答案1
怎麼可能感染路由器?
有許多可能的感染媒介。
在一種此類感染中,惡意軟體用於篡改路由器及其 DNS 設定。該惡意軟體從本地網路感染路由器(DNS 更改器惡意軟體瞄準家庭路由器)。
該惡意軟體會將使用者重新導向到惡意版本的頁面。這使得犯罪者可以竊取帳戶憑證、PIN 碼、密碼等。
正如指出的另一個答案,DNS 也可用於透過廣告伺服器重新導向請求。
在另一種感染中,惡意軟體利用路由器遠端存取程式碼中的缺陷從網路感染路由器(奇怪的攻擊透過自我複製惡意軟體感染 Linksys 路由器)。
透過搜尋「路由器惡意軟體」可以找到許多其他路由器惡意軟體變體。
DNS 更改器惡意軟體瞄準家庭路由器
家庭路由器可用於竊取使用者憑證,但大多數人還不知道。壞人已經找到了使用網域名稱系統 (DNS) 更改器惡意軟體的方法,將最不起眼的網路路由器變成其陰謀的重要工具。
我們已經知道,路由器有時會附帶惡意 DNS 伺服器設定。在這種情況下,惡意軟體用於篡改路由器及其 DNS 設定。如果使用者嘗試造訪合法的銀行網站或壞人定義的其他頁面,惡意軟體會將使用者重新導向至上述頁面的惡意版本。這將使網路犯罪分子能夠竊取用戶的帳戶憑證、PIN 碼、密碼等。
我們發現巴西(佔所有感染的近 88%)、美國和日本的相關惡意網站數量不斷增加。這些網站運行瀏覽器腳本,從內部網路對受害者的路由器執行暴力攻擊。透過正確的憑證存取管理介面後,該腳本會向具有惡意 DNS 伺服器 IP 位址的路由器發送單一 HTTP 請求。一旦惡意版本替換了目前的IP位址,感染就完成了。除了導航臨時文件外,受害電腦中不會建立任何文件,不需要持久技術,也不會發生任何變化。
修改後的 DNS 設定意味著使用者不知道他們正在導航到受信任網站的克隆。不更改預設憑證的使用者很容易受到此類攻擊。
奇怪的攻擊透過自我複製惡意軟體感染 Linksys 路由器
攻擊從遠端呼叫家庭網路管理協定 (HNAP) 開始,該協定允許 ISP 和其他人遠端管理家庭和辦公室路由器。遠端功能由內建 Web 伺服器公開,該伺服器偵聽透過 Internet 傳送的命令。通常,它要求遠端使用者在執行命令之前輸入有效的管理密碼,儘管 HNAP 實作中先前的錯誤使路由器容易受到攻擊。在使用 HNAP 識別易受攻擊的路由器後,該蠕蟲病毒會利用 CGI 腳本中的驗證來繞過漏洞。 (烏爾里希沒有識別該腳本,因為它在許多舊路由器上仍未修復,而且他不想讓攻擊者更容易瞄準它。)烏爾里希表示,他已經排除了弱密碼是Linksys 感染的原因。
答案2
它實際上並不是傳統意義上的感染。相反,它只是更改路由器的 DNS 設定,以便向特殊的 DNS 伺服器發出請求。這些伺服器配置為將您重新導向至虛假網站和/或受惡意軟體感染的真實網站版本。
例如,他們可以建立您銀行網站的副本。下次您嘗試造訪網路銀行時,他們可能會取得您的憑證,並且根據您銀行網站的安全程度,甚至竊取您的錢。
答案3
DanielB 沒有錯,但你的問題更多的是「如何」。
路由器通常設定為不允許從 LAN 外部進行遠端管理。但他們將接受來自自己 LAN 內的電腦的遠端管理存取。
你的惡意軟體大概用過的你的電腦存取管理頁面,因此路由器接受來自 LAN 內的管理連線。惡意軟體可能完全是在瀏覽器工作階段中完成的,但更有可能的是,它只是將特洛伊木馬投放到您的系統上,然後檢查路由器並嘗試一系列已知漏洞(例如簡單地使用預設出廠密碼),然後進行配置更改DNS 來透過其廣告伺服器路由您的所有請求,廣告伺服器代理您的所有頁面並向其中註入程式碼。
您可能應該對其進行硬出廠重置(查看手冊,但通常是這樣的:關閉,按住重置按鈕 90 秒,同時重新打開),然後重新配置它。更改密碼。
請注意,可以透過這種方式上傳新韌體,因此它可能不僅僅是用戶配置更改。
您還需要檢查您的電腦是否有任何程式植入程式和/或木馬,它們只會重新編輯您的路由器設定。