先说处理办法: 1 尽快检查各自路由器的URL跳转(网页重定向)功能设置,检查是否有异常的设置,都删除掉 2 尽快修改路由器密码,修改默认端口,暂时关闭外网访问路由器。(升级到最新的固件后再考虑开启) 3 开超级保存过的用户,需要挂包删除掉已经下载保存到系统里的木马文件。
**以上是简单的处理办法,封堵的是源头。是最简单的解决办法。 另外,也可以提高微软系统的安全性来拒绝执行。就稍微麻烦些,需要客户机系统开超级进行修补。 修补微软的IE远程执行漏洞CVE-2014-6332 ,安全公告号为MS14-064,WIN7可以安装KB3006226补丁来修补此漏洞。** ——————————————————————
现象:把正常的网页重定向到一个带木马的链接,然后利用IE漏洞执行vbs命令,下载exe再运行 此木马伪装英雄联盟登陆窗口,诱使用户输入账号密码从而轻而易举获取到用户信息。 有意思的是,他的程序故意使用易乐游的图标,下发木马的域名伪装成类似网维大师官方网站的域名,来混淆视线。 前期大都是龙管家环境出现的,有网吧怀疑龙管家广告被挂马,其实是龙管家广告被劫持了,跳转到木马下载地址。 利用了路由器的正常的功能,网页重定向。但是路由器的设置是需要管理员权限的。
那问题的关键是————他是如何获取路由器的管理员权限的?
这2个链接看下,就知道了地球有多危险了。赶快升级你的锐捷路由器固件吧,官方已经修复了此漏洞。
以下是其中一例用户的反馈: 今天截获到的一起是跳转的腾讯官方相关的页面,也就是说只要网吧有人访问腾讯的这些网站页面就会下发木马数据,腾讯躺枪了。 下图这家网吧使用的是锐捷的NBR路由器,要么是密码被网吧泄露了,要么是密码被盗取了。他是如何批量盗取网吧路由器密码才是有点含量的过程吧。
看图:把腾讯的一些页面全部跳转到木马下载站了。。建议路由器的网页重定向都删除掉,用不好危险还是挺大的。
盗号木马如下图所示: 
链接这些地址拉取盗号木马数据:
现在,大家来说说你们被盗号,看见这个木马出现的网吧都是用的什么路由器吧?难道都是锐捷么? |
