У меня была проблема с роутером (в вопросе « То же самое всплывающее окно на моих устройствах») Я не смог ответить) он был заражен вредоносным ПО.Я проверил проблему, изменив маршрутизатор, и всплывающие окна исчезли.
Это было первое столкновение с вредоносным ПО такого типа, как можно заразить маршрутизатор!
Есть ли какой-либо уровень безопасности в прошивке?
Модель маршрутизатора первого уровня.
На самом деле это не инфекция в традиционном смысле. Вместо этого он просто изменяет настройки DNS вашего маршрутизатора, чтобы запросы отправлялись на специальные DNS-серверы. Эти серверы настроены так, чтобы перенаправлять вас на поддельные сайты и / или зараженные вредоносным ПО версии реальных сайтов.
Например, они могут создать копию веб-сайта вашего банка. В следующий раз, когда вы попытаетесь получить доступ к онлайн-банкингу, они могут получить ваши учетные данные и, в зависимости от того, насколько безопасен веб-сайт вашего банка, даже украсть ваши деньги.
DanielB не ошибается, но ваш вопрос больше похож на "как".
Маршрутизаторы обычно настроены так, чтобы запретить удаленное администрирование за пределами вашей локальной сети. Но они будут принимать удаленный административный доступ с компьютеров в своей локальной сети.
Ваша вредоносная программа, вероятно, использовала ваш компьютер для доступа к страницам администратора, поэтому маршрутизатор принял подключение администратора из локальной сети. Вредонос, возможно, сделал это полностью из сеанса браузера, но, скорее всего, он просто сбросил троян на вашу систему, который затем осмотрел маршрутизатор и попробовал список известных уязвимостей (например, просто с помощью заводского пароля по умолчанию), а затем внес изменения в конфигурацию в DNS, чтобы направить все ваши запросы через свои рекламные серверы, где они проксируют все ваши страницы и внедряют в них код.
Вам, вероятно, следует выполнить на нем полный заводской сброс (проверьте руководство, но обычно что-то вроде: выключите, нажмите и удерживайте кнопку сброса в течение 90 секунд при включении), а затем перенастройте ее. Сменить пароль.
Обратите внимание, что таким способом можно загрузить новую прошивку, поэтому возможно, что это больше, чем просто изменение конфигурации пользователя.
Вы также должны проверить свои компьютеры на наличие программ-пиперов и / или троянов, которые просто повторно отредактируют настройки вашего маршрутизатора.
Существует много возможных переносчиков инфекции.
При одной из таких инфекций вредоносная программа используется для подделки маршрутизатора и его настроек DNS. Это вредоносное ПО заражает маршрутизатор из локальной сети (вредоносное ПО DNS Changer устанавливает взгляды на домашние маршрутизаторы).
Вредонос будет перенаправлять пользователей на вредоносные версии страниц. Это позволяет преступникам красть учетные данные, PIN-коды, пароли и т.д.
Как указано в другом ответе, DNS также может использоваться для перенаправления запросов через рекламные серверы.
При другом заражении вредоносная программа заражает маршрутизатор из Интернета, используя уязвимость в коде удаленного доступа маршрутизатора (Bizarre атака заражает маршрутизаторы Linksys самовоспроизводящейся вредоносной программой).
Многие другие варианты вредоносных программ маршрутизатора можно найти, выполнив поиск "вредоносная программа маршрутизатора".
Домашние маршрутизаторы могут использоваться для кражи учетных данных пользователей, и большинство людей просто еще не знают об этом. Плохие парни нашли способы использовать вредоносное ПО системы смены доменных имен (DNS), чтобы превратить самый незаметный сетевой маршрутизатор в жизненно важный инструмент для их схем.
Мы уже знаем, что маршрутизаторы иногда поставляются с вредоносными настройками DNS-сервера. В этом случае вредоносная программа используется для подделки маршрутизатора и его настроек DNS. В случае, если пользователи пытаются посетить законные банковские сайты или другие страницы, определенные злоумышленниками, вредоносная программа перенаправит пользователей на вредоносные версии указанных страниц. Это позволит киберпреступникам украсть учетные данные пользователей, PIN-коды, пароли и т.д.
Мы видели растущее число связанных вредоносных сайтов в Бразилии (почти 88% всех случаев заражения), США и Японии. На этих сайтах выполняется сценарий браузера, который выполняет атаку грубой силой на маршрутизатор жертвы из внутренней сети. Имея доступ к интерфейсу администрирования через правильные учетные данные, скрипт отправляет маршрутизатору один HTTP-запрос с IP-адресом вредоносного DNS-сервера. Как только вредоносная версия заменяет текущий IP-адрес, заражение завершается. За исключением временных файлов навигации, на компьютере-жертве файлы не создаются, постоянная техника не требуется и ничего не меняется.
Измененные настройки DNS означают, что пользователи не знают, что они переходят на клоны доверенных сайтов. Пользователи, которые не изменяют учетные данные по умолчанию, очень уязвимы для такого рода атак.
Вредоносное ПО DNS Changer устанавливает взгляды на домашние маршрутизаторы
Атака начинается с удаленного вызова к протоколу администрирования домашней сети (HNAP), интерфейсу, который позволяет интернет-провайдерам и другим лицам удаленно управлять домашними и офисными маршрутизаторами. Удаленная функция предоставляется встроенным веб-сервером, который прослушивает команды, отправленные через Интернет. Обычно требуется, чтобы удаленный пользователь ввел действительный пароль администратора перед выполнением команд, хотя предыдущие ошибки в реализациях HNAP делали маршрутизаторы уязвимыми для атаки. После использования HNAP для выявления уязвимых маршрутизаторов, червь использует уязвимость обхода аутентификации в CGI-скрипте. (Ульрих не идентифицирует скрипт, потому что он остается незафиксированным на многих старых маршрутизаторах, и он не хочет, чтобы злоумышленникам было легче нацелить его.) Ульрих сказал, что он исключил слабые пароли как причину заражения Linksys.
Атака Source Bizarre заражает маршрутизаторы Linksys самореплицирующимся вредоносным ПО
