我的路由器出了问题(在问题我的设备上也弹出同样的窗口,有恶意软件吗?我无法回复)它感染了恶意软件。我通过更换路由器检查了问题,弹出窗口消失了。
第一次遇到这种恶意软件,怎么可能感染路由器!
固件是否有任何级别的安全?
该路由器型号为一级。
答案1
如何可能感染路由器?
可能的感染媒介有很多。
在一次感染中,恶意软件被用来篡改路由器及其 DNS 设置。该恶意软件从本地网络感染路由器(DNS 更改器恶意软件瞄准家用路由器)。
该恶意软件会将用户重定向到恶意版本的页面。这使犯罪分子能够窃取账户凭证、PIN 码、密码等。
正如指出的那样另一个答案,DNS 还可用于通过广告服务器重定向请求。
在另一次感染中,恶意软件利用路由器远程访问代码中的缺陷从互联网感染路由器(奇怪的攻击使 Linksys 路由器感染了可自我复制的恶意软件)。
搜索“路由器恶意软件”可以找到许多其他路由器恶意软件变种。
DNS 更改器恶意软件瞄准家用路由器
家用路由器可用于窃取用户凭据,但大多数人还不知道这一点。坏人已经找到了使用域名系统 (DNS) 更改器恶意软件的方法,将最不起眼的网络路由器变成他们计划的重要工具。
我们已经知道路由器有时会附带恶意的 DNS 服务器设置。在这种情况下,恶意软件用于篡改路由器及其 DNS 设置。如果用户尝试访问合法的银行网站或坏人定义的其他页面,恶意软件会将用户重定向到上述页面的恶意版本。这将允许网络犯罪分子窃取用户的帐户凭据、PIN 码、密码等。
我们发现,巴西(占所有感染的近 88%)、美国和日本的相关恶意网站数量正在增加。这些网站运行浏览器脚本,从内部网络对受害者的路由器进行暴力攻击。通过正确的凭据访问管理界面后,脚本会向路由器发送一个带有恶意 DNS 服务器 IP 地址的 HTTP 请求。一旦恶意版本替换了当前 IP 地址,感染就完成了。除了导航临时文件外,受害者机器中不会创建任何文件,不需要持久技术,也不会发生任何变化。
修改 DNS 设置意味着用户不知道他们正在导航到受信任站点的克隆。不更改默认凭据的用户极易受到此类攻击。
奇怪的攻击使 Linksys 路由器感染了可自我复制的恶意软件
攻击始于对家庭网络管理协议 (HNAP) 的远程调用,该接口允许 ISP 和其他机构远程管理家庭和办公室路由器。远程功能由内置 Web 服务器提供,该服务器监听通过互联网发送的命令。通常,它要求远程用户在执行命令之前输入有效的管理密码,尽管 HNAP 实现中的先前错误使路由器容易受到攻击。在使用 HNAP 识别易受攻击的路由器后,蠕虫利用 CGI 脚本中的身份验证绕过漏洞。(Ullrich 没有识别该脚本,因为它在许多旧路由器上仍未修复,他不想让攻击者更容易瞄准它。)Ullrich 表示,他已经排除了弱密码是 Linksys 感染的原因。
答案2
它实际上并不是传统意义上的感染。相反,它只是更改路由器的 DNS 设置,以便向特殊 DNS 服务器发出请求。这些服务器被配置为将您重定向到虚假网站和/或受恶意软件感染的真实网站版本。
例如,他们可以复制您的银行网站。下次您尝试访问网上银行时,他们可能会获取您的凭据,甚至可能窃取您的资金(具体取决于您银行网站的安全性)。
答案3
DanielB 说得没错,但你的问题更像是“如何”。
路由器通常设置为不允许从 LAN 外部进行远程管理。但它们将接受来自其 LAN 内的计算机的远程管理访问。
你的恶意软件大概用过的你的计算机访问管理页面,因此路由器接受了来自 LAN 内的管理连接。恶意软件可能完全在浏览器会话中完成此操作,但更有可能的是,它只是将木马程序放入您的系统,然后检查路由器并尝试一系列已知漏洞(例如简单地使用默认出厂密码),然后对 DNS 进行配置更改,以通过其广告服务器路由您的所有请求,在那里它们代理您的所有页面并向其中注入代码。
您可能应该对其进行硬恢复出厂设置(查看手册,但通常是这样的:关闭,按住重置按钮 90 秒,然后重新打开),然后重新配置它。更改密码。
请注意,可以通过这种方式上传新固件,因此可能不仅仅是用户配置更改。
您还需要检查您的计算机是否存在任何程序植入程序和/或木马,它们会重新编辑您的路由器设置。