Virus de modem no PC

[Mlramos]

Estava enfrentando um problema crônico por assim dizer e resolvi tentar o chat da Dlink, devido ao meu modem/router ser deste fabricante. O atendente comentou o seguinte "no caso senhor isso que está ocorrendo é um problema de virus, recentemente foi descoberto, o que ocorre esse virus acessa o modem troca a senha de acesso a ele e desconfigura fazendo com que tenha o redirecionamento de sites". Mas ele mencionou que eu deveria passar antivírus em todos os equipamentos da rede e não soube precisar se o AVG Free Edition 2012 detectaria o mesmo ou não. As buscas resultaram em nada e - aparentemente - os procedimentos recomendados NÃO solucionaram. Alguém poderia me ajudar ? Não sei nome nem nada desse bixo!

[Lord Enigm@]

Você não disse qual é a sua operadora, em todo caso, parece que a solução está na troca do DNS e do firmware do modem, o que foi interessante o atendente não ter comentado sobre isso.

Leia esse tópico esclarecedor da Linha Defensiva:

http://www.linhadefensiva.org/forum/index.php?showtopic=136062

[Mlramos]

Meu provedor é OI. A senha do modem não é a padrão e, entre os procedimentos indicados pela própria DLINK, está a troca do DNS padrão para o do Google (8.8.8.8 e 4.2.2.2). Isto foi feito, foi feito upgrade de firmware e também foram trocadas (novamente) as senhas admin e wireless (é um DSL-2640b) e o problema continua...

O que mais me incomoda a não saber sobre o "suposto" vírus!

[marcmira]

http://forum.clubedohardware.com.br/site-globo-nao/985213

seria esse seu problema?

att

[Mlramos]

http://forum.clubedohardware.com.br/site-globo-nao/985213

seria esse seu problema?

att

Marcmira, grato pela sua contribuição. A priori é...

Tudo começou da forma como descrito, porém naveguei nas demais páginas indicadas e todas as soluções citadas, com exceção à formatação dos PCS, foram aplicadas e não resolveram.

Rodei também o Spybot S & D e continuo sem resultados. Não pretendo formatar os equipamentos... São 5 PCs e 2 notes, todos com Win 7 Pro. Imagina becapear tudo e formatar !

Preciso identificar e detonar o tal vírus.

Tenho uma solução paleativa que não me agrada muito: mudar o DNS em cada equipamento. Mas a senha ADMIN/********* do gateway continua sendo alterada !!!

Ninguém sabe o nome da praga !?

[Mlramos]

Pessoal, mais uma novidade: consegui acessar o modem logo após um erro de DNS... a senha do ADMIN ainda não havia sido trocada! Verifiquei o DNS e encontrei o seguinte número 212.113.36.92 nas portas primária e secundária.

Joguei no Google, mas não descobri muita coisa não...

[Brando lee]

Marcmira, grato pela sua contribuição. A priori é...

Tudo começou da forma como descrito, porém naveguei nas demais páginas indicadas e todas as soluções citadas, com exceção à formatação dos PCS, foram aplicadas e não resolveram.

Rodei também o Spybot S & D e continuo sem resultados. Não pretendo formatar os equipamentos... São 5 PCs e 2 notes, todos com Win 7 Pro. Imagina becapear tudo e formatar !

Preciso identificar e detonar o tal vírus.

Tenho uma solução paleativa que não me agrada muito: mudar o DNS em cada equipamento. Mas a senha ADMIN/********* do gateway continua sendo alterada !!!

Ninguém sabe o nome da praga !?

Isso se chama, DNS cache poisoning, envenenamento de DNS do servidor.

Na verdade, antes eles acessam o Modem/Roteador, diretamente por Ferramentas especiais, para fazer Scan pela rede e encontrar IPs de Roteadores vúlneraveis, e acessam via serviços TELNET, ou TFTP.... etc, por incrivel que pareça, e ainda facilita se o roteador estiver com senha padrão.

Quando o "Hacker malicioso" consegue infiltrar nas configurações do roteador, e adiciona o DNS malicoso, ai depois que começar a acessar a net e redirecionar para os site que contem Trojans, Rootkits, vírus.., etc, ai sim que seu PC estará contaminado, depedendo do Windows, se for Windows XP, ai o bixo pega.

Pelo que parece, esse caso esta ocorrendo mais, nos Modens/Roteadores D-Link.

Faça as configurações novamente, iniciando pelo Linux, se desejar direto pelo CD em boot, terminando, verifique se o Firewall do Roteador esta ativado, e faça um Backup, das configurações.

Não esquece de desabilitar os serviços, TELNET, TFTP...,etc

Pessoal, mais uma novidade: consegui acessar o modem logo após um erro de DNS... a senha do ADMIN ainda não havia sido trocada! Verifiquei o DNS e encontrei o seguinte número 212.113.36.92 nas portas primária e secundária.

Joguei no Google, mas não descobri muita coisa não...

Veja:

http://whatismyipaddress.com/ip/212.113.36.92

O DNS pertence a Ukrania, hehehe sem duvida um DNS malicioso!

Bom, se não resolver seu problema, compre um outro Roteador atualizado com melhor segurança, TP-link, ou CISCO.

Boa sorte!

[Mlramos]

Brando, obrigado pela justificativa, mas ...

O vírus fica nos PCs ou no modem ? Se fica no modem aatualização do firmware resolveria, certo ?

E se fica nos PCs... porque não achei nada ainda ?

Isso se chama, DNS cache poisoning, envenenamento de DNS do servidor.

Na verdade, antes eles acessam o Modem/Roteador, diretamente por Ferramentas especiais, para fazer Scan pela rede e encontrar IPs de Roteadores vúlneraveis, e acessam via serviços TELNET, ou TFTP.... etc, por incrivel que pareça, e ainda facilita se o roteador estiver com senha padrão.

Quando o "Hacker malicioso" consegue infiltrar nas configurações do roteador, e adiciona o DNS malicoso, ai depois que começar a acessar a net e redirecionar para os site que contem Trojans, Rootkits, vírus.., etc, ai sim que seu PC estará contaminado, depedendo do Windows, se for Windows XP, ai o bixo pega.

Pelo que parece, esse caso esta ocorrendo mais, nos Modens/Roteadores D-Link.

Faça as configurações novamente, iniciando pelo Linux, se desejar direto pelo CD em boot, terminando, verifique se o Firewall do Roteador esta ativado, e faça um Backup, das configurações.

Não esquece de desabilitar os serviços, TELNET, TFTP...,etc

Veja:

http://whatismyipaddress.com/ip/212.113.36.92

O DNS pertence a Ukrania, hehehe sem duvida um DNS malicioso!

Bom, se não resolver seu problema, compre um outro Roteador atualizado com melhor segurança, TP-link, ou CISCO.

Boa sorte!

[marcmira]

Brando, obrigado pela justificativa, mas ...

O vírus fica nos PCs ou no modem ? Se fica no modem aatualização do firmware resolveria, certo ?

E se fica nos PCs... porque não achei nada ainda ?

Fica nos micros da operadora...rsrs

é possivel que atualizando o firmware resolva sim se já reconfigurou e trocou a senha, entre em contato com o suporte da operadora, eles estão preparados pra auxiliar nesse aspecto.

Pra confirmar um malware no micro só se colocar outro micro e não redirecionar nada com o mesmo modem.

faça seus testes e poste suas conclusões.

att

[Brando lee]

Brando, obrigado pela justificativa, mas ...

O vírus fica nos PCs ou no modem ? Se fica no modem aatualização do firmware resolveria, certo ?

E se fica nos PCs... porque não achei nada ainda ?

Não colega, o vírus não fica no Modem, não existe vírus que contamina o Modem, o que ocorre é uma ivasão por assistencia remoto, para se conectar ao Modem e desconfigura-lo.., por exemplo:trocando a senha, colocando um DNS malicioso, para redirecionar a vitima, para um site fraudulento de Banco, ou um site contaminado por vírus.

A invasão só é realizado com sucesso, se o Modem estiver mal configurado, com o seu Firewall desativdo, e deixa a senha padrão, de acesso as configuraõs, e os serviços TELNET, TFTP ativados.

Vírus só contamina o computador.., se instalam no Disco rígido (HD) ou pendrive, cartão de memória.., etc

Você iniciou um LiveCD de Linux, e ocorreu o mesmo problema de redirecionamento de site ?

Se ocorre o problema, com certeza o problema é no Modem/Roteador, faça uma atualização do Firmware, como recomendado pelos colegas acima.

[Mlramos]

Estou no quase... então vou postar aqui o que consegui, por enquanto.

A Assistência Técnica da Dlink começou muito bem ! Me atendeu na primeira ligação, agendamos uma assistência "assistida" por telefone e o agendamento foi cumprido!

Foi feita atualização de firmware (para um que é da GVT, apesar de minha operadora ser Oi) e outras configurações indicadas, PORÉM ainda ocorrem quedas e desligamentos. O que melhorou é que o modem supostamente está "aguentando", pois o DNS não voltou a alterar e... só !... Muitas vezes ao acessar o modem ele está lento e/ou não atende, mas um simples "desligar/ligar" resolve.

Naveguei na www e achei muitos problemas como este na GVT com o 2640B e diversos outros modems, parece que a discussão está maior/melhor por lá (nesta operadora)!

Muitos indicaram desligar o TR-069 Client utilizado pela operadora para manutenção. Fiz isto e estou monitorando, espero estar no caminho... agradeço qualquer ajuda adicional.

[Mlramos]

Estou no quase... então vou postar aqui o que consegui, por enquanto.

A Assistência Técnica da Dlink começou muito bem ! Me atendeu na primeira ligação, agendamos uma assistência "assistida" por telefone e o agendamento foi cumprido!

Foi feita atualização de firmware (para um que é da GVT, apesar de minha operadora ser Oi) e outras configurações indicadas, PORÉM ainda ocorrem quedas e desligamentos. O que melhorou é que o modem supostamente está "aguentando", pois o DNS não voltou a alterar e... só !... Muitas vezes ao acessar o modem ele está lento e/ou não atende, mas um simples "desligar/ligar" resolve.

Naveguei na www e achei muitos problemas como este na GVT com o 2640B e diversos outros modems, parece que a discussão está maior/melhor por lá (nesta operadora)!

Muitos indicaram desligar o TR-069 Client utilizado pela operadora para manutenção. Fiz isto e estou monitorando, espero estar no caminho... agradeço qualquer ajuda adicional.

Vamos as novidades:

- Sim, o modem está suportando os ataques, mas as quedas e desligamentos continuam;

- Solicitei por e-mail para o suporte da Dlink como ativar o log, com objetivo de verificar se os ataques são internos (vírus/malware) ou externos e o retorno foi de que "Esse modelo de equipamento (DSL-2640B) não possui um Log interno";

- Depois de algumas tentativas, ativei o log e a data/hora automática, pois sem isto não tinha referência dos horários das ocorrências.

Análise (minha) do Log:

- Há de fato, ataques externos (e não há internos);

- Os ataques são dirigidos ao IP especificamente.

Aqui vem "a grande sacada" ! Isto porque, por tratar-se de Pessoa Jurídica o contrato da OI (IP Profissional) mantém um IP Fixo ! A priori, basta eu me autenticar com uma conta residencial (dinâmica), recebendo qualquer outro IP, correto ? Acabando de vez com os ataques...

Infelizmente terei que entrar em contato com a Oi para fazer as alterações, pois – após fazer a alteração/solução proposta – o modem não autenticou!

Acredito que há um vínculo de autenticação do número do telefone com o IP mencionado.

O que vocês acham do exposto ? Faz sentido ?

Agradeço colaborações

[Mlramos]

Apenas para "fechar"...

Descobri o problema !

Após as alterações indicadas pela DLINK e desligar o TR-069 Client o modem estava, de fato, aguentando os ataques...

Solicitei para DLINK como ativar o log e aqui eles escorregaram: "Esse modelo de equipamento (DSL-2640B) não possui um Log interno, não sendo possível verificar possíveis acessos ou ataques ao modem."

Bom... fucei e liguei o log e ativei o "internet time" também para ter noção dos acontecimentos no tempo.

Posteriormente encaminhei um PDF solicitando análise da DLINK junto com minhas conclusões: 1) o ataque é externo! 2) bastava eu trocar meu IP fixo (tenho o Oi/IP Profissional) para encerrar os ataques!

Finalmente a DLINK respaldou:

"Os ataques informados estão vindo direto pelo IP de WAN informado, fornecido pela operadora OI. Como o Senhor informou que possui um plano de IP Fixo, o mais correto é solicitar a própria operadora realizar a alteração do IP de WAN."

== FIM ==

[Linio Alan]

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.