Virus che infettano in router

[axell]

Un amico, mi ha dato il suo portatile per una "pulizia" generale.
Dopo aver aggiornato l'antivirus e fatta la scansione, mi ha trovato una decina di virus.

Ora mi è venuto un dubbio.
E' possibile che qualcuno di questi virus, mi abbia infettato il router?

Non vorrei ritrovarmi qualche brutta sorpresa sui miei pc

[Geppetto56]

Difficile, il router ha bisogno della pass per modificare qualche cosa e se hai messo una pass diversa da quella di serie dovresti essere abbastanza protetto

[LoryOne]

Si è possibile, ma è difficile se lo hai configurato, soprattutto cambiando la password di default.
Cio non toglie che sia possibile bypassare il login se il firmware lo consente e questo è più probabile che avvenga attraverso un accesso dalla rete interna piuttosto che da quella esterna, quindi da un malware già attivo sul PC.
Ti consiglio di verificare se è presente un aggiornamento del firmware dal sito del produttore e controllare ogni tanto le impostazioni del router che devono essere quelle che hai impostato tu: Salvare tali impostazioni su una chiavetta e tenerla pronta per il ripristino, dopo un reset del router, se risulta compromesso.

[axell]

Si, la pass l'avevo cambiata.
Firmware aggiornati non ne vedo.

Quali danni può provocare un router infettato?

[LoryOne]

Se parli di router infettato, quel che mi viene in mente è un router che ha subito una modifica al firmware, tanto da ampliarne le potenzilità e/o la pericolosità in base alle funzionalità messe in opera: Certo questo è un tipo di attacco piuttosto specifico e mirato che difficilmente viene portato a termine da un malware casalingo su router casalinghi.
Non parlerei, quindi, di infezione; Piuttosto di compromissione.
Un esempio può essere la manomissione del firewall o l'apertura di servizi indesiderati dall'amministratore che li aveva disabilitati (es: l'UPnP) , il forwarding e/o il trigger di porte, la disabilitazione del NAT e/o della DMZ, oppure la possibilità di rendere il router configurabile anche via telnet oltre che da interfaccia web, magari consentendone l'amministrazione da remoto...

[axell]

Se si effettua il reset del router, si riesce ad eliminare una qualche compromissione?

[LoryOne]

L'infezione deve ottenere accesso come root in lettura/scrittura nella directory di sistema per implementarne le funzionalità, oppure sfruttando l'accesso via servizi "nascosti" non gestibili attraverso l'interfaccia web, quindi nemmeno da te immaginabili.
Il problema a monte è che l'interfaccia, qualunque essa sia, è solo un modo di salvare impostazioni che utilities di sistema utilizzano per rendere operativo il router: A tali utilities si può * accedere in altri modi.
Difficile che ci si riesca da IP esterni per via del firewall+NAT **; Più probabile da indirizzi fidati come quello di configurazione che sfrutti dalla tua rete interna.
Su internet, devi cercare "router" combinato con "marca e modello" combinato con parole tipo "exploit" o "payload".
Le informazioni sono li ed è giusto conoscerle, indipendentemente dal comprenderle o meno.

* Se si può, per meglio dire.
** ed in ogni caso un ulteriore firewall sul computer locale non guasta

[xilo76]

Sarebbe anche "carino" sapere marca e modello del router.

[axell]

Digicom RAW150-A02

[xilo76]

Per il tuo router è disponibile questo firmware: 243.145.2-018.
Se già coincide con il firmware attuale, non ci dovrebbero essere problemi (ma se dubiti che possa essere cambiato puoi sempre provare a reinstallarlo, se è possibile).
Naturalmente, se metti mano al firmware, collega il router al pc via cavo ethernet.