Win32/RBrute компонент крупнейшего ботнета Win32/Sality


Win32/RBrute (ESET NOD32) - новый компонент крупнейшего ботнета Win32/Sality, модифицирующий DNS-сервис роутеров таким образом, что скомпрометированный роутер начинает перенаправлять пользователей на поддельную страницу загрузки браузера Google Chrome.

Файловый инфектор Win32/Sality занимает вторую строку с ростом активности 1,68%. Он может выступать в роли вируса или загрузчика других вредоносных программ (downloader). К тому же Sality обладает модульной архитектурой, его компоненты отвечают за:

  • рассылку спама;
  • организацию DDoS;
  • генерацию рекламного трафика;
  • взлом VoIP аккаунтов.


Сам ботнет существует довольно долгое время - с 2003 года, при этом постоянно совершенствуется, что свидетельствуют о высокой квалификации авторов вредоносного кода.

Так в октябре 2013 года в составе Sality появился еще один компонент, который дополняет работу ботнета новыми функциями. Этот компонент и получил название Win32/RBrute.

Poddelnaya stranica zagruzki Google Chrome
Поддельная веб-страница загрузки Google Chrome

Win32/RBrute.А - осуществляет поиск веб-страниц панелей управления роутера, чтобы изменить запись основного DNS-сервера. В настоящее время Win32/RBrute.A позволяет злоумышленникам получить доступ к различным моделям роутеров, у которых административные веб-страницы управления защищены очень слабым паролем или к которым можно получить доступ из интернета.

При обращении пользователей к сайтам, которые содержат в названии домена "facebook" или "google", поддельный DNS-сервис направляет их на "страницу установки Google Chrome". Вместо браузера на компьютеры загружается вредоносный файл самого Win32/Sality. Так злоумышленники обеспечивают дальнейшее расширение ботнета.

Win32/RBrute.B - другой модуль компонента, который устанавливается на скомпрометированных компьютерах и может выступать в качестве DNS или НТТР прокси-сервера для доставки поддельного установщика Google Chrome.

Простые векторы заражения пользователей вредоносным кодом Win32/Sality не могут быть достаточно эффективными, чтобы поддерживать популяцию ботнета на соответствующем уровне. Злоумышленники нуждались в новом способе распространения вредоносной программы, и в качестве такого способа выступил DNS hijacking для роутера. А в зависимости от того, подвержен ли выбранный роутер эксплуатации, жертвами перенаправлений может стать множество подключенных к нему пользователей.