几周前,我的互联网连接开始出现问题,速度非常慢,突然间一些网站(特别是 gmail、facebook、youtube 和 twitter)开始无法连接,而其余网站则连接正常。几天后,这些网站开始向我显示一条葡萄牙语消息:“新更新已提供”每当我尝试连接时,就会开始下载一个.exe文件(“internet_update.exe”或类似的文件)。
当时我就惊慌失措了!这肯定是病毒之类的,但这真的很奇怪,因为我从来没有遇到过这样的问题(我运行的是 Linux)。所以我打开了我的旧电脑(运行的是 Windows XP),结果发现它有同样的问题!每当我尝试连接其中一个特定网站时,都会显示相同的消息,而其余网站加载没有问题。甚至在我的 Android 智能手机上也显示了相同的消息。
所以很明显问题不在于某台机器,而在于路由器本身。所以我开始谷歌搜索,找到了一些信息,不幸的是我只找到了一些西班牙语的,所以我会给你做一个简短的总结:
这是一种新型银行木马,专门用于感染和收集巴西银行的信息。目前,该木马已扩展到阿根廷和秘鲁。
那么它是如何工作的呢?它通过社交网络(视频、链接等)传播,然后通过更改 DNS 的值来“控制”您的互联网连接。更具体地说,它改变了主 DNS到以下 IP 之一:108.170.13.38、66.7.216.122 或 63.143.43.154 以及辅助 DNS到 8.8.8.8,这个辅助 DNS 实际上是Google 公共 DNS,并且这样配置是为了让您的互联网连接继续正常工作并且用户不会注意到任何事情。
这里最重要的一点是,由于您的计算机没有下载或安装任何软件,因此任何防病毒软件都不会发现任何变化。更改 DNS 后,该木马将控制您连接的每个网站,并通过这种方式窃取您的银行信息。
因此,在阅读完这篇文章后,我访问了我的路由器,并将我的主 DNS 和辅助 DNS 恢复为正确值,但一天后我又遇到了同样的问题。
这实际上是一篇 50% 是警告帖,50% 是帮助我!的帖子。
那么,问题来了:有什么可能的办法可以防止我的 DNS 被更改?
附言:抱歉,如果这个问题不应该出现在这里,但我有点绝望,你能将我重定向到正确的网站吗?
答案1
我不知道它是否适用于这种情况,但发生这种情况的一种方式(罕见,但可能)是恶性 Flash 片段(在您不知情的情况下由您的浏览器下载并执行)通过 UPNP 从您的机器重定向到路由器,并且如果路由器接受 UPNP 重新配置则对路由器进行重新编程。
甚至在这成为威胁之前,我就确定 UPNP 对我来说毫无用处,并且从那时起(现在可能已经 5 年或更长时间了)就在我控制的所有路由器上禁用它,另外在我配置的所有机器上使用静态 DNS 服务器(在我的情况下是 OpenDNS)。