Я пользуюсь роутером Tenda W309R http://www.tendacn.com/in/product/W309R.html

Каждый раз, когда я перезагружал маршрутизатор, как только я снова подключался к сети, веб-браузер на моем компьютере автоматически открывался до 192.168.80.1/index.asp

Это страница входа в систему маршрутизатора, которая появилась, когда я подключился к сети:

У меня на компьютере установлен Mcafee Antivirus + Firewall. Я запустил полное сканирование, и никакой вредоносной программы не появилось. Я запустил MalwareBytes Anti-Malware, обнаружил только OpenCandy Ad-Ware, который не имеет ничего общего с маршрутизатором

Malwarebytes Anti-Malware www.malwarebytes.org

Дата сканирования: 07.02.2016 Время сканирования: 18:42 Logfile: Администратор: Да

Версия: 2.2.0.1024 База данных вредоносных программ: v2016.02.07.01 База данных руткитов: v2016.01.20.01 Лицензия: бесплатная Защита от вредоносных программ: отключена Защита от вредоносных программ: отключена Самозащита: отключена

ОС: Windows 8.1 ЦП: x64 Файловая система: NTFS Пользователь: E5

Тип сканирования: Поиск угроз Результат: завершенные объекты Проверено: 395511 Истекшее время: 5 мин, 3 сек

Память: включено Запуск: включено Файловая система: включено Архивы: включено Руткиты: отключено Эвристика: включено PUP: включено PUM: включено

Процессы: 0 (вредоносных элементов не обнаружено)

Модули: 0 (вредоносные элементы не обнаружены)

Ключи реестра: 0 (вредоносные элементы не обнаружены)

Значения реестра: 0 (вредоносные элементы не обнаружены)

Данные реестра: 0 (вредоносные элементы не обнаружены)

Папки: 0 (вредоносные объекты не обнаружены)

Файлы: 2 ПУП. Опционально.OpenCandy, C:\Users\E5\AppData\Local\Temp\is-QKG4I.tmp\OCSetupHlp.dll, [697470ed0693ef47cc404aa5f1135aa6], PUP.Optional.OpenCandy, C:\Users\Public\Downloads\AxCrypt-1.7.3156.0-Setup.exe, [49947edf188137fffb11a7487b8917e9],

Физические секторы: 0 (вредоносные элементы не обнаружены)

(конец)

Как это работает? Как маршрутизатор дал команду моему компьютеру открыть веб-браузер и открыть веб-страницу? Кто-нибудь может мне это объяснить?

1 ответ1

1

После анализа трафика с помощью WireShark я наконец нашел, что происходит. Именно WPAD(протокол автообнаружения веб-прокси) и NCSI(индикатор состояния сетевого подключения) открыли мой веб-браузер и перенаправили на страницу входа в маршрутизатор.

После сброса маршрутизатора и повторного подключения к сети мой компьютер отправил запрос GET для /wpad.dat на 192.168.80.1 и получил это

GET /wpad.dat HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: WinHttp-Autoproxy-Service/5.1
Host: wpad.tenda.lan

HTTP/1.0 302 Redirect
Server: GoAhead-Webs
Date: Thu Jan 01 00:00:02 1970
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Location: http://wpad.tenda.lan/login.asp

<html><head></head><body>
This document has moved to a new <a href="http://wpad.tenda.lan/login.asp">location</a>.
Please update your documents to reflect the new location.
</body></html>

Затем я немного больше искал про WPAD и обнаружил, что могу отключить через Панель управления -> Свойства обозревателя -> Вкладка «Подключения» -> Настройки локальной сети -> Автоматически определять настройки

Я отключил Автоматическое определение настроек, но страница входа в систему маршрутизатора все еще появлялась. Я снова перехватил трафик и обнаружил еще один запрос GET для /ncsi.txt, отправленный на 192.168.80.1

GET /ncsi.txt HTTP/1.1
Connection: Close
User-Agent: Microsoft NCSI
Host: www.msftncsi.com

HTTP/1.0 302 Redirect
Server: GoAhead-Webs
Date: Thu Jan 01 00:00:01 1970
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Location: http://www.msftncsi.com/login.asp

<html><head></head><body>
This document has moved to a new <a href="http://www.msftncsi.com/login.asp">location</a>.
Please update your documents to reflect the new location.
</body></html>

Этот, кажется, используется для проверки подключения и получения некоторой информации о сети. Это можно отключить с помощью regedit.exe и изменить значение DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing с 1 на 0

После того, как я отключил обе функции, страница входа в систему маршрутизатора больше не появляется автоматически.

Рекомендации:

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .