Новый вирус атакует роутеры. Вирус DNS – Информация и удаление
Завязка
Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения - все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона - открывалась настоящая версия. Вывод был только один - заражен роутер.
Всему виной безответственность
Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin ! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.Проверив DNS я обнаружил следующее:
Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу , в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Вот это поворот
2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39 .Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin . Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
В тылу врага
Оформлена админка была со вкусом
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))
В разделе Stat можно было увидеть сколько всего залогировано входов. Ситуация примерно такая:
VK ~72000
OK ~45000
QIWI ~9000
BTC - 5
Неплохие результаты (не считая btc), да?
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
Результаты
Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.Вот этот
Наблюдается проблема (на мой взгляд) с Яндекс.браузером. А именно подмена DNS. С его появлением в моей компьютерной жизни (декабрь 2012) начались напряги. Раз в месяц (стабильно) кто-то настойчиво пытается меня взломать. Сначала веселило меня это. Сам их в ответ подламывал. Но теперь надоело и разозлило. Суть вопроса такова. Всю почту завёл на Янлекс. Стоки с соцсетей тоже (удобней работать). Раньше на Мозилле сидел, ту же конфигурацию перевёл на Яндекс.браузер (побыстрей Хрома даже, на мой взгляд). При сёрфинге в НЕТе иногда приходится пробегать через Mail.ru. (понятно, что за помойка).
Так вот Я.браузер по-ходу настолько скорешился с Male, что видно просачивается личная конфиденциальная информация и на её основе проще ко мне зайти через «заднюю дверцу». Её стараюсь держать закрытой. Но сутками за компом не усидишь. Чищу Host периодически. Перепробовал все антивирусы — эту гадость блокирует только Аваст (Каспер иногда).На данный момент… Три раза в этом году переустанавливал винду из-за этой бяки. На сегодня стоит Аваст Фри + Aваст Секьюрити + Адблок Плюс + Адблок-интеграция в браузер от Аваста + защитник виндовс (родной). Всё равно придумали, как просочиться.
Пробовал AZT — никак. Cureit не всегда обнаруживает. Акронис пробовал, разок помог. Переустановка браузера-шикос, но ссылки, письма… геморрой. Сегодня атаку отбил. А началось всё сегодня с захода на Майкрософт за Wordом-письма с браузера скопировать на всякий случай. Винда у меня 7х64 максималка, лицуха (ОЕМ-сам ставил-9 мес. ходил-всё летало-производительность-6.3 с обычным Сигэйтем). Машина Icore(TM) i7-2600/4х3700 Ггц/RAM-8/ Gts 560Ti…
В общем неплохая игровая тачка, год пробег. Вот какую ещё программу поставить, чтобы победить «индусов», не прибегая к их методам (подмывают таки доссняк им фигануть, но могу других задеть, скорей всего; да мне и не 15 лет…).В Яндекс обращался-валят на провайдера. От провайдера ребята приехали, всё с ноутбуком, своими программами протестировали, комп посмотрели — всё хоккей. Думал ещё может соседи через WiFI лезут — там всё шикарно, двойной пароль…
Остаётся одна ошибка — Яндекс.браузер (сырой), который раздаёт мои аккаунты направо и налево своим «партнёрам». Возможно, я ошибаюсь. И всё равно он мне нравиться)) ,неплохой продукт-подрихтовать чуток… Вот как быть? Какую супер-программму тут можно применить? Может я чего-то не понимаю…? С уважением, Валерий.
Как удалить «рекламный» вирус DNS Unlocker? У вас появились проблемы с вирусом, который меняет домашнюю страницу, отображает рекламу в браузере и изменяет DNS-адрес подключения к Интернет? Мы покажем, как удалить его вручную — шаг за шагом.
DNS Unlocker крайне раздражающая программа типа Adware, мало того, что выводит рекламу и значительно затрудняет пользование браузером, но и ещё изменяет настройки интернет подключения и адреса DNS в параметрах сетевой карты. Его тяжело проигнорировать, и оставлять в компьютере небезопасно, так как может навредить системе Windows. Итак, как от него избавится и где его искать на диске.
Внимание! Рекомендуем выполнить все шаги, потому что если останется хоть одна запить о DNS Unlocker, то после перезагрузки компьютера вирус снова распространится в системе Windows. Даже если он не отобразился в некоторых местах, описанных в последующих шагах, то обязательно нужно перепроверить его присутствие программой MalwareBytes AntiMalware. Пропуск некоторых шагов приведет к тому, что вирус быстро распространится, поэтому перед перезагрузкой компьютера нужно убедится что все ссылки на него были удалены.
Перед тем как приступить к лечению следует закрыть все браузеры.
Шаг 1: Удаление DNS Unlocker из Панели управления
Начнем с самого простого способа – удаления DNS Unlocker из Панели управления. Переходим в меню Пуск и запускаем Панель управления (если у вас Windows 8.1 / 10, то найти её можно через строку поиска). Затем перейдите в раздел Программы>Удаление программ.
Немного подождите пока откроется список всех программ, установленных на вашем компьютере. Найдите в списке строку с DNS Unlocker, выделите её и нажмите кнопку «Удалить».
Шаг 2: Удаление DNS-адреса в настройках сетевого адаптера
DNS Unlocker не такое уж и простое вредоносное ПО, которое только меняет домашнюю страницу в браузере. Этот вирус также вносит свои коррективы в параметры подключения к Интернет, а именно в настройках сетевой карты изменяет адреса серверов DNS. Их нужно удалить вручную.
Откройте Панель управления, затем перейдите в раздел «Центра управления сетями и общим доступом». В этом разделе выберите в боковом меню с левой стороны пункт «Изменение параметров адаптера». Здесь отображаются все сетевые подключения, установленные на компьютере. Обычно в этом окне найдете два ярлыка – Ethernet(подключение по сетевому кабелю) и карту Wi-Fi.
Нажмите на сетевую карту, которая соединяет компьютер с интернетом правой кнопкой мыши и выберите «Свойства». В списке протоколов сетевой карты ищем пункт «Протокол интернета в версии 4 TCP/IPv4». Выделяем его и нажимаем на кнопку «Свойства».
В новом окне найдите секцию, отвечающую за адреса серверов DNS (в нижней части). Как правило, DNS Unlocker меняет DNS-адреса на следующее:
82.163.143.172
82.163.142.174
Если здесь проставлены эти адреса, то нужно их удалить. Не закрываем это окно. Нажимаем на кнопку «Дополнительно» и переходим на вкладку DNS.
Также нужно проверить, прописаны ли какие-либо ещё адреса DNS. Здесь может быть кроме прочих находиться адрес провайдера, поэтому перед удалением запишите их в блокнот, если не уверены какой из них отвечает за соединение с интернет. Если адресов DNS нет, возвращаемся в предыдущее окно и устанавливаем флажок «Получить адрес DNS-сервера автоматически» и подтверждаем изменение кнопкой «ОК».
Шаг 3: Удалите записи DNS Unlocker в редакторе реестра
DNS Unlocker может внести свои записи в системный реестр Windows. Поэтому его нужно обязательно проверить. Для этого нажмите комбинацию клавиш Windows + R, затем в открывшемся окне введите команду regedit, чтобы войти в редактор реестра.
В основном меню редактора перейдите на вкладку «Правка», а затем «Найти». Введите в окно поиска «dns unlocker» или просто часть этой комбинации слов, например, «unlocker». Если в результате поиска обнаружаться записи явно указывающие на DNS Unlocker – удалите их. Продолжите поиск до конца через F3 или «Найти далее». После закройте редактор реестра.
Шаг 4: Проверьте ярлыки браузеров
Чаще всего вредоносное ПО типа Adware изменяет ярлыки браузеров. В этом случае, DNS Unlocker ничего подобного не делает, но прежде чем запустить браузер, всё-таки стоит это проверить. Бывают случаи, что с помощью этого вируса, кроме рекламы ads by DNS Unlocker может внедрится другой «вредитель».
Кликните правой кнопкой мыши на ярлык браузера на рабочем столе, а затем перейдите к свойствам. Если ярлык прикреплён к Панели задач Windows перед нажатие правой кнопкой мыши удерживайте нажатую клавишу Shift на клавиатуре.
В свойствах ярлыка браузера обратите внимание на поле «Объект». Запись должна заканчиваться файлом «.exe». Если всё же там что-то дописано (например, адрес интернет страницы или какой-то код), то это обязательно нужно удалить. Чтобы подтвердить изменения нажмите на «ОК». Браузер не запускайте, пока не пройдете все шаги.
Шаг 5: Очистите браузер от остатков DNS Unlocker
Его присутствие в браузере можно определить по подписи в блоках рекламы ads by DNS Unlocker.
В этом шаге нужно очистить все изменения, которые мог внести DNS Unlocker в настройки браузера. Покажем как это сделать в браузерах Chrome, Firefox и Internet Explorer.
Chrome
Запустите свой браузер, а затем в адресную строку введите:
chrome://net-internals/#dns
На экране появится страница с настройками DNS. Напротив пункта «Host resolver cache» нажмите на «Clear host cache». Затем нажмите на CTRL + H, чтобы перейти в историю просмотров. Нажмите на кнопку «Очистить историю просмотров» и удалите её за всё время (снимите только галку с опции «Пароли», чтобы не удалить сохранённые пароли).
Firefox
В браузере Firefox кликните на кнопку с тремя черточками, а затем перейдите в Настройки. В настройках перейдите на вкладку «Приватность» и нажмите кнопку «очистить вашу недавнюю историю». В диапазоне времени выберите «Всё», а затем в Подробностях отметьте все элементы.
Internet Explorer
Запустите браузер IE, а затем меню «Сервис» в верхнем правом углу выберите «Свойства обозревателя». На вкладке «Общие» найдите секцию «История просмотра», затем нажмите «Удалить» и отметьте все, кроме «Пароль» и «Данные веб-форм». Подтвердите удаление, нажав кнопку «Удалить».
После очистки браузеров вручную всё должно быть в полном порядке и ads by DNS Unlocker больше не появится на вашем компьютере. Если хотите убедиться, что вирус полностью удалён, запустите для сканирования компьютера программу MalwareBytes AntiMalware.
Чтобы защититься от трояна Trojan.Rbrute, поражающих модемы/маршрутизаторы фирмы TP-link нужно выполнять несколько простых условий. Вирус распространяется перебором сканированием IP-адресов по n-ому диапазону, после чего начинается подбор пароля методом brutforce. Атаке подвержены практически все популярные модели роутеров Tp-link. Пробираясь в настройки устройства троян меняет адреса DNS провайдера на адреса злоумышленников.
Ваш роутер заражен, если:
При попытке выйти на любой сайт, будь-то remont-sro.ru или сервис Gmail.com открывается сайт загрузки фейкового Google Chrome или другие подозрительные ресурсы. Изначально редирект работал только для запросов пользователя, содержащие слова Facebook или Google, но теперь троян реагирует на любой из них. Индикация на модеме остается прежней, «Интернет» горит стабильно, компьютер показывает, что подключение выполнено, авторизация пройдена, но сам интернет не работает, а лишь перебрасывает на рекламные и/или фейковые страницы загрузок
Пункт 1. Reset. Перенастройка модема
Инструкцию подготовил специалист ГТП ЦОО Корчагина Мария
Если вы не можете зайти в настройки модема через 192.168.1.1, то попробуйте сделать это через адрес 192.168.42.1
На данной странице настройки указаны только для услуги Интернет. Для настройки IP-TV и WI-FI скачайте полный мануалы
Русская версия - http://yadi.sk/d/JC6l6FPVRbU9P
Английская версия - http://yadi.sk/d/j6Ly7bA4RbU8r
1. Чтобы правильно сбросить настройки на модеме следует зажать иголкой/пастой/зубочисткой кнопку Reset в небольшом углублении. Держим от 5 до 15 секунд до исчезновения индикации на устройстве. Лампочки должны погаснуть так, как после обычной перезагрузки роутера
2. Для настройки модем следует подключать кабелем в любой LAN-порт, не проводите настройку посредством Wi-Fi соединения.
3. Зайдите через браузер Internet Explorer в интерфейс роутера, по адресу: 192.168.1.1. Откроется диалоговое окно. В полях «Имя пользователя» и «Пароль» введите соответственно admin/admin. Откроется стартовая страница роутера (см. ниже)
На этой странице вы увидите, какие настройки уже существуют:
4. Перед тем как приступить к настройке маршрутизатора, необходимо удалить все ранее созданные настройки, для этого нужно перейти в раздел «Настройка интерфейса» -> «Интернет» , выбираем «Виртуальный канал» - PVC0, внизу страницы нажимаем кнопку «удалить». Так проделываем с каждым виртуальным каналом (их всего 8).
В итоге вот, что должно получиться (снова перейдите в раздел «Состояние» ):
5. Теперь перейдите в раздел «Настройка интерфейса»
, затем выберете подраздел «Интернет»
(см. скриншоте ниже). Указываем параметры как на скриншоте ниже (пользователь и пароль: rtk), затем сохраняем все параметры, нажав кнопку «Сохранить».
На этом настройка в режим PPPoE закончилась.
Пункт 2. Смена пароля на вход в маршрутизатор
Для того чтобы сменить пароль, перейдите в раздел «Эксплуатация устройства» , затем «Администрирование» , где собственно и меняется пароль на вход в маршрутизатор (придумать сложный пароль) (см. скриншот ниже). После чего нажать кнопку «Сохранить»
Пункт 2.5 Список паролей, которые не рекомендуется ставить на вход в маршрутизатор
111111
12345
123456
12345678
abc123
admin
Administrator
password
qwerty
root
tadpassword
trustno1
consumer
dragon
gizmodo
iqrquksm
letmein
Все эти пароли вирус уже «знает» и подбор пароля займет 1 секунду. Пароль следует ставить не только из одних цифр или букв. ОБЯЗАТЕЛЬНО должны присутствовать спец.символы (решетки. звездочки, проценты, кавычки) и буквы различного регистра (заглавные и строчные). Чем больше и разнообразней пароль, тем дольше его придется «брутить» (если вообще удастся).
Пункт 3. Ограничиваем доступ к модему к WAN-порту.
1. Заходим в настройки модема и ищем меню «Управление доступом» и выставляем параметры, как на скрине ниже:
2. В результате должна добавиться строка с параметрами (см. рисунок ниже):
Тоже самое для АНГЛИЙСКОЙ версии:
Пункт 4. Настройка LAN (DHCP + DNS)
