Онлайн версия сканера от Rapid7 для проверки роутера на наличие уязвимостей, связанных с брешью в безопасности протокола Universal Plug and Play (UPnP)

Ранее мы писали о подмене DNS, вследствие чего на компьютере появлялась реклама и баннеры-вымогатели. В ряде случаев, DNS-сервера были изменены не только в Windows, но и на роутере. Если выражаться технически корректно, то подмена ДНС — это конечно же не вирус в классическом смысле слова, а вредоносная настройка, которая тем не менее приносит немало неудобств.

В чем смысл подмены DNS-серверов и какой от этого вред

ДНС сервер отвечает за сопоставление доменных имен с IP-адресами. Мошеннические DNS-серверы способны сопоставлять имя любого порядочного сайта с другим — неверным адресом, и загружать подменное содержимое вместо подлинного. Если прописать такие «неправильные» ДНС на роутере, то все устройства, подключенные к нему, будут в опасности.

Выглядит это так.

Во время просмотра сайтов вдруг открывается страница с предложением обновить флеш-плеер, java, установить бесплатный антивирус, скачать программу якобы для ускорения работы и оптимизации ПК или любую другую на первый взгляд безобидную вещь. Немаловажно, что при этом в адресной строке может отображаться имя знакомого и проверенного сайта. Если пользователь скачает и запустит предложенный файл, то скорее всего в скором будущем у него начнутся большие проблемы с ПК:

• На компьютере может начаться показ рекламных объявлений.
• Файлы могут быть зашифрованы.
• При попытке открыть любой сайт может появляться требование оплатить штраф.
• Рабочий стол может быть заблокирован винлокером опять же с требованием перечислить деньги за разблокировку.
• Компьютер может использоваться для осуществления интернет-атак на сайты и серверы, взлома других компьютеров (ботнет) и других нехороших дел.

При этом, как правило, снижается быстродействие ПК, идут постоянные обращения к жесткому диску, загрузка процессора достигает 100% в состоянии простоя.

Как происходит заражение роутера

Как правило, вначале происходит заражение одного из компьютеров в локальной сети. Вирус проникает на компьютер при скачивании какого-либо файла из Интернета. Затем, он посылает запросы на стандартные для сетевого оборудования адреса, может сканировать файлы cookies, скачивать вспомогательное вредоносное ПО (троян) и в результате попадает в настройки роутера или ADSL-модема.

Вирусы и трояны могут изменить настройки маршрутизатора (в частности, подменить DNS), если:

1. Для входа на веб-интерфейс используются стандартные реквизиты — IP, логин и пароль (например, 192.168.1.1, admin/admin)

2. Адрес, логин и пароль роутера сохранены в браузере.

Признаки заражения роутера

(могут встречаться как все вместе, так и отдельные признаки)

1. На устройствах, которые подключены к маршрутизатору, выскакивает реклама, в браузерах самостоятельно открываются левые вкладки/всплывающие окна, может появиться баннер-вымогатель на весь экран.

2. Часть сайтов не открывается. Вместо них отображаются веб-страницы со странным содержимым либо ошибка «404».

3. Нет доступа к Интернету, хотя индикатор WAN/Internet светится.

4. Компьютер получает IP-адрес из диапазона 169.254.*.*

Как удалить вирус с роутера

1. Войдите в настройки маршрутизатора (модема, точки доступа).

2. Откройте настройки WAN (т.е. соединения с Интернет-провайдером)

Настройте соединение согласно инструкции оператора. Она должна быть на сайте провайдера. Иногда процедура настрйоки Интернета может быть описана прямо в договоре.

Иногда вредоносное ПО пытается сбить пользователя с толку и прописывает зловредный DNS первичным, но тут же в качестве вторичного указывает IP публичного DNS компании Google. Фокус заключается в том, что ко вторичному сервер идет запрос только тогда, если первичный не смог найти сайт в своей базе, что на деле случается редко.

3. Откройте настройки LAN (т.е. локальной сети).

В большинстве случаев, должна быть активирована функция DNS Relay и никаких особенных адресов DNS роутер раздавать не должен.

Не во всех роутерах (на стандартных прошивках) есть возможность редактировать DNS, раздаваемые в LAN. Как правило, в качестве сервера разрешения имен для клиентов указывается локальный IP маршрутизатора.

Вот типичная правильная настройка локальной сети в маршрутизаторе Tp-Link:

Если у вас не получается исправить настройки, сделайте сброс настроек роутера и настройте его заново.

4. После этого обязательно проверьте все компьютеры и устройства в сети на вирусы с помощью MBAM и CureIt.

Как защитить роутер от вирусов

1. Обновить прошивку до последней

Зайдите на сайт производителя, введите свою модель, аппаратную версию и скачайте самую свежую прошивку. Читайте как обновить прошивку роутера на примере оборудования TP-Link.

2. Установить нестандартный пароль на веб-интерфейс

Не все маршрутизаторы позволяют изменить логин. Но если вы установите сложный пароль, этого будет достаточно.

3. Запретить вход в интерфейс маршрутизатора из Интернета

4. Изменить IP-адрес роутера в локальной сети

Даже не сомневайтесь, что первым делом вирус-взломщик роутеров будет обращаться к самым популярным адресам: 192.168.0.1 и 192.168.1.1.

Вирус в роутере?

Поэтому мы вам советуем изменить третий и четвертый октет локального IP-адреса в настройках LAN. Задайте например:

192.168.83.254

После этого все устройства в сети будут получать IP из диапазона 192.168.83.*

После изменения локального IP роутера, для входа на веб-интерфейс нужно будет вводить http://[новый адрес]

5. Установить надежный антивирус на компьютер

Даже если вредоносное ПО проникнет на компьютер, оно будет нейтрализовано и не успеет заразить роутер.

6. Не сохранять пароли в браузере

Думаю, вы в состоянии запомнить пароль от веб-интерфейса маршрутизатора. Или как минимум его записать на бумаге.