Win32/Sality to program, który powstał głównie w celach zarobkowych. To złośliwe narzędzie infekuje komputery i przejmuje nad nimi kontrolę, zamieniając je tym samym w maszyny zombie, które bez zgody, a nawet wiedzy użytkowników wykorzystywane są do rozsyłania spamu lub stają się częścią zmasowanych ataków typu DDoS.
W grudniu ubiegłego roku eksperci z firmy ESET zauważyli, że sieć zarażonych przez Win32/Sality komputerów mocno się powiększyła. Obecnie zdalnie kontrolowanych i używanych do „złych” celów jest ponad 115 tysięcy urządzeń. Dalsze badania wykazały, że jest to wynikiem tego, że zagrożenie jest teraz wspomagane dodatkowo przez kod identyfikowany jako Win32/RBrute.
Ten ostatni występuje w dwóch odmianach – A i B. Pierwszy z nich odnajduje w sieci panele administracyjne wybranych routerów (lista poniżej) i próbuje się do nich zalogować, korzystając z bazy najpopularniejszych loginów i haseł. Jeśli uda mu się włamać, ustawienia są zmieniane w taki sposób, by każda próba połączenia się ze stroną w domenie Google lub Facebook kończyła się pojawieniem się informacji o konieczności pobrania Google Chrome. W rzeczywistości instalujemy jednak Win32/Sality.
Zagrożone modele routerów to:
- D-Link DSL-2520U
- D-Link DSL-2542B
- D-Link DSL-2600U
- Huawei EchoLife
- TP-Link TD-8816
- TP-Link TD-8817
- TP-Link TD-8817 2.0
- TP-Link TD-8840T
- TP-Link TD-8840T 2.0
- TP-Link TD-W8101G
- TP-Link TD-W8151N
- TP-Link TD-W8901G
- TP-Link TD-W8901G 3.0
- TP-Link TD-W8901GB
- TP-Link TD-W8951ND
- TP-Link TD-W8961ND
- TP-Link TD-W8961ND
- ZTE ZXDSL 831CII
- ZTE ZXV10 W300
„Jeśli posiadasz jeden z wymienionych powyżej routerów, upewnij się, że zdalny dostęp do routera spoza sieci domowej jest zablokowany, a Twoje hasło do routera jest wystarczająco silne. Komputer dla pewności zabezpiecz solidnym pakietem bezpieczeństwa, który nie zezwoli na przypadkowe pobranie i uruchomienie fałszywego instalatora” – radzi Kamil Sadkowski, analityk zagrożeń z firmy ESET.
Źródło: ESET, TheNextWeb
