蓝点网
给你感兴趣的内容

国内出现新的Android木马 专门篡改路由的DNS服务器

卡巴斯基本周披露了在中国发现的新的Android木马病毒,该木马主要用来通过设备WiFi侵入上级路由器。

这个被命名为Switcher的木马病毒在激活后会尝试使用不同的密码组合来登录到设备连接的上级路由器。

如果成功登录到路由器则开始篡改路由器的DNS服务器设置,再通过DNS服务器将用户引导到恶意网站上。

该病毒主要藏匿在合法的和山寨的Android应用中,例如某下载网站提供的百度Android客户端就含有病毒。

另外卡巴斯基的监测发现中国某个流行的WiFi密码共享工具也含有该病毒,卡巴斯基并未透露应用的名称。

Switcher病毒作者现在已经制作了十几个基于该木马的Android应用程序并在中国的下载网站进行传播。

当Switcher病毒进入Android设备后就会立即与远程控制服务器进行联系,将设备信息与路由信息进行上报。

远程控制服务器会针对路由器的型号返回对应的策略,比如该型号路由器的默认管理账号与密码、漏洞等。

如果病毒成功的侵入到路由器那么就开始修改路由器上的DNS服务器地址为病毒作者自己搭建的DNS服务器。

国内出现新的Android木马 专门篡改路由的DNS服务器

接下来就是开始利用恶意DNS服务器来进行作恶了,例如你在访问百度时把你的请求中转下跳转到作者的推广链接上。

在你访问正常网站时把你引导到钓鱼网站上诱导你输入账号与密码,或者下载应用时返回推广的应用等等。

这种入侵方式相对来说比较隐秘,绝大多数情况下用户在毫无知觉的情况下被入侵、被钓鱼,难以发现问题。

卡巴斯基的安全研究人员在该病毒中发现了远程控制服务器的地址,该服务器显示木马病毒已经入侵了1300多个WiFi网络。

另外如果病毒入侵的是公共的WiFi路由器,那么造成的危害将会比家庭路由器大得多,毕竟用户数量比较多。

卡巴斯基发现目前该病毒只会入侵TP-Link品牌的路由器,其套路和日前针对物联网设备的病毒Marai差不多,都是尝试使用公开的默认密码组进行爆破。

此前蓝点网曾发文提醒过各位使用华硕和PandoraBox固件的用户修改默认密码,再此也提醒其他品牌与固件的路由用户立刻修改默认密码。

当然除了修改掉默认密码外如果路由固件本身支持Telnet或者SSH等,记得把这些功能给关闭掉,使用再开。

最后还是要再次提醒各位Android用户不要随便去乱七八糟的网站下载应用,也要仔细分辨各种打着破解和外挂的Android应用程序,搞不好里面就是一个病毒包。

如何排查自己的路由器是否被篡改DNS:

简单的判断方法就是登录路由器检查DNS服务器的设置,绝大多数情况下默认的设置是自动从运营商获取。

如果你的DNS服务器设置已经被修改为固定的IP地址,如果不是你自己设置的那么你就需要关注该问题了。

国内主流的DNS服务器地址包括:具体请点击这里

国内出现新的Android木马 专门篡改路由的DNS服务器

你可以将自己的DNS服务器设置为上述列表中的DNS服务器,至少可以保证这些DNS服务器算是安全的。

另外你也可以使用:Windows平台本地DNS自动检测与设置工具,该工具可以检测当前网络中速度最快的DNS服务器。

但该工具只能将获取到的DNS服务器设置为Windows本地服务器,你可以手动复制下设置到路由器里。

转载请注明蓝点网 » 国内出现新的Android木马 专门篡改路由的DNS服务器
分享到:
除非特别注明否则下列评论均不代表本站观点

评论 5

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3
    Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 x64 Edition Windows 10 x64 Edition

    恶意DNS服务器?那DDoS它是不是可行?

    蟲師君6个月前 (01-03)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      可行 恶意的DNS服务器有三个IP地址

      山外的鸭子哥6个月前 (01-03)回复
  2. #2
    Google Chrome 54.0.2840.99 Google Chrome 54.0.2840.99 Windows 10 x64 Edition Windows 10 x64 Edition

    站长你好,有一个问题请教,修改DNS只修改电脑上的就能生效还是要修改第一级路由(光猫直接的第一个路由器)?

    三筒6个月前 (01-01)回复
    • Google Chrome 55.0.2883.87 Google Chrome 55.0.2883.87 Windows 10 x64 Edition Windows 10 x64 Edition

      修改本地就行 修改路由则是让其他设备生效 比如手机 自动获取的

      山外的鸭子哥6个月前 (01-01)回复
  3. #1
    Firefox 50.0 Firefox 50.0 Windows 10 x64 Edition Windows 10 x64 Edition

    ces

    谷人希6个月前 (12-31)回复