Вирус в роутере


проверка на вирусы и советы по безопасности

Во время раздачи интернета по Wi-Fi через роутер могут появляться различные проблемы. Например, торможения и высокий пинг могут происходить из-за заражения раздающего оборудования вирусами. Рассмотрим подробнее, как почистить роутер самостоятельно.

Симптомы

Оборудование может быть заражено следующими типами вирусов:

  • замедляющими скорость передачи данных. К примеру, вирус способен сбивать настройки, будет низкая скорость, потеря сигнала и т. п.;
  • подменяющими адреса сайтов. Происходит это так: человек переходит на ресурс, а вредоносная программа меняет DNS, и пользователь перенаправляется на сайт с рекламой или ему становятся видны рекламные блоки, которые разместили владельцы сайтов. Данный вирус является опасным еще и по той причине, что он способен перенаправлять на ресурс, в котором содержится другой вредоносный контент.

Во всяком случае при нестабильной работе роутера необходимо провести его проверку на вирусы, убрать которые достаточно легко.

Как происходит заражение?

Маршрутизатор раздает интернет всем гаджетам, подключаемым к нему. Это означает, что все устройства действуют в одной локальной сети. Вирус использует это: он проникает в компьютер через сайт или загруженный файл, далее по сети попадает в роутер, в котором производит вредоносные действия.

Серьезность ситуации зависит от версии вирусной программы, к примеру, некоторые вредители ведут себя скрытно и начинают активно действовать, только оказавшись в роутере, другие наоборот, могут попутно повредить и операционную систему.

Проверка сетевого оборудования на заражение

Перед очисткой оборудования от вирусов, необходимо проверить роутер на их наличие. Чтобы это сделать, нужно подключить интернет-кабель к порту компьютера напрямую. Вытащить провод WLAN из маршрутизатора и подсоединить его к компьютеру, а далее произвести такие манипуляции:

  • Запустите браузер и пооткрывайте несколько сайтов. Удостоверьтесь в их правильном содержании и отсутствии подмены сайтов, рекламных блоков. С целью проверки лучше выбирать ресурсы, в которых присутствия рекламы не может быть.
  • Запустите сканирование компьютера антивирусной программой. Это нужно, чтобы определить путь заражения – от компьютера или с маршрутизатора. Имейте ввиду, что вирусов может быть несколько, и они могут присутствовать как в системе, так и в сетевом оборудовании.

Удаление вируса

Видео про заражение роутера вирусами смотрите тут:

Для удаления вредоносной программы, нужно сбросить настройки до первоначальных. В случае, если вирусная программа уже нанесла вред прошивке, ее будет необходимо поставить заново.

Сброс параметров

Чтобы почистить маршрутизатор, нужно сбросить его настройки:

  • В задней части устройства найдите кнопку Reset. Зачастую она выделяется на фоне других. Зажмите ее и держите до того момента, когда роутер сбросит параметры и будет перезагружаться. Помните, что при перезагрузке все настройки слетят, а маршрутизатор нужно будет настроить заново.

  • Для настройки роутера необходимо с помощью кабеля подсоединить его к компьютеру, далее запустить браузер и набрать адрес 192.168.0.1. Он может быть другим и указывается на самом роутере или в документах к нему, в инструкции. При входе в настройки зачастую вводят логин admin, а пароль такой же или 12345. Если войти не получилось, то стоит заглянуть в инструкцию к сетевому оборудованию.

  • Найдите параметры быстрой настройки. Выберите все подходящие пункты. Также можете сменить пароль и наименование сети. Осуществив процесс настройки, сохраните их и перезагрузите маршрутизатор.

Проделав все описанные действия, проверьте, удалось ли избавиться от проблемы. Если не получилось, то понадобится перепрошивка сетевого оборудования.

Как выполнить перепрошивку?

Бывает, что вирусная программа изменяет прошивку на роутере. Нейтрализовать зараженную версию можно с помощью перепрошивки.

Подсоедините компьютер к маршрутизатору через LAN провод. Он должен быть в комплекте к любому роутеру. Если его нет, то можно использовать Wi-Fi соединение. Однако, кабельный способ подключения будет предпочтительнее.

После присоединения к маршрутизатору запускаем браузер и вписываем в адресное поле значение 192.168.1.1 (или другой, указанный на самом устройстве), далее потребуется ввести пароль и логин для открытия настроек роутера. По умолчанию логин и пароль – admin. Если зайти в настройки не получается, то необходимо узнать действующие реквизиты для входа, возможно после последней установки их сменили.

Загрузите новую версию прошивки с сайта производителя и, перейдя в настройки маршрутизатора, выберите ее на диске компьютера. Процесс прошивки для всех роутеров идентичен.

Защита сетевого оборудования от вирусов

Для защиты своего маршрутизатора от заражения можно воспользоваться следующими рекомендациями:

  • Сделать обновление прошивки до последней версии. Посетите сайт изготовителя, впишите в поиск свою модель и загрузите самую последнюю прошивку.
  • Установить многозначное значение пароля на веб-интерфейс. Не во всех роутерах можно менять логин. Однако, если вы поставите сложный пароль, взломать веб-интерфейс уже будет непросто.
  • Установить оффлайн вход в настройки роутера.
  • Поменять IP-адрес маршрутизатора в локальном доступе. В процессе взлома вирус сразу будет обращаться к таким адресам, как 192.168.0.1 и 192.168.1.1. Исходя из этого, лучше поменять третий и четвертый октет IP-адреса локальной сети.
  • Поставить надежную антивирусную программу на ПК. Если вирус сперва попытается проникнуть в компьютер, он будет сразу удален, что не позволит ему нанести вред маршрутизатору.
  • Не храните пароли в браузере.

Как видите, проверить роутер на вирусы и почистить его несложно. Но лучше следовать простым советам по профилактике заражения. Но если уж такое случилось, вы знаете, что нужно делать.

wifigid.ru

Вирус в роутере - вредоносные DNS

Ранее мы писали о подмене DNS, вследствие чего на компьютере появлялась реклама и баннеры-вымогатели. В ряде случаев, DNS-сервера были изменены не только в Windows, но и на роутере. Если выражаться технически корректно, то подмена ДНС — это конечно же не вирус в классическом смысле слова, а вредоносная настройка, которая тем не менее приносит немало неудобств.

В чем смысл подмены DNS-серверов и какой от этого вред

ДНС сервер отвечает за сопоставление доменных имен с IP-адресами. Мошеннические DNS-серверы способны сопоставлять имя любого порядочного сайта с другим — неверным адресом, и загружать подменное содержимое вместо подлинного. Если прописать такие «неправильные» ДНС на роутере, то все устройства, подключенные к нему, будут в опасности.

Выглядит это так. Во время просмотра сайтов вдруг открывается страница с предложением обновить флеш-плеер, java, установить бесплатный антивирус, скачать программу якобы для ускорения работы и оптимизации ПК или любую другую на первый взгляд безобидную вещь. Немаловажно, что при этом в адресной строке может отображаться имя знакомого и проверенного сайта. Если пользователь скачает и запустит предложенный файл, то скорее всего в скором будущем у него начнутся большие проблемы с ПК:

  • На компьютере может начаться показ рекламных объявлений.
  • Файлы могут быть зашифрованы.
  • При попытке открыть любой сайт может появляться требование оплатить штраф.
  • Рабочий стол может быть заблокирован винлокером опять же с требованием перечислить деньги за разблокировку.
  • Компьютер может использоваться для осуществления интернет-атак на сайты и серверы, взлома других компьютеров (ботнет) и других нехороших дел.

При этом, как правило, снижается быстродействие ПК, идут постоянные обращения к жесткому диску, загрузка процессора достигает 100% в состоянии простоя.

Как происходит заражение роутера

Как правило, вначале происходит заражение одного из компьютеров в локальной сети. Вирус проникает на компьютер при скачивании какого-либо файла из Интернета. Затем, он посылает запросы на стандартные для сетевого оборудования адреса, может сканировать файлы cookies, скачивать вспомогательное вредоносное ПО (троян) и в результате попадает в настройки роутера или ADSL-модема.

Вирусы и трояны могут изменить настройки маршрутизатора (в частности, подменить DNS), если:

1. Для входа на веб-интерфейс используются стандартные реквизиты — IP, логин и пароль (например, 192.168.1.1, admin/admin)

2. Адрес, логин и пароль роутера сохранены в браузере.

Признаки заражения роутера

(могут встречаться как все вместе, так и отдельные признаки)

1. На устройствах, которые подключены к маршрутизатору, выскакивает реклама, в браузерах самостоятельно открываются левые вкладки/всплывающие окна, может появиться баннер-вымогатель на весь экран.

2. Часть сайтов не открывается. Вместо них отображаются веб-страницы со странным содержимым либо ошибка «404».

3. Нет доступа к Интернету, хотя индикатор WAN/Internet светится.

4. Компьютер получает IP-адрес из диапазона 169.254.*.*

Как удалить вирус с роутера

1. Войдите в настройки маршрутизатора (модема, точки доступа).

2. Откройте настройки WAN (т.е. соединения с Интернет-провайдером)

Настройте соединение согласно инструкции оператора. Она должна быть на сайте провайдера. Иногда процедура настрйоки Интернета может быть описана прямо в договоре.

Иногда вредоносное ПО пытается сбить пользователя с толку и прописывает зловредный DNS первичным, но тут же в качестве вторичного указывает IP публичного DNS компании Google. Фокус заключается в том, что ко вторичному сервер идет запрос только тогда, если первичный не смог найти сайт в своей базе, что на деле случается редко.

3. Откройте настройки LAN (т.е. локальной сети).

В большинстве случаев, должна быть активирована функция DNS Relay и никаких особенных адресов DNS роутер раздавать не должен.

Не во всех роутерах (на стандартных прошивках) есть возможность редактировать DNS, раздаваемые в LAN. Как правило, в качестве сервера разрешения имен для клиентов указывается локальный IP маршрутизатора.

Вот типичная правильная настройка локальной сети в маршрутизаторе Tp-Link:

Если у вас не получается исправить настройки, сделайте сброс настроек роутера и настройте его заново.

4. После этого обязательно проверьте все компьютеры и устройства в сети на вирусы с помощью MBAM и CureIt.

Как защитить роутер от вирусов

1. Обновить прошивку до последней

Зайдите на сайт производителя, введите свою модель, аппаратную версию и скачайте самую свежую прошивку. Читайте как обновить прошивку роутера на примере оборудования TP-Link.

2. Установить нестандартный пароль на веб-интерфейс

Не все маршрутизаторы позволяют изменить логин. Но если вы установите сложный пароль, этого будет достаточно.

3. Запретить вход в интерфейс маршрутизатора из Интернета

4. Изменить IP-адрес роутера в локальной сети

Даже не сомневайтесь, что первым делом вирус-взломщик роутеров будет обращаться к самым популярным адресам: 192.168.0.1 и 192.168.1.1. Поэтому мы вам советуем изменить третий и четвертый октет локального IP-адреса в настройках LAN. Задайте например:

192.168.83.254

После этого все устройства в сети будут получать IP из диапазона 192.168.83.*

После изменения локального IP роутера, для входа на веб-интерфейс нужно будет вводить http://[новый адрес]

5. Установить надежный антивирус на компьютер

Даже если вредоносное ПО проникнет на компьютер, оно будет нейтрализовано и не успеет заразить роутер.

6. Не сохранять пароли в браузере

Думаю, вы в состоянии запомнить пароль от веб-интерфейса маршрутизатора. Или как минимум его записать на бумаге.

compfixer.info

Как проверить роутер на работоспособность и вирусы

Проблемы при раздаче Wi-Fi при помощи роутера возникают по разным причинам. Одна из них — заражение раздающего устройства вирусом, от которого вы в силах избавиться самостоятельно.

Симптомы заражения

Роутер может заразиться одним из двух вирусов:

  • вирусом, тормозящим скорость интернета различными способами. Например, подобное вредоносное программное обеспечение сбивает настройки прошивки или начинает загружать на компьютер некоторый рекламный вирусный контент;
  • вирусом, который подменяет адреса сайтов. Выглядит это так: пользователь заходит на любой известный безопасный сайт, а вирус изменяет DNS таким образом, что пользователь попадает на рекламный сайт или видит рекламные баннеры там, где их не размещали владельцы сайтов. Подобный вирус опасен ещё и тем, что он может перебросить вас на сайт, содержащий другие вирусы.

В любом случае, если вы заметили некорректную работу роутера, стоит проверить его на наличие вирусов, тем более, избавиться от них очень легко.

Каким образом вирус проникает в роутер

Роутер предоставляет интернет всем устройствам, к нему подключённым. Значит, все устройства и сам роутер находятся в одной домашней сети. Этим и пользуется вирус: он попадает на компьютер с какого-нибудь сайта или скаченного файла, а после по сети передаётся в роутер, где и начинает пакостничать. Процесс зависит от модели вируса, например, одни вредоносы специально не обнаруживают себя на компьютере, а начинают действовать, только попав в роутер, а другие — успевают навредить и операционной системе, и прошивке роутера одновременно.

Проверка роутера

Перед тем как чистить роутер от вирусов, необходимо проверить, есть ли они на нём. Чтобы узнать результат, необходимо воспользоваться интернетом напрямую через компьютер. То есть вытащите WLAN-кабель или модем из роутера и вставьте его в порт компьютера, а после выполните следующие действия:

  1. Разверните браузер и походите по разным сайтам. Проверьте, правильное ли содержимое открывается, нет ли подмены сайта и лишних рекламных баннеров. Для проверки лучше всего использовать сайты, на которых рекламы точно не должно быть (например, сайты крупных компаний или государственных органов).

    Реклама в Яндексе появилась из-за вируса

  2. Просканируйте компьютер установленным антивирусом. Это необходимо сделать, чтобы узнать, вирус заразил компьютер или всё-таки пришёл с роутера. Учтите, возможно, вирус не один или присутствует как на роутере, так и в системе компьютера.

    Сканируем компьютер на наличие вирусов

Если у вас возникают проблемы со скоростью, то выполните следующие три шага.

  1. Проверьте скорость интернета. Это нужно сделать, чтобы в будущем узнать, одинакова ли скорость при использовании сети напрямую и через роутер. Например, можно скачать какой-нибудь файл или воспользоваться специальным онлайн-сервисом Speedtest.

    Сканируем скорость интернета через сайт Speedtest

  2. Чтобы более точно определить качество сигнала, необходимо узнать показатель пинга. Пинг — это время, за которое сигнал отправляется с вашего устройства, доходит до сервера и возвращается обратно. Естественно, чем он больше, тем хуже для вас. Откройте командную строку, пропишите команду ping ip и выполните её. IP — адрес вашего соединения, по умолчанию обычно используется 192.168.0.1, но может отличаться. Запомните полученный результат. Нормальное значение пинга до 40 мс — отличный показатель, 40–110 мс — нормальное среднее значение, больше 110 мс — стоит задуматься о перенастройке сети, улучшении сигнала или смене провайдера.

    Выполняем команду ping ip

  3. После списка отправленных пакетов вы увидите статистику. Вас интересует строчка «Пакеты», в ней подсчитано, сколько пакетов отправлено, потеряно, выполнено. Если количество потерянных пакетов превышает 5%, необходимо узнавать, в чём проблема. Если большое количество пакетов не будет доходить до сервера или возвращаться, это сильно скажется на скорости интернета.

    Смотрим, какой процент пакетов потерян

После того как вы опишите все вышеописанные действия, получите подробную информацию о пинге, количестве утерянных пакетов и скорости интернета, снова подключите WLAN-кабель или модем к роутеру и проверьте все те же показатели при подключении через Wi-Fi. Если параметры будут находиться примерно на одном уровне, то проблема кроется не в роутере, возможно, причина на стороне оператора. В противном случае, если проблемы с интернетом возникают только при использовании его через роутер, необходимо выполнить сброс настроек и чистку от вирусов.

Удаление вируса

Чтобы удалить вирус, необходимо сбросить настройки до значений по умолчанию. Если вирус успел повредить прошивку, придётся её установить снова самостоятельно.

Сброс параметров

  1. На задней панели роутера отыщите кнопку Reset. Обычна она меньше всех остальных. Её нужно зажать на 10–15 секунд. Когда роутер выключится и начнёт перезагружаться, её можно отпустить. Перезагрузка роутера уведомит вас о том, что настройки сброшены. Учтите, установленный пароль также пропадёт.

    Зажимаем кнопку Reset

  2. Чтобы заново настроить роутер, нужно подключить его к компьютеру по кабелю, а после открыть браузер и перейти по адресу http://192.168.0.1. Возможно, адрес будет другой, узнать его можно на наклейке, расположенной на самом роутере, или в документации, шедшей с роутером. У вас спросят логин и пароль, по умолчанию логин admin, а пароль — admin или 12345. Подробнее описано в инструкции к роутеру.

    Авторизуемся в интерфейсе управления роутером

  3. Перейдите к быстрой настройке. Укажите параметры, которые вам подходят. Если хотите, установите пароль и смените название сети. Пройдя процедуру настройки, сохраните изменения и перезагрузите роутер.

    Переходим к разделу «Быстрая настройка» и устанавливаем удобные настройки

После выполнения всех вышеописанных действий проверьте, избавились ли вы от ошибки. Если нет, то придётся перепрошить роутер вручную.

Перепрошивка роутера

Прошивка роутера возможна только в том случае, если устройство подключено к компьютеру при помощи кабеля. Обновлять прошивку по Wi-Fi нельзя.

  1. На обратной стороне роутера находится наклейка. Найдите на ней модель роутера. Также на ней есть информация о версии прошивки, установленной изначально. Если её версия 7, то обновление лучше устанавливать для 7 версии, чтобы избежать конфликта слишком новых прошивок со старым железом роутера.

    Узнаем версию прошивки и модель роутера

  2. Перейдите на сайт производителя и с помощью поисковой строки отыщите нужную версию для вашей модели. Загрузите её на компьютер.

    Находим и скачиваем нужную версию прошивки

  3. Скачанный файл будет заархивирован. Извлеките его содержимое в любую удобную папку.

    Разархивируем файл прошивки

  4. Снова войдите в интерфейс управления роутером. Как это сделать, описано на шаге №2 пункта «Сброс параметров». Выберите раздел Firmware Upgrade («Обновление прошивки»).

    Открываем раздел Firmware Upgrade

  5. Кликните по кнопке «Обзор», укажите путь до ранее извлечённого файла и дождитесь его загрузки.

    Указываем путь до прошивки

  6. Запустите процедуру обновления и дождитесь её окончания. Перезагрузите роутер. Прошивка должна быть обновлена, а все проблемы и вирусы, скорее всего, исчезли.

    Дожидаемся окончания установки

Видео: как прошить роутер

Как уберечь роутер от вирусов в будущем

Единственный способ уберечь роутер от вирусов — не дать проникнуть им на компьютер. Защита компьютера осуществляется посредством антивируса. Установите и ни при каких условиях не отключайте какой-нибудь современный антивирус. Подхватить вредоносное программное обеспечение при активированном антивирусе практически невозможно. Необязательно даже использовать платные защитные программы, в наше время достаточно качественных бесплатных аналогов.

Что делать, если ничего не помогло

Если выполнение всех вышеприведённых инструкций не принесло желаемого результата, остаётся два варианта: проблема возникает из-за поломки физической части роутера или ошибок на стороне провайдера. Во-первых, стоит позвонить в компанию, предоставляющую вам интернет, и рассказать им о своей проблеме и способах, которые уже не помогли её решить. Во-вторых, роутер стоит отнести в специальный сервис, чтобы его осмотрели специалисты.

Заражение вирусом роутера — редкое явление, но опасное. Избавиться от вируса можно двумя способами: сбросив настройки и обновив прошивку. Также необходимо убедиться в том, что вредонос не остался на компьютере.

itmaster.guru

Вирус VPNFilter, заразивший 500 тыс. роутеров оказался еще опаснее, чем считалось / Habr

Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.

Зловред постоянно совершенствуется разработчиками. Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Злоумышленники могут модифицировать трафик, проходящий через роутер. Также они без проблем могут перенаправлять любые данные на свои сервера. Модуль вируса получил название ssler.

Кроме модифицирования входящего трафика, ssler также может передавать своим создателям личные данные жертвы. Это могут быть пароли к разного рода ресурсам, которые киберпреступники затем используют с разными целями.

Для предотвращения кражи персональной информации обычно используется TLS шифрование, которое зловред может обойти. Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен. Затем заменяются заголовки запросов, что служит сигналом того, что точка доступа уязвима. Ssler специальным образом модифицирует трафик разных ресурсов, включая Google, Facebook, Twitter и Youtube. Дело в том, что указанные сервисы предоставляют дополнительную защиту. К примеру Google перенаправляет HTTP трафик на HTTPS сервера. Но модуль позволяет обойти и эту защиту, чтобы злоумышленники получали ничем не зашифрованный трафик.

C момента обнаружения вируса специалисты по информационной безопасности изучают его возможности. Сейчас оказалось, что он опаснее, чем считалось. Ранее, к примеру, специалисты Cisco утверждали, что главная задача злоумышленников — заражение сетевых устройств в офисах компаний и домах жертв. Возможно, для формирования ботнета. Но сейчас оказалось, что именно пользователи, вернее, их данные — основная цель.

«Изначально, когда мы обнаружили вирус, мы считали, что он создан для реализации разного рода сетевых атак. Но оказалось, что это вовсе не основная задача и возможность зловреда. Он создан, главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик. К примеру, вирус может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.

Интересно, что большая часть зараженных устройств находится на/в Украине. Здесь не слишком распространены защитные меры вроде HTTP Strict Transport Security, поэтому данные пользователей под угрозой. Но и в других странах есть проблемы — например, в США и Западной Европе многие устройства, устаревшие морально, не поддерживают работу с HTTPS, продолжая использовать HTTP.

Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

Полный список уязвимых устройствAsus:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-Link:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

Huawei:
HG8245 (new)

Linksys:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

Mikrotik:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

Netgear:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP:
TS251
TS439 Pro
Other QNAP NAS с QTS

TP-Link:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

Ubiquiti:
NSM2 (new)
PBE M5 (new)

Upvel:
Unknown Models* (new)

ZTE:
ZXHN h208N (new)


И это еще не все


Кроме всего, что было озвучено выше, в Talos сообщили об обнаружении снифер-модуля. Он анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Этот трафик проходит через TP-Link R600, что и определяется модулем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более.

«Создатели вируса ищут вполне конкретные вещи. Они не стараются собрать как можно больше доступной информации, вовсе нет. Им нужны пароли, логины, обращение к определенному диапазону IP и тому подобные вещи. Мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи.

Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.

Несмотря на то, что около недели назад ФБР обнаружило и изъяло главный сервер, ботнет до сих пор остается активным, принятых мер оказалось явно недостаточно.

habr.com

Маршрутизатор заражён вирусами: что делать

Ваш роутер является основной целью для хакеров, которые хотят бесплатно разгрузить ваше WiFi- соединение или проникнуть в вашу сеть. Если это скомпрометировано, они могут перенаправить ваши личные или служебные интернет-запросы на зараженные вредоносным ПО серверы.

Тем не менее, большинство людей не осознают масштаб проблем, связанных с взломанным маршрутизатором. Производители также массово производят разные устройства и не удосуживаются обновлять их, что оставляет их открытыми для атак. Фактически, киберпреступники используют это для атаки на многие маршрутизаторы.

Самый последний пример атак вредоносных программ на маршрутизаторах — это угроза VPNFilter . После масштабной атаки вредоносного ПО, которая скомпрометировала тысячи WiFi-маршрутизаторов и сетевых устройств по всему миру, ФБР срочно обратилось к владельцам дома и небольшого офиса с просьбой перезагрузить свои маршрутизаторы, чтобы предотвратить массированную атаку вредоносного ПО.

К числу угроз, создаваемых такими вредоносными программами, относятся отключение маршрутизаторов, блокирование сетевого трафика и сбор информации, проходящей через маршрутизаторы. Вы можете потерять конфиденциальную или конфиденциальную информацию и данные, что может создать огромные проблемы для вас или вашего бизнеса.

Очевидно, что никто не хочет находиться в такой ситуации, поэтому мы составили это руководство о том, как проверить маршрутизатор на наличие вредоносных программ и что вы можете сделать, чтобы его было сложнее взломать.

Признаки того, что ваш маршрутизатор заражен

Если вы подозреваете, что с вашим маршрутизатором что-то не так, есть несколько

ip-calculator.ru

Trojan.Rbrute или как удалить вирус в роутере?!

Как бы это дико не звучало, но есть вирусы, которые заражают не компьютеры, не планшеты или смартфоны — а ADSL-модемы. Казалось бы — зачем? На модеме не хранятся данные банковской карты, нет логинов или паролей в соцсети и иные онлайн-сервисы. На самом деле, получив доступ к роутеру, злоумышленники могут перенаправить запросы  на своих DNS-серверы, а оттуда — уже на фейковые сайты с которых Вам предложат скачать «важное» обновление браузера или антивируса. Заражению подвержены следующие устройства:
D-Link: DSL-2520U, DSL-2600U
TP-Link: TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G
ZTE: ZXV10 W300, ZXDSL 831CII

Симптомы заражения устройства:
— Индикатор «Интернет» горит, но доступа на большинство страниц нет;
— Вместо поисковиков и знакомых страниц открываются непонятные сайты;
— Компьютер не получает IP-адрес от роутера по DHCP. (IP присваивается из подсети Microsoft вида 169.254.ххх.ххх).

Как работает вирус:
Всё начинается с того, что Ваш компьютер или ноутбук инфицируется вирусом Win32.Sector, который уже скачивает и запускает Trojan.Rbrute который, в свою очередь, начинает поиск в сети ADSL-роутеров и подроб пароля. В случае удачного результата — он подменяет в конфиге роутера адреса DNS-серверов на свои. Затем все компьютеры, подключенные к нему попадают на специальную страницу, с которой скачивается Win32.Sector.

Как удалить вирус Trojan.Rbrute из роутера?
Процесс лечения прост:
1. На задней панели роутера находим кнопку Reset и зажимаем её на 10-15 секунд, до тех пор, пока устройство не моргнет всеми индикаторами и не уйдет в перезагрузку. Таким образом Вы bСбросите модема на заводские настройки.

2. Заходим в веб-интерфейс и меняем пароль на доступ со стандартного «admin» на какой-нибудь свой. Желательно посложнее.
3. Заново настраиваем подключение к сети Интернет и проверяем доступ.
4. С официального сайта производителя модема скачиваем последнюю версию прошивки для Вашей аппаратной версии(которую) и обновляем ПО. В последних версиях прошивки производитель закрыл баг.
5. После этого скачиваем последнюю версию антивирусного сканера DrWeb CureIT и проверяем им всю систему.

Последний пункт надо сделать обязательно, чтобы ни вирус-носитель Win32.Sector, ни сам Trojan.Rbrute не остались на жестком диске.

nastroisam.ru

Как проверить роутер на вирусы? Как удалить вирус в роутере?


В свете участившихся случаев подмены DNS вредоносными программами на устройствах пользователей интернет, возникает вопрос безопасности Wi-Fi роутеров. Как проверить роутер на вирусы? Как удалить вирус в роутере? Вопрос сложный и простой одновременно. Решение есть!


Сам вирус на большинство современных роутеров записать себя сам не может из-за малого места в памяти самого роутера, но может зомбировать роутер для участия в ботнете. Как правило, это ботнет для атаки на различные сервера, или для перенаправления и анализа потоков информации  уходящей от вас в интернет.

Ваши пароли и личная переписка могут попасть в руки злоумышленников!

 Это необходимо исправить как можно быстрее.

  • Сброс настроек роутера
  • Прошивка роутера
  • Повторная настройка

Сброс настроек роутера

    Сбросить настройки роутера вы можете нажатием кнопки ресет (reset). Обычно эту кнопку располагают сзади роутера, там, где и порты LAN. Обычно кнопка утоплена в дырочке, чтобы избежать случайного нажатия, так что придётся использовать зубочистку. Это удалит изменённые вирусом настройки роутере, и установит на их место заводские. Должен предупредить вас, что, если вы не умеете настраивать роутер, то и сбрасывать его настройки вам не стоит!


Прошивка роутера

    Иногда вирус "заливает" изменённую прошивку на роутер. Удалить с роутера вирусную прошивку, можно прошив роутер заново.

Соедините компьютер с роутером LAN кабелем. LAN кабель идёт в комплекте к любому роутеру. Или через Wi-Fi, еслинет возможности кабельного соединения. Лучше подключаться кабелем! Беспроводное подключение считается нестабильным и не подходит для прошивки роутера.

После того как мы подсоединились к роутеру, открываем браузер (Chrome, Opera, Mozilla, IE) и вводим в адресную строку адрес роутера ASUS, у асусов это 192.168.1.1, на открывшейся странице надо будет ввести логин и пароль для входа в настройки роутера. Логин:  admin, Пароль: admin. Если логин и пароль не подходят, то спрашивайте у того кто настроил вам роутер, возможно он их сменил.

Скачайте прошивку с сайта производителя и выберите прошивку на диске с помошью страницы настроек роутера. Для абсолютного большинства роутеров этапы прошивки одинаковы.

Повторная настройка

   Настройка роутера должна быть согласованна с вашим провайдером Интернет. Ведь, кроме подключения Wi-Fi, с которым, думаю, справиться каждый. Настройки роутера могут содержать тип подключения, адрес DNS сервера, и возможно ещё какие-то параметры рекомендованные провайдером Интернет.

Для более подробного ознакомления с вопросом прочитайте статью  

Желаем успеха и комфортной работы в Интернет.

techsuphelper.blogspot.com

Можно ли в wi-fi роутер занести вирус?

в роутер вирус ни как попасть не сможет, всё у тебя на компе....

вирус в прошивке - это из области супер-пупер. В принципе возможно, но весьма сложно. Скорее всего просто вскрыт пароль и идёт сниффинг трафика. Улучшай безопасность вайфая.

Слышал о таком и не раз, но в живую не встречал. По пробовать перепрошить роутер с оф сайта...

Можно. Я лично с такими встречался неоднократно. Этот вирус меняет ДНСы в роутере из-за этого и лезет реклама во всех подключенных устройствах. А так же меняет лог/пасс, чтоб юзер не смог изменить настройки. В некоторых случаях может менять название вафли. Чаще всего встречается на DLink и если используется никакой антивирус, типа Аваст. Нужен полный сброс настроек роутера и перенастройка, чтоб избавиться.

Сбрось настройки роутера да заводских. Потом, сразу же поменяй стандартные логин и пароль (admin-admin) на что-либо более сложное. На WiFi поставь пароль посложнее. После этого, для контроля пользуйся маленькой утилитой Wireless Network Watcher - она покажет, кто к твоей сети подсоединён. А если иное устройство подключится, то тут же даст об этом знать. После этого, супостата можно будет заблокировать по МАС-адресу. Программа очень мало ресурсов потребляет, потому можно смело её ставить в Автозагрузку.

touch.otvet.mail.ru

Как удалить вирус в роутере Trojan.Rbrute

Возможно, вам покажется это странным, но есть вирусы, которые заражают не компьютеры, не ноутбуки, не мобильные устройства, а роутеры.

Зачем это делать? Затем, что хотя в вашем роутере и не хранится никакой ценной информации, доступ к данному устройству позволит изменить параметры DNS-сервера. Это, в свою очередь, позволит мошенникам переправлять некоторые ваши запросы на поддельные сайты, где вы будете вводить конфиденциальную информацию, полезную мошенникам. Заражению подвержены множество моделей роутеров, список приводить бессмысленно, так как он может постоянно пополняться. Для вашей безопасности рекомендую с рекомендациями, которые позволят Вам избежать заражения.

 

Как работает вирус?

Ваш компьютер заражается вирусом под названием Win32.Sector. Тот, в свою очередь, скачивает со специального сервера Trojan.Rbrute, который осуществляет в сети поиск роутеров и пытается получить доступ к конфигурации. После получения доступа он меняет текущие адреса DNS, прописанные в роутере, на свои. Затем, все устройства, подключенные к роутеру, оказываются на странице, с которой происходит скачивание Win32.Sector.

Далее вы можете наблюдать следующие проблемы на своем компьютере:

  • Значок “Интернет” горит, но на большинство сайтов вы попасть не можете либо грузятся не те сайты, что вы хотели открыть
  • Самопроизвольно открываются непонятные сайты
  • Компьютер не может получить IP-адрес из вашей сети (ему присваивается адрес вида 169.254.xxx.xxx подсети Microsoft)

Как удалить вирус Trojan.Rbrute из роутера?

  1. Для начала необходимо сбросить настройки роутера на заводские. Для этого зажимаем кнопку “Reset” на задней панели роутера и ждем секунд 10, пока роутер не моргнет всеми индикаторами и не перезагрузится.

2. Заходим в администраторскую панель роутера и меняем стандартный пароль на доступ в админ-панель на свой, желательно посложнее.

3. Настраиваем роутер заново, проверяем работает ли Интернет должным образом.

4. С официального сайта производителя роутера скачиваем последнюю прошивку для вашей модели и прошиваемся ей. Скорее всего, в последней версии прошивки дыры, через которые злоумышленники получили доступ к настройкам роутера, закрыты.

5. После этого проверяем компьютер на наличие вредоносным программ, чтобы исключить возможность того, что WinSector или Trojan.Rbrute остались на жестком диске компьютера. Сделать это можно бесплатными средствами из статьи “Лучшие утилиты для удаления вредоносных программ”

Надеюсь, моя статья вам помогла=)

misterit.ru

ФБР советует перезагрузить свои роутеры для избавления от зловреда VPNFilter / Habr


Одна из моделей роутеров, заражаемых VPNFilter

На днях стало известно о том, что ФБР просит пользователей интернета в США перезагрузить свои роутеры для того, чтобы избавиться от вируса VPNFilter. Malware о котором идет речь, как считают специалисты, заразило сотни тысяч различных сетевых устройств. Избавиться от него можно очень простым способом — просто перезагрузить свой роутер.

О самом зловреде рассказывали специалисты компании Cisco Talos на прошлой неделе. В настоящее время количество зараженных вирусом роутеров достигло полумиллиона и продолжает увеличиваться. Это роутеры не одного и не двух производителей, а многих известных вендоров, включая Linksys, Mikrotik, Netgear, QNAP и TP-Link.

VPNFilter позволяет своим создателям получать данные переписки пользователя зараженного роутера, осуществлять атаки на другие устройства или даже выводить из строя сетевое устройство всего одной командой. Выполнение ее приводит к полной неработоспособности зараженной системы.

По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm. О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности. Для того, чтобы избавиться от вредоносного ПО, нужно вернуть роутер к фабричным настройкам или хотя бы перезагрузить его. Известно, что многие зловредные программы уничтожаются, если зараженное устройство перезагрузить. Но это, к сожалению, характерно лишь для относительно простых устройств.

ФБР удалось обнаружить основной сервер группы, который был изъят для дальнейшего изучения. Именно благодаря этому агенты ФБР смогли выяснить, сколько именно устройств было заражено этим вирусом (об этом говорилось в самом начале).

Собственно, если перезагрузка может помочь, то почему и не попробовать, верно? ФБР предлагает выполнить эту операцию не только пользователям тех моделей роутеров, о которых известно, что они уязвимы, но и тех, которые пока что не фигурируют в сводках специалистов по кибербезопасности. Таким образом можно просто перестраховаться.

Кроме того, владельцам потенциально уязвимых устройств советуют убрать возможность удаленной настройки роутера и вообще отключить всякий удаленный доступ во избежание дальнейших проблем. Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.

После перезагрузки устройства окажутся уязвимыми для повторного заражения. Но если соблюдать элементарные правила работы в сети, то вряд ли что изменится.


Интерфейс перезагрузки отличается от роутера к роутеру, но смысл все равно один — перезагрузить систему

Кроме ФБР еще и Министерство внутренней безопасности попросило граждан США перезагрузить последние для того, чтобы снизить количество зараженных устройств. Среди потенциально уязвимых роутеров следующие:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

Что касается совета перезапустить роутер, то оно вполне адекватное, причем сделать это стоит не только тем, кто живет в США, ведь VPNFilter поражает устройства по всему миру.

Роутеры в наше время — один из наиболее уязвимых для зловредов элементов сетевой инфраструктуры. Большинство IoT-вирусов рассчитаны на первоначальное поражение именно роутеров. Далее варианты действий злоумышленников разнятся. Кто-то может передавать все данные о действиях пользователей, еще кто-то — определенным образом модифицировать трафик. Внимание производителей роутеров не раз и не два обращали на эту проблему, но, к сожалению, пока что она остается актуальной. И хотя избавиться от зловреда можно всего лишь перезагрузив роутер, все равно массовое их заражение приводит к весьма печальным последствиям.

habr.com

Как удалить вирус в роутере Trojan.Rbrute

Ранее мы писали о подмене DNS, вследствие чего на компьютере появлялась реклама и баннеры-вымогатели. В ряде случаев, DNS-сервера были изменены не только в Windows, но и на роутере. Если выражаться технически корректно, то подмена ДНС — это конечно же не вирус в классическом смысле слова, а вредоносная настройка, которая тем не менее приносит немало неудобств.

В чем смысл подмены DNS-серверов и какой от этого вред

ДНС сервер отвечает за сопоставление доменных имен с IP-адресами. Мошеннические DNS-серверы способны сопоставлять имя любого порядочного сайта с другим — неверным адресом, и загружать подменное содержимое вместо подлинного. Если прописать такие «неправильные» ДНС на роутере, то все устройства, подключенные к нему, будут в опасности.

Выглядит это так.

Во время просмотра сайтов вдруг открывается страница с предложением обновить флеш-плеер, java, установить бесплатный антивирус, скачать программу якобы для ускорения работы и оптимизации ПК или любую другую на первый взгляд безобидную вещь. Немаловажно, что при этом в адресной строке может отображаться имя знакомого и проверенного сайта. Если пользователь скачает и запустит предложенный файл, то скорее всего в скором будущем у него начнутся большие проблемы с ПК:

  • На компьютере может начаться показ рекламных объявлений.
  • Файлы могут быть зашифрованы.
  • При попытке открыть любой сайт может появляться требование оплатить штраф.
  • Рабочий стол может быть заблокирован винлокером опять же с требованием перечислить деньги за разблокировку.
  • Компьютер может использоваться для осуществления интернет-атак на сайты и серверы, взлома других компьютеров (ботнет) и других нехороших дел.

При этом, как правило, снижается быстродействие ПК, идут постоянные обращения к жесткому диску, загрузка процессора достигает 100% в состоянии простоя.

Как происходит заражение роутера

Как правило, вначале происходит заражение одного из компьютеров в локальной сети. Вирус проникает на компьютер при скачивании какого-либо файла из Интернета. Затем, он посылает запросы на стандартные для сетевого оборудования адреса, может сканировать файлы cookies, скачивать вспомогательное вредоносное ПО (троян) и в результате попадает в настройки роутера или ADSL-модема.

Вирусы и трояны могут изменить настройки маршрутизатора (в частности, подменить DNS), если:

1. Для входа на веб-интерфейс используются стандартные реквизиты — IP, логин и пароль (например, 192.168.1.1, admin/admin)

2. Адрес, логин и пароль роутера сохранены в браузере.

Признаки заражения роутера

(могут встречаться как все вместе, так и отдельные признаки)

1. На устройствах, которые подключены к маршрутизатору, выскакивает реклама, в браузерах самостоятельно открываются левые вкладки/всплывающие окна, может появиться баннер-вымогатель на весь экран.

2. Часть сайтов не открывается. Вместо них отображаются веб-страницы со странным содержимым либо ошибка «404».

3. Нет доступа к Интернету, хотя индикатор WAN/Internet светится.

4. Компьютер получает IP-адрес из диапазона 169.254.*.*

Как удалить вирус с роутера

1. Войдите в настройки маршрутизатора (модема, точки доступа).

2. Откройте настройки WAN (т.е. соединения с Интернет-провайдером)

Настройте соединение согласно инструкции оператора. Она должна быть на сайте провайдера. Иногда процедура настрйоки Интернета может быть описана прямо в договоре.

Иногда вредоносное ПО пытается сбить пользователя с толку и прописывает зловредный DNS первичным, но тут же в качестве вторичного указывает IP публичного DNS компании Google. Фокус заключается в том, что ко вторичному сервер идет запрос только тогда, если первичный не смог найти сайт в своей базе, что на деле случается редко.

3. Откройте настройки LAN (т.е. локальной сети).

В большинстве случаев, должна быть активирована функция DNS Relay и никаких особенных адресов DNS роутер раздавать не должен.

Не во всех роутерах (на стандартных прошивках) есть возможность редактировать DNS, раздаваемые в LAN. Как правило, в качестве сервера разрешения имен для клиентов указывается локальный IP маршрутизатора.

Вот типичная правильная настройка локальной сети в маршрутизаторе Tp-Link:

Если у вас не получается исправить настройки, сделайте сброс настроек роутера и настройте его заново.

4. После этого обязательно проверьте все компьютеры и устройства в сети на вирусы с помощью MBAM и CureIt.

Как защитить роутер от вирусов

1. Обновить прошивку до последней

Зайдите на сайт производителя, введите свою модель, аппаратную версию и скачайте самую свежую прошивку. Читайте как обновить прошивку роутера на примере оборудования TP-Link.

2. Установить нестандартный пароль на веб-интерфейс

Не все маршрутизаторы позволяют изменить логин. Но если вы установите сложный пароль, этого будет достаточно.

3. Запретить вход в интерфейс маршрутизатора из Интернета

4. Изменить IP-адрес роутера в локальной сети

Даже не сомневайтесь, что первым делом вирус-взломщик роутеров будет обращаться к самым популярным адресам: 192.168.0.1 и 192.168.1.1.

Вирус в роутере?

Поэтому мы вам советуем изменить третий и четвертый октет локального IP-адреса в настройках LAN. Задайте например:

192.168.83.254

После этого все устройства в сети будут получать IP из диапазона 192.168.83.*

После изменения локального IP роутера, для входа на веб-интерфейс нужно будет вводить http://[новый адрес]

5. Установить надежный антивирус на компьютер

Даже если вредоносное ПО проникнет на компьютер, оно будет нейтрализовано и не успеет заразить роутер.

6. Не сохранять пароли в браузере

Думаю, вы в состоянии запомнить пароль от веб-интерфейса маршрутизатора. Или как минимум его записать на бумаге.

steptosleep.ru


Смотрите также



© 2010- GutenBlog.ru Карта сайта, XML.