Trojan.Rbrute - троянская программа для взлома паролей Wi-Fi-роутеров


Trojan.Rbrute - вредоносная программа, предназначенная для взлома паролей Wi-Fi-роутеров методом перебора (brute force), а также для подмены адресов DNS-серверов, указанных в настройках этих устройств.

Данная вредоносная программа используется злоумышленниками для распространения троянской программы Win32.Sector.

После запуска на инфицированном компьютере, работающем под управлением Windows, вредонос устанавливает соединение с удаленным сервером и ожидает от него соответствующих команд. Так одной из задач трояна является получение диапазона IP-адресов для выполнения сканирования. Вредоносная программа обладает функционалом по подбору паролей к следующим моделям Wi-Fi-роутеров:

  • D-Link DSL-2520U;
  • DSL-2600U;
  • TP-Link TD-W8901G;
  • TD-W8901G 3.0;
  • TD-W8901GB;
  • TD-W8951ND;
  • TD-W8961ND;
  • TD-8840T;
  • TD-8840T 2.0;
  • TD-W8961ND;
  • TD-8816;
  • TD-8817 2.0;
  • TD-8817;
  • TD-W8151N;
  • TD-W8101G;
  • ZTE ZXV10 W300;
  • ZXDSL 831CII и другим.


Фактически, троян способен выполнять следующие команды:

  • сканирование сети по заданному диапазону IP-адресов;
  • перебор паролей по словарю.


При этом перечисленные команды не взаимосвязаны и могут выполняться трояном по отдельности. Так, если по одному из опрошенных IP-адресов обнаруживается работающий роутер, то Trojan.Rbrute получает оттуда веб-страницу, определяет модель устройства с использованием тега

  • realm=\"

и рапортует об этом событии на управляющий сервер.

Также троян может получить команду на подбор пароля к обнаруженному роутеру по словарю. Такое задание содержит все необходимые исходные данные:

  • IP-адрес цели;
  • DNS для подмены;
  • словарь паролей.


В качестве логина Trojan.Rbruteиспользует значения admin или support.

TrojanRbrute 1

При успешной аутентификации с подобранным логином и паролем, троян рапортует на удаленный сервер об успешном факте взлома и посылает роутеру запрос на изменение адресов зарегистрированных в его настройках DNS-серверов. В результате, при попытке открыть в окне браузера различные веб-сайты, пользователь будет перенаправлен на другие ресурсы, специально созданные злоумышленниками. Данная схема в настоящее время используется киберпреступниками для расширения численности бот-сети, созданной с использованием вредоносной программы Win32.Sector.

Используемая злоумышленниками схема выглядит следующим образом:

  • На компьютер, инфицированный трояном Win32.Sector, с использованием этой вредоносной программы загружается Trojan.Rbrute.
  • Trojan.Rbrute, в свою очередь, получает с управляющего сервера задания на поиск Wi-Fi-маршрутизаторов и данные для подбора паролей к ним.
  • В случае успеха Trojan.Rbrute подменяет в настройках роутера адреса DNS-серверов.
  • При попытке подключения к Интернету пользователь незараженного компьютера, использующий подключение через скомпрометированный маршрутизатор, перенаправляется на специально созданную злоумышленниками веб-страницу.
  • С этой страницы на компьютер жертвы загружается троян Win32.Sector и инфицирует его.
  • Впоследствии Win32.Sector может загрузить на вновь инфицированный ПК копию трояна Trojan.Rbrute. После чего цикл повторяется.

Get a fast free web browser