrute recibe desde el servidor administrativo las tareas para buscar enrutadores Wi-Fi y los datos para averiguar las contraseñas para los mismos.

    El programa nocivo dispone de funcionalidad para averiguar contraseñas para los siguientes modelos de routers Wi-Fi: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII y algunos otros.

    Como nombre de usuario, Trojan.Rbrute recibe los valores admin o support.

  3. En caso de éxito, Trojan.Rbrute suplanta en la configuración del router las direcciones de los servidores DNS.
  4. Al intentar conectarse a Internet, el usuario del equipo no infectado que usa la conexión a través del enrutador comprometido, se redirige a la página web creada a propósito por los malintencionados.
  5. Desde esta página, al equipo de la víctima se descarga el troyano Win32.Sector y lo infecta.

https://news.drweb.com/show/?c=5&i=4271&lng=en

Además de visualizar la página necesaria para los malintencionados, el cambio de la configuración del router puede usarse también en los esquemas de ataques más complicados.

El rasgo característico de un ataque usando el troyano Trojan.Dyre fue la ubicación de las “placas” primarias de proxy en los routers hackeados por los malintencionados, donde de forma correspondiente fue cambiada la tabla de enrutamiento.

https://news.drweb-av.es/show/?c=5&i=9829&lng=es

Normalmente, el hackeo de los routers se realiza por medio de averiguar contraseñas (muchos usuarios no se preocupan del cambio de la configuración predeterminada de protección de routers, y algunos no los consideran como un punto posible para penetrar en la red interna), o usando las vulnerabilidades.

El troyano añadido a las bases de virus Dr.Web bajo el nombre de Linux.PNScan.1, supuestamente se instala en los routers atacados por el mismo creador de virus, por ejemplo, usando la vulnerabilidad shellshock por medio de iniciar un script con las opciones correspondientes, y luego se descarga y se instala en los routers atacados por los troyanos de la familia Linux.BackDoor.Tsunami que a su vez se difunden usando el mismo Linux.PNScan.1.

https://news.drweb-av.es/show/?c=5&i=9548&lng=es

Se atacan no solo los routers de hogar, sino también los dispositivos de red usados en las empresas.

Los representantes de la empresa Mandiant publicaron los resultados de la investigación del backdoor SYNful Knock para enrutadores Cisco.

Usado la contraseña «hardwired» en la imagen los malintencionados pueden obtener acceso remoto al enrutador a través de la consola o telnet. Las pestañas se activan cada vez al reiniciar el dispositivo. Para suplantar el SO, se usan los datos de la cuenta robados y las contraseñas estándar (frecuentemente, los usuarios se olvidan de cambiar la contraseña predeterminada).

Según los datos de las investigaciones, los enrutadores Cisco de modelos 1841, 2811 y 3825 pueden ser sometidos al ataque.

El ataque descrito tiene que ver con el método presentado en agosto de este año por el mismo personal de Cisco. Entonces la empresa advirtió a sus clientes de que los malintencionados pueden suplantar el firmware ROMMON (ROM Monitor) por una copia nociva. Así mismo, tampoco se usaba alguna vulnerabilidad, y el acceso a dispositivos los hackers lo obtenían usando los datos de la cuenta reales, lo que puede significar que el personal de la empresa-dueña del enrutador participó en el ataque, o la gente que tiene acceso físico al dispositivo.

El ataque no es característico solo para enrutadores Cisco: de la misma forma se puede atacar los dispositivos de varios productores. En particular, varios investigadores publicaron la información sobre el hackeo del firmware de equipamiento Juniper.

https://habrahabr.ru/company/pt/blog/267141

#troyano #hackeo #router #navegador

Dr.Web recomienda

  • Para acceder a dispositivos de red externos, no se puede usar las contraseñas predeterminadas que deben ser cambiadas una vez instalado.
  • Actualice el firmware de dispositivos para eliminar las vulnerabilidades.
  • Descargue el firmware solo de las fuentes oficiales.
  • Debe usarse un antivirus en los equipos y dispositivos desde los cuales Vd. administra los dispositivos de red.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios