Вирусная эпидемия Trojan.Rbrute и способы борьбы

[Goodwin]

Здравствуйте.
В связи с массовым распространением Trojan.Rbrute на компьютерах клиентов, всем владельцам ADSL-оборудования (и не только ADSL) мы рекомендуем проделать следующие шаги:

1. Изменить логин\пароль для входа на роутер.
Важно! Взлом нового пароля - это вопрос времени. Вирус использует математический подбор пароля, поэтому он всё равно будет взломан!
Не забудьте сообщить Вашим близким, что стандартный пароль на web-меню роутера был изменён.

2. Обновить прошивку ADSL-модема на самую последнюю. Страница загрузки прошивок.
Рекомендации по обновлению прошивки (firmware)

3. Обязательно проверить все компьютеры в вашей домашней сети современным антивирусом. Мы рекомендуем Др.Веб с самой актуальной антивирусной базой.

Прочитать подробнее о вирусе

[Goodwin]

Если вы уже стали жертвой Trojan.Rbrute:

Симптомы:
- Индикатор Интернета горит, но Интернет не работает
- При попытке открыть сайты - открываются непонятные ресурсы
- ПК не получает IP-адреса (IP вида 169.254.ххх.ххх)

Как устранить проблему:

1. Сбросить настройки модема на заводские. Для этого при включённом питании удерживаете кнопку RESET 15-20 секунд (до тех пор, пока все индикаторы не загорятся и не погаснут).

2. Изменить логин\пароль web-меню роутера на другие значения. Делается это по инструкции

3. После этого выполняете настройку Интернета согласно пар-рам Вашего провайдера (VPI\VCI, логин и пароль). Пример настройки для Домолинк(Ростелеком)

4. После успешной настройки, мы также рекомендуем выполнить обновление встроенного ПО модема. Для этого для вашей аппаратной версии, нужно скачать последнюю прошивку.

5. Обязательно выполнить проверку и удаление вирусов со всех домашних компьютеров при помощи современного антивируса с самыми актуальными базами данных. Мы рекомендуем Др.Веб.

[ProCyber]

Когда примерно выйдет следующая версия встроенное ПО для модема TP-LINK TD-W8961ND V3 ?

[tp_user]

Здравствуйте!
Планируется ли обновление прошивок для всех моделей ADSL модемов? Есть ли обходные пути для повышения защищенности модема при отсутствии свежей прошивки? В моем случае в разделе Download присутствует только первая и единственная прошивка от 2010 года.

[Goodwin]

Для всех ныне выпускаемых модемов (включая 8961v3)обновление с "заплаткой" уже было выпущено.
Для снятых с производства моделей новых прошивок к сожалению не будет.
В качестве альтернативных методов защиты следует:
1. на веб-морду роутера сделать сложный пароль с использованием разного регистра и множества символов.
2. В настройках Interface Setup - LAN в поле DNS вручную прописать ДНС-сервера провайдера.
3. Использовать на всех ПК надёжный и популярный антивирус.

[sergey004]

Проанализировав последние прошивки, увидел одно отличие, которое можно и старых прошивках включить и все. Попробовал, через Интернет в модем уже не попадаю.

[Goodwin]

Сергей, атака идёт из локальной сети, а не извне.
Описание вируса

[uolis]

Для всех ныне выпускаемых модемов (включая 8961v3)обновление с "заплаткой" уже было выпущено.

Но там теперь бага - невозможно изменить адрес DHCP-сервера. Кнопка Сохранить на него не действует. Но если поставить Выключено у DHCP, то включить назад просто не получится. Можно поставить Релей и Выключено, эти позиции сохраняются. Включено не сохраняется.
Придётся опять откатываться к заводским настройкам, где включено 192.168.1.1, а очень хотелось бы иную сетку...

[sergey004]

Сергей, атака идёт из локальной сети, а не извне.
Описание вируса

Судя по данной статье, может быть и из Интернета


Алжирский студент сообщил о наличии критических уязвимостей в маршрутизаторах TP-Link, поставляемых одним из главных интернет-провайдеров страны Algerie Telecom. По словам Абделли Нассереддин (Abdelli Nassereddine), бреши позволяют получить несанкционированный доступ к роутерам и раскрыть пользовательские пароли.

Как утверждает портал The Hacker News со ссылкой на Нассереддина, последний обнаружил, что брешь можно эксплуатировать через раздел обновления «Firmware/Romfile Upgrade» на панели управления, доступ к которой можно получить без пароля посредством перехода по адресу http://IP//rpFWUpload.html. Данная страница позволяет пользователю обновить прошивку маршрутизатора и скачать файл для резервного копирования Romfile.

Последний содержит пароль администратора, и его можно восстановить в виде обычного текста посредством реверс-инжиниринга с использованием online-сервиса (http://50.57.229.26/zynos.php). Для этого необходимо просто загрузить файл Romfile. Пароль маршрутизатора будет отображаться в первой строке файла:

Как утверждает Нассереддин, он протестировал принадлежащие Алжиру IP-адреса (41.107. x. x) и установил, что тысячи из них уязвимы к атакам. Так, посредством «Быстрого поиска» в системе SHODAN по запросу «RomPager country:dz» ему удалось обнаружить, что в стране используется более 259 тысяч маршрутизаторов, 95% из которых уязвимы.

Алжирский студент также опубликовал на GitHub PoC-код, способный сканировать полную подсеть уязвимых устройств и отобразить требуемые пароли.

[Semen_alians]

Если у меня в разделе Безопасность / Локальное управление стоит управлять только с моего МАС-адреса, подвергаюсь ли я угрозе?