Một router cũng dễ bị nhiễm virus như một máy tính. Một lý do phổ biến khiến router bị nhiễm virus là chủ sở hữu quên thay đổi mật khẩu admin mặc định.
Làm thế nào một router có thể bị nhiễm virus?
Router có thể nhiễm virus nếu tin tặc xâm nhập màn hình đăng nhập ban đầu và sửa đổi cài đặt router. Trong một số trường hợp, virus có thể sửa đổi firmware điều khiển phần mềm router được nhúng.
Bạn không cần phải vứt bỏ một router bị nhiễm virus. Chỉ cần sửa chữa và sau đó bảo vệ router khỏi bị tái nhiễm virus trong tương lai là được.
Hai loại virus phổ biến đã lây nhiễm cho hàng nghìn router trong quá khứ là Switcher Trojan và VPNFilter.
Cách Switcher Trojan lây nhiễm vào router
Switcher Trojan lây nhiễm vào điện thoại thông minh Android thông qua một ứng dụng hoặc bằng cách nhấp vào email lừa đảo. Sau khi điện thoại Android bị nhiễm virus đó kết nối với bất kỳ mạng WiFi nào:
- Trojan giao tiếp với một máy chủ trung tâm để báo cáo tên nhận dạng của mạng đó.
- Sau đó, nó cố gắng đăng nhập vào router bằng mật khẩu admin mặc định của thương hiệu router, cũng như kiểm tra các mật khẩu khác.
- Nếu nó đăng nhập được, Trojan sẽ sửa đổi địa chỉ DNS server mặc định thành DNS server dưới sự kiểm soát của kẻ tạo ra virus.
- DNS server thay thế chuyển hướng tất cả lưu lượng truy cập Internet từ mạng WiFi đó qua các máy chủ mới, cố gắng loại bỏ thông tin nhạy cảm như tài khoản ngân hàng và chi tiết thẻ tín dụng, thông tin đăng nhập, v.v...
Đôi khi các DNS server giả mạo trả về một trang web thay thế (như Paypal hoặc trang web ngân hàng) để lấy thông tin đăng nhập của bạn.
DNS server thông thường chuyển đổi URL bạn nhập vào trình duyệt web (như google.com) thành địa chỉ IP. Switcher IP sửa đổi cài đặt DNS chính xác của router (cho DNS server của nhà cung cấp Internet) thành máy chủ DNS của kẻ tấn công. Sau đó, các DNS server bị xâm nhập cung cấp cho trình duyệt địa chỉ IP không chính xác tới các trang web bạn truy cập.
Cách VPNFilter lây nhiễm vào router
VPNFilter lây nhiễm vào router WiFi gia đình theo cách giống như Switcher Trojan. Thông thường, một thiết bị kết nối với mạng Wi-Fi bị nhiễm và phần mềm đó sẽ xâm nhập vào router gia đình. Quá trình lây nhiễm này diễn ra trong 3 giai đoạn.
Giai đoạn 1: Trình load phần mềm độc hại lây nhiễm vào firmware của router. Code này cài đặt phần mềm độc hại bổ sung vào router.
Giai đoạn 2: Code giai đoạn một cài đặt code bổ sung nằm trên router và thực hiện các hành động, như thu thập file và dữ liệu từ những thiết bị được kết nối với mạng. Nó cũng cố gắng chạy các lệnh từ xa trên những thiết bị đó.
Giai đoạn 3: Phần mềm độc hại giai đoạn hai cài đặt thêm các plug-in độc hại thực hiện những việc như theo dõi lưu lượng mạng để nắm bắt thông tin nhạy cảm của người dùng. Một add-on khác được gọi là Ssler, chuyển đổi lưu lượng web HTTPS bảo mật (như khi bạn đăng nhập vào tài khoản ngân hàng của mình) thành lưu lượng HTTP không bảo mật để tin tặc có thể trích xuất thông tin đăng nhập hoặc thông tin tài khoản của bạn.
Không giống như hầu hết các virus router bị xóa sạch khi bạn khởi động lại, code VPNfilter vẫn được nhúng vào firmware sau khi khởi động lại. Cách duy nhất để xóa sạch virus khỏi router là thực hiện khôi phục cài đặt gốc hoàn toàn theo hướng dẫn của nhà sản xuất.
Có nhiều loại virus router khác trên Internet và tất cả hoạt động đều theo cùng một chiến thuật. Những virus này đầu tiên lây nhiễm vào một thiết bị. Khi thiết bị đó kết nối với mạng WiFi, virus sẽ cố gắng đăng nhập vào router bằng mật khẩu mặc định hoặc bằng cách kiểm tra mật khẩu được tạo kém.
Router của tôi có bị nhiễm virus không?
Nếu các hành vi sau đang xảy ra trên mạng của bạn, có khả năng router của bạn đã bị nhiễm virus.
1. Khi bạn truy cập các trang web cần được bảo mật (như Paypal hoặc ngân hàng), nhưng không thấy biểu tượng ổ khóa trong trường URL, bạn có thể đã bị nhiễm virus. Mọi tổ chức tài chính đều sử dụng giao thức HTTPS an toàn. Nếu bạn không nhìn thấy biểu tượng ổ khóa, thì các hoạt động của bạn trên trang web đó không được mã hóa và tin tặc có thể xem được chúng.
2. Theo thời gian, phần mềm độc hại có thể tiêu tốn CPU máy tính và làm chậm hiệu suất. Phần mềm độc hại chạy trên máy tính hoặc router có thể gây ra hành vi này. Kết hợp với các hành vi khác được liệt kê, có thể router đã bị nhiễm virus.
3. Nếu sau khi quét và làm sạch phần mềm độc hại, cũng như virus trên máy tính, bạn vẫn thấy cửa sổ pop-up ransomware yêu cầu thanh toán, nếu không các file của bạn sẽ bị phá hủy, thì đó là dấu hiệu tốt cho thấy router đã bị nhiễm virus.
4. Khi bạn truy cập các trang web bình thường nhưng bị chuyển hướng đến các trang web lạ mà bạn không nhận ra, điều đó có thể cho thấy router đã bị nhiễm virus. Đôi khi những trang đó có thể là những trang giả mạo trông giống với trang thật.
Lưu ý: Nếu bạn được chuyển hướng đến các trang web có vẻ không ổn, đừng bao giờ nhấp vào bất kỳ liên kết nào hoặc nhập chi tiết đăng nhập tài khoản.
Thay vào đó, hãy thực hiện các bước để xác định xem có phải virus đang gây ra hành vi đó hay không.
5. Nếu bạn nhấp vào liên kết tìm kiếm của Google và đến một trang web không mong muốn (trông có vẻ không đúng), đó có thể là một dấu hiệu khác cho thấy router đã bị nhiễm phần mềm độc hại.
Cách khắc phục việc router bị nhiễm virus
Để kiểm tra xem router có bị nhiễm virus hay không, hãy quét bằng các công cụ trực tuyến có sẵn. Có rất nhiều công cụ trong số này có sẵn, nhưng hãy chọn cái đến từ một nguồn đã biết và đáng tin cậy. Một lựa chọn đáng xem xét là F-Secure, nó sẽ quét router và xác định xem có virus tấn công cài đặt DNS của router hay không.
Nếu router “sạch sẽ”, bạn sẽ thấy một thông báo có nền màu xanh lục cho biết router không bị nhiễm virus.
Một tùy chọn khác là quét bằng Symantec để kiểm tra đặc biệt cho VPNFilter Trojan. Để chạy quá trình quét, hãy chọn hộp kiểm cho biết rằng bạn đồng ý với các điều khoản, sau đó chọn Run VPNFilter Check.
Lưu ý quan trọng: Hãy luôn đọc kỹ phần Điều khoản dịch vụ và Thỏa thuận bảo mật. Đôi khi, một công cụ có thể không minh bạch về cách nó thu thập và sử dụng dữ liệu cá nhân của người dùng.
Nếu bất kỳ lần quét nào cho thấy router của bạn bị nhiễm virus, hãy thực hiện các bước sau:
1. Reset router
Trong nhiều trường hợp, việc khởi động lại router sẽ không làm sạch hoàn toàn thiết bị nhiễm virus. Thay vào đó, hãy thực hiện việc reset lại toàn bộ router. Kiểm tra trang web của nhà sản xuất để biết hướng dẫn khôi phục cài đặt gốc.
- Cách reset router WiFi TP-Link
- Cách reset router Linksys về cài đặt mặc định của nhà sản xuất
- Cách reset WiFi router VNPT
Khôi phục cài đặt gốc hoàn toàn sẽ xóa tất cả cài đặt khỏi router. Bạn sẽ phải cấu hình lại tất cả các cài đặt một lần nữa, vì vậy chỉ thực hiện khôi phục cài đặt gốc nếu bạn chắc chắn rằng virus hoặc Trojan đã lây nhiễm vào router.
2. Cập nhật firmware
Nếu ISP đã cung cấp router, rất có thể ISP sẽ tự động đẩy các bản cập nhật firmware cho router. Nếu bạn sở hữu router như vậy, hãy truy cập trang web của nhà sản xuất để tìm kiếm và tải xuống bản cập nhật firmware mới nhất cho model router của bạn. Quá trình này đảm bảo router có các bản vá mới nhất để chống lại những loại virus mới.
3. Thay đổi mật khẩu quản trị viên
Để ngăn chặn bất kỳ loại virus hoặc Trojan nào xâm nhập lại vào router, hãy ngay lập tức thay đổi mật khẩu admin thành mật khẩu phức tạp hơn. Mật khẩu mạnh là cách bảo vệ tốt nhất giúp router chống lại việc bị nhiễm virus.
Sau khi loại bỏ virus, hãy chạy toàn bộ quá trình quét virus trên tất cả các thiết bị kết nối với router bị nhiễm.