Как бы это дико не звучало, но есть вирусы, которые заражают не компьютеры, не планшеты или смартфоны — а ADSL-модемы. Казалось бы — зачем? На модеме не хранятся данные банковской карты, нет логинов или паролей в соцсети и иные онлайн-сервисы. На самом деле, получив доступ к роутеру, злоумышленники могут перенаправить запросы на своих DNS-серверы, а оттуда — уже на фейковые сайты с которых Вам предложат скачать «важное» обновление браузера или антивируса. Заражению подвержены следующие устройства:
D-Link: DSL-2520U, DSL-2600U
TP-Link: TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G
ZTE: ZXV10 W300, ZXDSL 831CII
Симптомы заражения устройства:
— Индикатор «Интернет» горит, но доступа на большинство страниц нет;
— Вместо поисковиков и знакомых страниц открываются непонятные сайты;
— Компьютер не получает IP-адрес от роутера по DHCP. (IP присваивается из подсети Microsoft вида 169.254.ххх.ххх).
Как работает вирус:
Всё начинается с того, что Ваш компьютер или ноутбук инфицируется вирусом Win32.Sector, который уже скачивает и запускает Trojan.Rbrute который, в свою очередь, начинает поиск в сети ADSL-роутеров и подроб пароля. В случае удачного результата — он подменяет в конфиге роутера адреса DNS-серверов на свои. Затем все компьютеры, подключенные к нему попадают на специальную страницу, с которой скачивается Win32.Sector.
Как удалить вирус Trojan.Rbrute из роутера?
Процесс лечения прост:
1. На задней панели роутера находим кнопку Reset и зажимаем её на 10-15 секунд, до тех пор, пока устройство не моргнет всеми индикаторами и не уйдет в перезагрузку. Таким образом Вы bСбросите модема на заводские настройки.
2. Заходим в веб-интерфейс и меняем пароль на доступ со стандартного «admin» на какой-нибудь свой. Желательно посложнее.
3. Заново настраиваем подключение к сети Интернет и проверяем доступ.
4. С официального сайта производителя модема скачиваем последнюю версию прошивки для Вашей аппаратной версии(которую) и обновляем ПО. В последних версиях прошивки производитель закрыл баг.
5. После этого скачиваем последнюю версию антивирусного сканера DrWeb CureIT и проверяем им всю систему.
Последний пункт надо сделать обязательно, чтобы ни вирус-носитель Win32.Sector, ни сам Trojan.Rbrute не остались на жестком диске.
Так же универсальные роутеры сагемком были заражены
Не сталкивались с таким — у нас они уже 2 года активно раздаются абонентам. Пока ни единого случая не замечено.
Сталкивался с такой проблемой у своих абонентов, в основном на TP-Link’ах, когда в первый раз столкнулся — не грешил на модем — думал абонент тупит, сбросил — настроил, все работает; когда поехал к абону в четвертый раз — понял — что-то не так, посоветовал поменять модем, опять же не грешил на вирус; и только много позже узнал что есть такие вирусы
Впервые о таком слышу! Хотя если BIOS вирусами заражают, нечему удивляться.
Ну, это совсем не вирус, а так, просто почти безобидная «фишка».
Можно и самому такое реализовать, хоть в домашней сети. При совпадении нескольких факторов можно повторить подобное:
1. Сканируем локальный пул;
2. Находим жертву с роутером, настроенным «роутером», извините за тавтологию.
3. Скрещиванием пальцы на ногах в предвкушении, что у товарища открыт доступ к админке роутера из WAN, да и пароль стандартный.
Ну а далее запускаем скрипт для черного дела.
Минус — многие юзеры сидят за NAT провайдера…
Ну а вообще-то существует и другой способ. В этом случае злоумышленник слизывает прошивки роутеров, декодирует, модифицирует и создает свою «ревизию». А т.к. там внутри ядро линукса, то можно практически всё что угодно напихать, от сниффера до ботнета. И спасет вас только перепрошивка заводской версией ))
Надеюсь, ни кому сон не испортил )
На самом деле вирусу не обязательно подбирать пароли, ему достаточно просто сидеть на компьютере, у которого имеется выход в интернет через роутер. Пароль вытаскивается элементарно у этих модемов, потому что у них одна и та же дырка. Ради интереса наберите 192.168.1.1/rom-0 и убедитесь, без запросов всяких паролей скачивается файл конфигурации, в которм все настройки модема, плюс пароли, по которым без труда можно войти в интерфейс, и WiFi. Умельцы даже бесплатно предоставляют услуги по расшифровке этих файлов. Я был поражён когда скачав самую последнюю прошивку, обнаружил эту же самую дырку! Какая может быть после этого борьба с вирусом? Выкинуть прибор, и купить другой? У которого нет такой проблемы? Решением может быть только смена доступа на 192.168.1.201, но это не на долго, сколько потребуется времени чтоб перебрать последнюю цифру? Вот так то. youtube.com/watch?v=7t1J2zktNBo Удачи.
Для роутера TD-8816, процесс лечения данный тут абсолютно бесполезен,
1 и 2 пункт приходится постоянно повторять, так как 3 пункт по смене пароля ни разу не помогает и веб-интерфейс постоянно «хакается»(может быть, из-за того, что сохраняю пароли в браузере).
4 пункт. для данного роутера уже давно не выпускают прошивки
5 пункт. дрбев ничего не находит.
Нашел на другом сайте совет по ACL(Управление доступом), пока что незнаю, поможет или нет.
ACL(Управление доступом)не помогает. На нескольких модемах тплинк проверил.. Только замена модема, если прошивки производитель не выпускает.
Вообщем мне помогла смена IP адреса для шлюза было 192.168.1.1, сменил на 192.168.1.101 и уже месяц все спокойно. Хотя ACL у меня также задействован в диапазоне 192.168.1.1 — 192.168.1.102.
Cоветуют на оффициальном русском форуме TP-link ставить максимально сложный, на столько это возможно, пароль а также в настройках Interface Setup — LAN в поле DNS вручную прописать ДНС-сервера провайдера.
Только вот незадача. Модем TD-8816. Обновлений прошивки, как уже говорили, нет и не будет. Да еще и на вкладке Interface Setup — LAN кнопка Save не работает — там вообще ничего нельзя поменять в настройках. Все просто сбрасывается в итоге на дефолтные значения. Это че — так задумано, или я делаю что-то не так?
По поводу описаного метода борьбы — после того как сбросил настройки модема и поставил сложный пароль внешние проявления деятельности обсуждаемой заразы вроде бы исчезли. Посмотрим надолго ли. А вот ДрВеб СureUT ни Win32.Sector ни сам Trojan.Rbrute не обнаружил. Правда я до этого уже успел винду переустановить, что нисколько не помогло решению проблемы. Аваст так же ничего не находит, НОД, стоявший до переустановки винды тоже не находил.
Нетгир у знакомых (около 15 роутеров у 15 знакомых этой фирмы) — такой проблемы не обнаружил.
А таки да — на тп_линк много раз сталкивался что глючат по этой части.
У меня была русифицированная прошивка 120808 на W8961ND. Она не апгрейдилась до последней 140305. Но я откатил ее до скачанной с тп линка предыдущей = 120534, и после этого стала нормально и 140-ая.
Не всегда сохраняет настройки, да, но это потому что веб-форма не во всех полях обнаруживает изменения, и кнопка сейв запрещена. Можно утилитами веб девелопера или ява-скриптом ее разрешить — или поменять еще какие-нибудь поля…
Алексей — такой вопрос надо уже техподдержке tp-link задавать. Я Вам тут не помогу.
Парни всем привет у меня не давно стало сильно жрать трафик модель роутера TD-W8951ND
кто нибуть сталкивался с такой проблемой?
Серёга — сам маршрутизатор трафик жрать не будет. Скорее всего кто-то из клиентов вирь подхватил.
Здравствуйте,мой роутер Ростелеком 1744 v1 видимо подхватил вирусный код когда dns менялся на статический
Первичный DNS сервер: 62.210.211.92
Вторичный DNS сервер: 8.8.8.8
я по совету сделал пароль посложнее но это не помогло,тогда я обновил прошивку но так как поторопился и не поглядел настройки то не смог настроить интернет и восстановил из бекапа все настройки,вопрос этот вирусный код все равно остался или он уже не побеспокоит,просто во время настройки у меня некоторые пункты не получилось как в вашем мануале выполнить видимо из за них и была заминка,сейчас последняя прошивка стоит 7.257.3Aa4N_RTC
Здравствуйте,мой роутер Ростелеком 1744 v1 видимо подхватил вирусный код когда dns менялся на статический Первичный DNS сервер: 62.210.211.92 Вторичный DNS сервер: 8.8.8.8
Аналогично.Вирусов обнаружить не удалось никаких. Подозреваю что связано с пароллем роутера admin/admin. Сменить, запаролить все норм
Владимир, так вот 4 день все нормально вроде,больше такой бяки не наблюдаю ,спасибо сайту за полезную информацию
чел нашел как решить проблему, но статья для профи.
Рано я обрадовался. Тогда в марте я искоренил рекламу, но теперь уже от нового вируса смена паролей не помогает, DNS подменяют буквально через 2 дня после смены паролей вайфай и админки(12 значные, сложные). Кстати теперь Касперский оперативно вносит эти DNS в черный список и все время сообщения о блокировке.
Чего делать? Может нести роутер сдавать в Ростелеком и покупать самому новый? А какой?