4 апреля 2014 г., 15:55
Вредонос Sality, как и созданные на его основе ботнеты, известен с 2003 г., но несмотря на свой почтенный возраст продолжает неспешно наращивать сеть и расширять свои возможности. Как подчеркивают эксперты Eset, этому способствуют эффективная конструкция, хорошая реализация и защищенные цифровой подписью коммуникации.
Изначально Sality создавался для загрузки других компонентов, которые применялись для добавления рекламы, выполнения DDoS-атак, взлома учетных записей служб VoIP. В последние несколько лет инфицировать ПК (особенно новые) стало сложнее, вероятно по этой причине число новых зараженных Sality систем продолжает сокращаться. Зато в последней версии Sality появился компонент Win32/RBrute.A, выполняющий сканирование на панели управления маршрутизаторами и пытающийся получить к ним доступ (используется небольшой список логинов и паролей). Сделано это как раз для того, чтобы поддержать рост ботнета.
Вредонос поражает 14 моделей маршрутизаторов TP-Link, три производства D-Link, две модели ZTE и одну от Huawei. После взлома вредонос меняет заданный по умолчанию DNS (Domain Name System) сервер и при попытке пользователя зайти на Facebook или Google перенаправляет его на страницу загрузки поддельной версии Google Chrome.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365