幾週前,我的網路連線開始出現問題,速度非常慢,突然一些網站(特別是 gmail、facebook、youtube 和 twitter)開始無法連接,而其餘網站則連接正常。幾天后,這些網站開始向我顯示葡萄牙語訊息:“Nova atualização disponível”每當我嘗試連接並且 .exe 檔案開始下載(“internet_update.exe”或類似的檔案)時。
當時我就嚇傻了!這絕對是病毒或類似的東西,但這真的很奇怪,因為我從來沒有遇到過這樣的問題(我運行 Linux)。於是我打開我的舊電腦(運行Windows XP),結果發現它也有同樣的問題!每當我嘗試連接這些特定網站之一時,都會顯示相同的訊息,而其餘網站加載時沒有問題。即使在我的 Android 智慧型手機中也顯示了相同的訊息。
很明顯,問題不在於特定的機器,而是路由器本身。所以我開始谷歌搜索,我發現一些資訊,不幸的是我只找到了一些西班牙語版本的,所以我會給你一個簡短的總結:
它是一種新的銀行木馬,專門用於感染巴西銀行並收集資訊。顯然現在它已經擴展到阿根廷和秘魯。
那麼它是怎樣工作的呢?它透過社交網路(影片、連結等)傳播,然後透過更改 DNS 值來「控制」您的網路連線。更具體地說,它改變了主 DNS到此 IP 之一:108.170.13.38、66.7.216.122 或 63.143.43.154 以及輔助 DNS到8.8.8.8,這個輔助DNS其實是谷歌公共 DNS,並以這種方式配置,以便您的網路連線繼續正常工作,並且使用者不會注意到任何事情。
這裡重要的是,由於您的電腦上尚未進行下載或安裝,因此防毒軟體不會注意到任何變更。更改您的 DNS 後,該木馬會控制您連接到的每個網站,並透過這種方式竊取您的銀行資訊。
因此,在閱讀這篇文章後,我訪問了我的路由器,並將我的主 DNS 和輔助 DNS 恢復到了正確的值,但一天後我又遇到了同樣的問題。
這實際上是一個 50% 警告帖子 - 50% 幫助我!郵政。
那麼,問題來了:有什麼辦法可以防止我的 DNS 被更改嗎?
附:抱歉,如果這不是這個問題應該出現的地方,但我有點絕望,你能將我重定向到正確的網站嗎?
答案1
我不知道它是否適用於這種情況,但是發生這種情況的一種方式(罕見,但可能)是從您的電腦重定向的惡意Flash 片段(在您不知情的情況下由您的瀏覽器下載並執行操作)透過 UPNP 到路由器,如果路由器接受 UPNP 重新配置,則對路由器重新編程。
甚至在這成為威脅之前,我就確定UPNP 對我沒有用,並從那時起(現在可能5 年或更長時間)在我控制的所有路由器上禁用它,並且另外使用靜態DNS 伺服器(在我的例子中是OpenDNS)在我配置的所有機器上。