Un router è vulnerabile all'infezione da virus quanto un computer. Un motivo comune per cui i router vengono infettati è che il proprietario ha dimenticato di modificare la password dell'amministratore predefinita.
Come può un router ottenere un virus?
Un router può contrarre un virus se gli hacker riescono a superare la schermata di accesso iniziale e modificare le impostazioni del router. In alcuni casi, i virus possono modificare il firmware integrato che controlla il software del router.
Non è necessario eliminare un router infetto per la riparazione e quindi proteggere quel dispositivo da ulteriori infezioni in futuro.
Due virus router comuni che hanno infettato migliaia di router in passato includono Switcher Trojan e VPNFilter.
Come il virus Trojan Switcher infetta i router
Il Trojan Switcher infetta uno smartphone Android tramite un'app o tramite un clic su un'e-mail di phishing. Dopo che il telefono Android infetto si connette a qualsiasi rete Wi-Fi:
- Il Trojan comunica con un server centrale per segnalare il nome dell'identificazione di quella rete.
- Tenta quindi di accedere al router utilizzando la password di amministratore predefinita del marchio del router, oltre a testare altre password.
- Se effettua il login, il Trojan modifica gli indirizzi del server DNS predefinito in un server DNS sotto il controllo del produttore del virus.
- Il server DNS alternativo reindirizza tutto il traffico Internet da quella rete Wi-Fi attraverso i nuovi server, che tentano di rimuovere informazioni sensibili come i dettagli del conto bancario e della carta di credito, le credenziali di accesso e altro.
- A volte i server DNS falsi restituiscono un sito Web alternativo (come Paypal o il sito Web della tua banca) per raschiare i tuoi dati di accesso.
Un normale server DNS converte l'URL digitato in un browser web (come google.com) in un indirizzo IP. Switcher IP modifica le impostazioni DNS corrette del router (per i server DNS del tuo provider Internet) sui server DNS dell'hacker. I server DNS compromessi forniscono quindi al browser indirizzi IP errati per i siti Web visitati.
Come il virus VPNFilter infetta i router
VPNFilter infetta i router Wi-Fi domestici allo stesso modo di Switcher Trojan. Di solito, un dispositivo che si connette alla rete Wi-Fi è infetto e quel software penetra nel router di casa. Questa infezione si verifica in tre fasi.
- Fase 1: un caricatore di malware infetta il firmware del router. Questo codice installa malware aggiuntivo sul router.
- Fase 2: Il codice della fase uno installa codice aggiuntivo che risiede sul router ed esegue azioni come la raccolta di file e dati dai dispositivi collegati alla rete. Tenta inoltre di eseguire comandi in remoto su quei dispositivi.
- Fase 3: La seconda fase del malware installa plug-in dannosi aggiuntivi che eseguono operazioni come il monitoraggio del traffico di rete per acquisire informazioni riservate sugli utenti. Un altro componente aggiuntivo si chiama Ssler, che converte il traffico Web HTTPS sicuro (come quando accedi al tuo conto bancario) in traffico HTTP non sicuro in modo che gli hacker possano estrarre le credenziali di accesso o le informazioni sull'account.
A differenza della maggior parte dei virus del router che vengono cancellati quando si riavvia un router, il codice VPNfilter rimane incorporato nel firmware dopo un riavvio. L'unico modo per eliminare il virus da un router è eseguire un ripristino completo delle impostazioni di fabbrica seguendo le istruzioni di ripristino delle impostazioni di fabbrica del produttore.
Ci sono virus router aggiuntivi su Internet e tutti seguono la stessa tattica. Questi virus prima infettano un dispositivo. Quando quel dispositivo si connette a una rete Wi-Fi, il virus tenta di accedere al router utilizzando la password predefinita o verificando una password creata male.
Il mio router ha un virus?
Se si verificano i seguenti comportamenti sulla tua rete, è possibile che il tuo router possa essere infettato.
-
Quando visiti siti Web che dovrebbero essere sicuri (come Paypal o la tua banca), ma non vedi l'icona del lucchetto nel campo URL, potresti essere infettato. Ogni istituto finanziario utilizza il protocollo HTTPS sicuro. Se non vedi l'icona del lucchetto, i tuoi movimenti su quel sito Web non sono crittografati e potrebbero essere visualizzati dagli hacker.
-
Nel tempo, il malware può consumare la CPU del computer e rallentare le prestazioni. Il malware in esecuzione sul computer o sul router può causare questo comportamento. Combinato con gli altri comportamenti elencati può significare che il router è infetto.
-
Se, dopo aver scansionato e pulito il computer da malware e virus, vedi ancora finestre pop-up di ransomware che richiedono il pagamento o i tuoi file verranno distrutti, è una buona indicazione che il router è infetto.
-
Quando visiti siti Web normali ma vieni reindirizzato a siti Web strani che non riconosci, potrebbe indicare che il tuo router è infetto. A volte quei siti possono essere siti contraffatti che sembrano simili al sito reale.
Se vieni reindirizzato a siti che non sembrano corretti, non fare mai clic su alcun collegamento o inserire i dettagli di accesso del tuo account. Invece, segui i passaggi per determinare se un virus sta causando il comportamento.
-
Se fai clic sui link di ricerca di Google e finisci su una pagina Web inaspettata che non sembra corretta, potrebbe essere un altro segno che il router è infetto da malware.
Come riparare un router infetto
Per verificare se il tuo router è infetto, esegui una scansione utilizzando gli strumenti online disponibili. Ce ne sono molti disponibili, ma scegline uno che provenga da una fonte nota e affidabile. Un esempio è F-Secure, che esegue la scansione del router e determina se un virus ha violato le impostazioni DNS del router.
Se il tuo router è pulito, vedrai un messaggio con uno sfondo verde che indica che è pulito.
Un altro esempio è la scansione di Symantec che verifica specificamente il Trojan VPNFilter. Per eseguire la scansione, seleziona la casella di controllo per indicare che accetti i termini, quindi seleziona Esegui controllo filtro VPN.
Leggi sempre i Termini di servizio e l'Accordo sulla privacy. Di tanto in tanto, si cerca di essere subdoli su come vengono raccolti e utilizzati i dati personali.
Se una scansione indica che il tuo router è infetto, procedi come segue:
-
Reimposta il routerIn molti casi, il riavvio del router non lo ripulirà completamente da un'infezione da virus. Eseguire invece un ripristino completo del router. Questo processo di solito richiede l'inserimento di un oggetto appuntito come uno spillo in un piccolo foro e la pressione del pulsante per diversi secondi. Controllare il sito Web del produttore per le istruzioni di ripristino delle impostazioni di fabbrica.
Un ripristino completo delle impostazioni di fabbrica cancella tutte le impostazioni dal router. Dovrai riconfigurare nuovamente tutte le impostazioni, quindi esegui un ripristino delle impostazioni di fabbrica solo se sei sicuro che un virus o un Trojan abbia infettato il router.
- Aggiorna il firmware Se il router è stato fornito dal tuo ISP, è probabile che l'ISP invii automaticamente gli aggiornamenti del firmware al router. Se possiedi il router, visita il sito Web del produttore per cercare e scaricare l'ultimo aggiornamento del firmware per il tuo modello di router. Questo processo garantisce che il router disponga delle patch più recenti per proteggersi dai virus più recenti.
-
Cambia la password dell'amministratore. Per impedire a virus o trojan di reinfettare il router, modificare immediatamente la password dell'amministratore con qualcosa di più complesso. Una buona password è la tua migliore difesa contro un router infetto.
- Dopo aver eliminato il virus, esegui una scansione antivirus completa su tutti i dispositivi che si connettono al router infetto.