Un nou virus atacă routerele. Virus DNS - Informare și eliminare

Inceputul

Totul a început când unul dintre prietenii mei s-a plâns că versiunea mobilă a VKontakte a fost închisă. Am fost foarte surprins pentru că nu vedeam nicio cale pentru asta motive obiective, și s-a grăbit să verifice dacă este așa. Trecerea la m.vk.com mi-a spulberat îndoielile - totul a funcționat. Când a întrebat un prieten, s-a dovedit că m.vk.com a raportat că întregul serviciu s-a mutat la aplicatie mobilași oferă să descărcați această aplicație. Evident, virușii fac farse, m-am gândit și i-am cerut unui prieten să mă lase să mă uit la mașina lui.

În primul rând, m-am uitat personal la acest fals, totul părea foarte plauzibil: era bine așezat și adresa URL era exact m.vk.com. Deci chiar ai crede asta versiune mobila VK s-a închis.
Ei bine, ce ar putea fi? Desigur, gazde! Deschizând-o, eram gata să-mi salvez prietenul de la o nenorocire groaznică, dar... în dosar nu era nimic în afară de comentarii standard. Nu era nici altul gazde ascunse, așa cum se întâmplă uneori. Studiu atent rularea proceselor nu a dat nimic interesant, la fel ca și căutarea pe google a aplicației oferite pentru descărcare. M-am gândit la asta.

Procesul meu de gândire a fost întrerupt de un prieten care a spus că același lucru se întâmplă atunci când încerc să mă conectez la VK de pe telefon. Acesta a fost un indiciu. Telefonul era conectat la wi-fi acasă indică în același punct ca calculator cu probleme. După ce i-am cerut unui prieten să se conecteze la VK cu internet mobil, după ce m-am deconectat de la wi-fi, am respins opțiunea de infectare a telefonului - versiunea reală a fost deschisă. A existat o singură concluzie - routerul a fost infectat.

Totul se datorează iresponsabilității

După ce am trecut la 192.168.1.1, am cerut unui prieten login și parola pentru router și am auzit ca răspuns... admin:admin! Ce?! Cum ai putea să nu schimbi parola de pe routerul care distribuie wi-fi?! Iresponsabilitate uimitoare! Prietenul a ridicat din umeri.
După ce am verificat DNS-ul am găsit următoarele:
A doua adresă îmi este bine cunoscută, așa este DNS Google, dar nu l-am mai văzut niciodată pe primul. Nici măcar nu era din regiunea noastră.
Nu mi-a venit nimic în minte în afară de a merge la această adresă. Un QIWI fals a apărut în fața mea și, din nou, de o calitate excelentă. (Apropo, este încă acolo).

Am eliminat această adresă din DNS, înlocuind-o cu cea standard pentru regiunea noastră, am schimbat parola de pe router și am repornit-o. După aceea, totul a funcționat conform așteptărilor. După ce am ascultat recunoştinţa prietenului meu, am decis să arunc o privire mai atentă asupra falsului.

Ce întorsătură

2ip.ru a spus că adresa este ucraineană și a arătat din ce rază este. Raza de acțiune a fost mică, așa că ar fi logic să o scanăm. Făcut repede şi foarte bine. O jumătate de oră de lăutari și s-a descoperit o altă adresă interesantă. Aici era: 176.102.38.39 .

Acum există blasfemie acolo, dar când l-am găsit, a existat un formular numit „Panou de administrare fals” și câmpuri pentru autentificare și parolă. Nu stii niciodata? m-am gandit si am intrat admin:admin. Ce crezi că s-a întâmplat?

M-am găsit în panoul de administrare, cu jurnalele tuturor autentificărilor la escrocii falși! În mod uimitor, au fost prinși folosind propria lor metodă de infectare.
Recunosc, la început am crezut că este un honeypot și am încercat să mă conectez la unul dintre portofelele QIWI din jurnal. Datele erau corecte, în contul portofel erau aproximativ 1000 de ruble. Deci nu este un vas de miere. Am lăsat portofelul și am început să studiez panoul de administrare.

În spatele liniilor inamice

Panoul de administrare a fost conceput cu gust

(aceste jucării de deasupra s-au mișcat când ați îndreptat un șobolan spre ele și au făcut un sunet (și nu era o unitate flash))


În secțiunea Stat puteai vedea câte intrări înregistrate au fost. Situatia este cam asa:
VK ~72000
OK ~45000
QIWI ~9000
BTC - 5

Nu sunt rezultate proaste (fără numărarea btc), nu?

Separat, este necesar să rețineți jurnalul QIWI, aparent, de dragul că toate acestea au fost făcute. Jurnalul QIWI a afișat nu numai autentificarea, parola și IP-ul, ci și soldul la momentul autentificării, precum și dacă a fost activată confirmarea prin SMS pentru plăți (ceea ce este uimitor, în majoritatea conturilor a fost dezactivată). Acest jurnal sugerează că, după autorizarea printr-un fals, persoana a fost autorizată pe QIWI real, iar bietul tip nici măcar nu a bănuit că a existat o captură.

În colțul din dreapta sus este afișat numărul de înregistrări care nu au fost încă arhivate (rețineți că aceste înregistrări au fost completate foarte repede).
Și în partea de jos (nu este vizibilă în imagine), existau butoane pentru exportul convenabil al jurnalelor nearhivate către fișier txtși un buton pentru a restaura toate înregistrările din arhivă.

Simțind că timpul meu se scurge, am restaurat toate înregistrările din arhiva QIWI și le-am descărcat pentru mine. Am vrut să fac același lucru cu celelalte servicii, dar nu am putut. Pentru că la următoarea solicitare am văzut o eroare 403 și apoi ce este acolo acum.

rezultate

Am șters fișierul rezultat de intrări identice și am verificat să văd dacă portofelul prietenului meu era acolo. Un cunoscut a avut noroc că portofelul nu a căzut în mâinile escrocilor.
Acest


Există o problemă (în opinia mea) cu browserul Yandex. Și anume, înlocuirea DNS. Odată cu apariția lui în viața mea de computer (decembrie 2012), au început tensiunile. O dată pe lună (consecvent) cineva încearcă să mă pirateze. La început asta m-a amuzat. El însuși le-a spart ca răspuns. Dar acum sunt obosit și supărat. Esența întrebării este aceasta. Mi-am configurat toate e-mailurile pe Yanlex. De asemenea, stocuri de pe rețelele de socializare (mai convenabil de lucrat). Anterior, am fost pe Mozilla, am transferat aceeași configurație pe Yandex.browser ( grăbește-te Chroma chiar, după părerea mea). Când navighezi pe net, uneori trebuie să treci prin Mail.ru. (este clar ce gunoi este).

Deci, browserul meu a devenit atât de atașat de Male încât este clar că informațiile personale se scurg informații confidențialeși pe baza ei este mai ușor să vii la mine pe „ușa din spate”. Încerc să-l țin închis. Dar nu poți sta la computer zile întregi. Curăț Gazdă periodic. Am încercat toate antivirusurile - doar Avast (uneori Casper) blochează prostiile astea. acest moment... Am reinstalat Windows de trei ori anul acesta din cauza acestui bug. Astăzi există Avast Free + Avast Security + Adblock Plus + Adblock integrare în browser de la Avast + windows protector(nativ). Și-au dat seama cum să treacă oricum.


Am încercat AZT - nimic. Cureit nu detectează întotdeauna. Am încercat Acronis și m-a ajutat o dată. Reinstalarea browserului este minunată, dar link-uri, scrisori... hemoroizi. Astăzi am respins atacul. Totul a început astăzi cu accesarea Microsoft pentru Word și copierea e-mailurilor din browser pentru orice eventualitate. Am Windows 7x64 viteza maximă, litsuha (OEM l-a instalat singur - 9 luni, a mers, totul a zburat, performanță - 6.3 cu Seagate obișnuit). Machine Icore(TM) i7-2600/4x3700 GHz/RAM-8/Gts 560Ti…


În general, o mașină bună de gaming, de un an. Iată ce alt program să instalez pentru a-i învinge pe „indieni” fără a apela la metodele lor (sunt tentați să-i înșele, dar pot răni pe alții, cel mai probabil; și nu am 15 ani... am contactat Yandex). și da vina pe furnizor. Băieții au venit de la furnizor, au adus totul cu un laptop, l-au testat cu programele lor, s-au uitat la computer - totul era hochei. De asemenea, m-am gândit că poate vecinii mei folosesc WiFi - totul este grozav acolo, parolă dublă...

A mai rămas o singură greșeală - Yandex.browser (raw), care distribuie conturile mele în stânga și în dreapta „partenerii” săi. Poate greșesc. Și încă îmi place)), este un produs bun, modifică-l puțin... Deci, ce ar trebui să fac? Ce super program poate fi folosit aici? Poate nu înțeleg ceva... Cu stima, Valery.

Luna curentă ziua anului *

Cum să eliminați un virus adware Deblocator DNS? Ai probleme cu un virus care se schimbă pagina principala, afișează reclame în browser și modifică adresa DNS a conexiunii la Internet? Vă vom arăta cum să îl eliminați manual, pas cu pas.

DNS Unlocker este un program de tip adware extrem de enervant, nu numai că afișează reclame și îngreunează mult folosirea browserului, dar modifică și setările conexiunii la internet și adrese DNSîn parametri card de retea. Este greu de ignorat și nu este sigur să-l lăsați pe computer, deoarece poate provoca vătămări sistem Windows. Deci, cum să scapi de el și unde să-l cauți pe disc.

Atenţie! Vă recomandăm să finalizați toți pașii, deoarece dacă rămâne chiar și un mesaj despre DNS Unlocker, atunci după repornirea computerului, virusul se va răspândi din nou în sistemul Windows. Chiar dacă nu apare în unele locuri descrise în pașii următori, trebuie neapărat să-i verificați prezența cu programul MalwareBytes AntiMalware. Omiterea unor pași va duce la răspândirea rapidă a virusului, așa că înainte de a reporni computerul trebuie să vă asigurați că toate linkurile către acesta au fost eliminate.

Înainte de a începe tratamentul, ar trebui să închideți toate browserele.

Pasul 1: Dezinstalați DNS Unlocker din Panoul de control

Să începem de la bun început calea usoara– eliminarea DNS Unlocker din Panoul de control. Accesați meniul Start și lansați Panoul de control (dacă aveți Windows 8.1 / 10, îl puteți găsi prin bara de căutare). Apoi accesați Programe>Dezinstalați programe.

Așteptați puțin până când se deschide o listă cu toate programele instalate pe computer. Găsiți linia cu DNS Unlocker în listă, evidențiați-o și faceți clic pe butonul „Șterge”.

Pasul 2: Eliminarea adresei DNS din setările adaptorului de rețea

DNS Unlocker nu este un malware atât de simplu care modifică doar pagina de pornire din browser. Acest virus efectuează și ajustări la parametrii conexiunii la Internet și anume modifică adresele din setările plăcii de rețea servere DNS. Acestea trebuie îndepărtate manual.

Deschideți Panoul de control, apoi accesați Centrul de rețea și partajare acces partajat" În această secțiune, selectați meniul lateralîn partea stângă este elementul „Schimbați setările adaptorului”. Toate sunt afișate aici conexiuni de retea instalat pe computer. De obicei, în această fereastră veți găsi două comenzi rapide - Ethernet (conexiune prin cablu de rețea) și card Wi-Fi.

Faceți clic pe placa de rețea care conectează computerul la Internet Click dreapta mouse-ul și selectați Proprietăți. În lista de protocoale de plăci de rețea, căutați elementul „Internet Protocol version 4 TCP/IPv4”. Selectați-l și faceți clic pe butonul „Proprietăți”.

În fereastra nouă, găsiți secțiunea responsabilă pentru adresele serverului DNS (în partea de jos). De obicei, DNS Unlocker modifică adresele DNS în următoarele:

82.163.143.172
82.163.142.174

Dacă aceste adrese sunt listate aici, trebuie să le ștergeți. Să nu închidem această fereastră. Faceți clic pe butonul „Avansat” și accesați fila DNS.
De asemenea, trebuie să verificați dacă sunt înregistrate alte adrese DNS. Poate exista, printre altele, adresa furnizorului, așa că înainte de a le șterge, notează-le într-un bloc de note dacă nu ești sigur care dintre ei este responsabil pentru conexiunea la Internet. Dacă nu există adrese DNS, revenim la fereastra anterioarăși bifați caseta de selectare „Obține automat adresa serverului DNS” și confirmați modificarea cu butonul „OK”.

Pasul 3: Eliminați intrările DNS Unlocker din Editorul Registrului

DNS Unlocker își poate face intrările în registru de sistem Windows. Prin urmare, trebuie verificat. Pentru a face acest lucru, apăsați combinația tastele Windows+ R, apoi în fereastra care se deschide, introduceți comanda regedit pentru a intra în editorul de registry.

În meniul principal al editorului, accesați fila „Editați” și apoi „Găsiți”. Introduceți „dns unlocker” sau doar o parte din această combinație de cuvinte, de exemplu, „unlocker” în caseta de căutare. Dacă căutarea are ca rezultat înregistrări care indică în mod clar DNS Unlocker, ștergeți-le. Continuați să căutați până la sfârșit folosind F3 sau „Find Next”. Apoi închideți Editorul de registry.

Pasul 4: verificați comenzile rapide ale browserului

Cel mai adesea, programele malware de tip adware modifică comenzile rapide ale browserului. În acest caz, DNS Unlocker nu face așa ceva, dar merită totuși verificat înainte de a lansa browserul. Sunt cazuri în care cu ajutorul acestui virus, pe lângă reclamele DNS Unlocker, se poate infiltra un alt „dăunător”.

Faceți clic dreapta pe comanda rapidă a browserului de pe desktop, apoi accesați proprietăți. Dacă comanda rapidă este atașată la Panou Sarcini Windowsțineți apăsat înainte de a face clic dreapta Tasta Shift pe tastatură.

În proprietățile comenzilor rapide ale browserului, acordați atenție câmpului „Obiect”. Intrarea trebuie să se încheie cu un fișier „.exe”. Dacă, totuși, se adaugă ceva acolo (de exemplu, adresa unei pagini web sau un fel de cod), atunci trebuie șters. Pentru a confirma modificările, faceți clic pe „OK”. Nu lansați browserul până nu finalizați toți pașii.

Pasul 5: Ștergeți browserul de resturile DNS Unlocker

Prezența acestuia în browser poate fi determinată de semnătura din blocurile de publicitate Ads by DNS Unlocker.
În acest pas, trebuie să ștergeți toate modificările pe care DNS Unlocker le-ar fi putut face setărilor browserului dvs. Vă vom arăta cum să faceți acest lucru în Browsere Chrome, Firefox și Internet Explorer.

Crom

Lansați browserul și apoi bara de adresa introduce:

chrome://net-internals/#dns

Pe ecran va apărea o pagină cu Setări DNS. Vizavi de elementul „Cache de rezolvare a gazdei”, faceți clic pe „Ștergeți memoria cache a gazdei”. Apoi apăsați CTRL + H pentru a accesa istoricul de navigare. Faceți clic pe butonul „Ștergeți istoricul de navigare” și ștergeți-l pentru tot timpul (debifați doar opțiunea „Parole” pentru a nu șterge parolele salvate).

Firefox

ÎN browser Firefox Faceți clic pe butonul cu trei linii, apoi accesați Setări. În setări, accesați fila „Confidențialitate” și faceți clic pe butonul „Ștergeți istoricul recent”. În intervalul de timp, selectați Toate, apoi în Detalii, bifați toate elementele.

Internet Explorer

Lansați browserul IE, apoi din meniul Instrumente din colțul din dreapta sus, selectați Opțiuni Internet. În fila General, găsiți secțiunea Istoric navigare, apoi faceți clic pe Ștergere și verificați toate, cu excepția parolei și a datelor formularului web. Confirmați ștergerea făcând clic pe butonul „Șterge”.

După curățarea manuală a browserelor, totul ar trebui să fie bine, iar anunțurile DNS Unlocker nu vor mai apărea pe computer. Dacă doriți să vă asigurați că virusul este complet eliminat, rulați o scanare a computerului Programul MalwareBytes AntiMalware.

Pentru a vă proteja de troianul Trojan.Rbrute care atacă modemurile/routerele Compania TP-link trebuie sa faci mai multe conditii simple. Virusul este răspândit prin scanarea în forță brută a adreselor IP în intervalul al n-a, după care metoda forței brute începe să ghicească parola. Aproape toată lumea este susceptibilă la atac modele populare Routere Tp-link. Făcându-și drum în setările dispozitivului, troianul schimbă adresele DNS ale furnizorului cu adresele atacatorilor.

Routerul dvs. este infectat dacă:

Când încercați să vă deconectați orice site-ul, fie că este remont-sro.ru sau serviciul Gmail.com, se deschide un site de descărcare fals Google Chrome sau alte resurse suspecte. Inițial, redirecționarea a funcționat doar pentru solicitările utilizatorilor care conțineau cuvintele Facebook sau Google, dar acum troianul răspunde la oricare dintre ele. Indicația de pe modem rămâne aceeași, „Internet” se aprinde constant, computerul arată că conexiunea este completă, autorizarea a fost finalizată, dar Internetul în sine nu funcționează, doar redirecționează către reclame și/sau pagini de descărcare false

Punctul 1. Resetare. Reconfigurarea modemului
Instrucțiunile au fost pregătite de Maria Korchagina, specialist la GTP TsOO

Dacă nu puteți accesa setările modemului prin 192.168.1.1, atunci încercați să faceți acest lucru prin adresa 192.168.42.1

Pe această pagină sunt indicate setările numai pentru serviciul de internet. Pentru Setări IP-TVși WI-FI descărcați manuale complete

versiunea rusa - http://yadi.sk/d/JC6l6FPVRbU9P

Versiune în limba engleză - http://yadi.sk/d/j6Ly7bA4RbU8r

1. Pentru a reseta corect setările modemului, țineți apăsat butonul cu un ac/pastă/scobitoare Resetațiîntr-o mică adâncitură. Țineți apăsat timp de 5 până la 15 secunde până când indicația de pe dispozitiv dispare. Luminile ar trebui să se stingă la fel ca după o repornire normală a routerului.

2. Pentru a configura, modemul ar trebui să fie conectat cu un cablu la orice port LAN, nu configurați printr-o conexiune Wi-Fi;

3. Conectați-vă prin motor de cautare Explorer la interfața routerului, la: 192.168.1.1. Se va deschide o casetă de dialog. În câmpurile „Nume utilizator” și „Parolă”, introduceți admin/admin respectiv. Se va deschide Pagină de start router (vezi mai jos)

Pe această pagină veți vedea ce setări există deja:

4. Înainte de a începe configurarea routerului, trebuie să ștergeți toate setările create anterior, mergeți la secțiunea „Setări interfețe” -> „Internet”, selectați „Canal virtual” - PVC0, în partea de jos a paginii faceți clic pe butonul „Șterge”. Facem asta cu toată lumea canal virtual(sunt doar 8).

Ca rezultat, acest lucru ar trebui să se întâmple (mergeți din nou la secțiune "Stat"):

5. Acum mergeți la secțiune „Setări de interfață”, apoi selectați o subsecțiune "Internet"(vezi captura de ecran de mai jos). Specificăm parametrii ca în captura de ecran de mai jos (utilizator și parolă: rtk), apoi salvăm toți parametrii făcând clic pe butonul „Salvare”.
Aceasta completează configurarea pentru modul PPPoE.

Punctul 2. Schimbarea parolei de conectare a routerului

Pentru a vă schimba parola, accesați secțiunea „Funcționarea dispozitivului”, apoi "Administrare", unde parola pentru conectarea la router este de fapt schimbată (veniți cu parolă complexă) (vezi captura de ecran de mai jos). Apoi apăsați butonul "Salva"

Clauza 2.5 Lista parolelor care nu sunt recomandate pentru intrarea în router

111111
12345
123456
12345678
abc123
admin
Administrator
parola
qwerty
rădăcină
tadparolă
trustno1
consumator
balaur
gizmodo
iqrquksm
lasa-ma inauntru

Virusul „știe” deja toate aceste parole și ghicirea parolei va dura 1 secundă. Parola nu trebuie să conțină numai cifre sau litere. Caracterele speciale (hash, asteriscuri, procente, ghilimele) și litere cu majuscule diferite (majuscule și minuscule) TREBUIE să fie prezente. Cu cât parola este mai mare și mai variată, cu atât va dura mai mult pentru a o „bruti” (dacă este deloc).

Punctul 3. Restricționați accesul la modem la portul WAN.

1. Accesați setările modemului și căutați meniul "Controlul accesului"și setați parametrii ca în captura de ecran de mai jos:

2. Ca rezultat, ar trebui adăugată o linie cu parametri (vezi figura de mai jos):

La fel pentru ENGLEZĂ versiuni:

Punctul 4. Configurare LAN(DHCP + DNS)



Vă recomandăm alte articole
Tableta congelată - ce să faci?
Tableta congelată - ce să faci?
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Stoloto, loto rusesc – o înșelătorie?
Stoloto, loto rusesc – o înșelătorie?