Hace algunos días leí por Internet sobre un malware extraño que redirigía las URL que llegaban a nuestra barra de direcciones ya sea escritas a mano o clickeadas a sitios de anuncios publicitarios (adfoc.us y adf.ly por lo general), síntoma que se repetía en todos los browsers de la PC, todas las máquinas de la casa/oficina y algunos dispositivos móviles también. Sumado a ésto, aparentemente el bicho resistía diversos antimalwares e incluso se seguía manifestando tras reinstalar el sistema operativo. Hace unos meses hablamos sobre un caso parecido pero específico para un modelo de Zyxel, si tenés uno de esos no estaría de más pasar por ahí antes. Por el momento hay reportes de infecciones en dispositivos Linksys, D-Link, TP-Link y algunos más, es decir, casi todas las grandes marcas del mercado hogareño.

La cada de un amigo de un amigo cuando trató de entrar a su sitio preferido y el navegador lo redirigió a otro sitio.

Mis sospechas quedaron confirmadas tras varios reportes de clientes, colegas y amigos: No es la computadora el problema sino el router. Si, esa inofensiva caja con puertos y antenitas que compraste por 300 o te dio tu ISP a comodato es la que tiene el problema, así que apagá esas velas  y borrá ese pentagrama invertido, porque no es cosa rara. Hay virus que infectan routers señores pero por suerte es algo que tiene solución.

¿Cómo lo resolvemos? Lo primero que tenemos que hacer es un 30-30-30 hard reset, es decir volver el aparato a su configuración de fábrica. Ojo: Hacer ésto eliminará las configuraciones que hayamos realizado en la interfaz web para, por ejemplo, redirigir puertos. Una vez hecho ésto entramos a la interfaz con la IP  (normalmente es la primera en el rango que su DHCP le entrega a nuestra PC, por ejemplo si nuestro equipo después del reset recibe la IP 192.168.0.101 la del router suele ser 192.168.0.1) y la combinación usuario/contraseña por defecto. Si no encontrás la IP o los datos de acceso tendrás que buscar el manual para ese modelo y fabricante en Google o, si sos valiente, en el cajón donde tu vieja puso toda esas cosas que vinieron con la computadora.

Una vez que estemos adentro lo primero que tendríamos que hacer es una actualización de firmware.

Lo anterior es una operación muy sencilla (normalmente está en el menú System > Firmware Upgrade o similar, donde encontramos un botón para cargar el archivo que bajamos desde la web del fabricante) pero bastante delicada, así que si viven en un barrio con cortes de luz frecuentes vuelvan a prender las velas que apagaron en el segundo párrafo por las dudas. Si se quieren quedar tranquilos pueden instalar en su lugar un firmware alternativo como DD-WRT y OpenWRT pero ya es para usuarios más avanzados y un error les puede convertir su router en un pisapapeles carisimo pero con mucha onda.

Luego de cargar el firmware actualizado forzamos los servidores DNS de nuestra preferencia y desactivamos -salvo que nos complique mucho la vida por algún uso específico – las opciones poco felices del apartado seguridad, como ser el acceso remoto a la configuración web (WAN access o algo así) y UPNP. Con ésto ya debería, con algo de suerte, quedar resuelto el problema.

Y a vos, ¿Te pasó? ¿Formateaste la PC y al final era el Router? ¡Contanos tu experiencia!

30 Comentarios

  1. Muy buena la info!, por suerte no tengo un problema de esta indole, pero me la dejaste picando con el tema del Firm.
    Estaría bueno que expliques como instalar un Firm Alternativo para los que nos quedamos en el tiempo (ultimo firm de mi d-link es del 2007)

    Un abrazo!

  2. Dejo el FTP de WRT con las últimas betas para muchos modelos de routers.
    Tengo un WDR4300 de tplik y la verdad que tener tantas funciones agregadas al equipo no tiene precio.
    FTP, NAS, VPN PPTP, Open VPN, WAKE ON LAN!, WDS Mejorado al mango, VLANS y más!

    ftp://ftp.dd-wrt.com/betas/

    • Tengo un tplink wr740n, el más pedorro, guardado al pedo. Le instale DD-WRT para usarlo como repetidor de un modem ZTE de Arnet, y no hay manera de hacerlo andar, intenté con mil tutoriales. Alguien que haya intentado lo mismo, o que la tenga clara y me pueda dar una mano?

      • YO PUDE!!!! un mes y pico me llevo.. vahhhh… pude a medias.. como repetidor no lo hice andar.. lo que hice fue crear una nueva ssid, osea.. otra wifi… pero bueno eso me soluciono el problema de la falta de señal.. directamente el dispositivo cliente switchea de una wifi a la otra…

        mi mail es [email protected]

        • Genial!!! Yo no pude con ninguna de las dos maneras, ni con la misma ni con una ssid nueva… Ya te mando un mail!

        • Yo tengo el mismo router, en su momento le instalé el DDWRT porque quería hacerlo funcionar como repetidor pero según vi en los foros no soporta esa función

          No hubo forma, terminé volviendo a instalar la última versión del firmware original.

          Saludos

      • Yo tuve un problema con un 941nd para conectarlo a un wrt54 porque el tplink no tiene modo bridge con el ddwrt, no se porque. Tiene otro modo que dice bridged pero no anda. Tuve que agregar una interfaz wifi virtual, y hacer las conf. a mano, y desactivar el firewall spi.

        Pero eso si, el modo del AP es client, y el modo de ruteo es router, el ddwrt tiene otros valore spor defecto. Si esto es lo que te pasa, chiflame y te voy guiando porque hay que hacer las cosas en cierto orden.

        Abrazo.

      • Hay que ver si el router que queres repetir, soporta WDS, o en caso de estar cableado, simplemente rutear, el tráfico al router principal como gateway para salir a internet.

        Pero hay que ver que posibilidades da el router secundario para hacer WDS, o bien con un SSID diferente. Saludos.-

  3. Otra opción es que el router se pueda modificar sólo desde una MAC específica. Esa opción suele estar en “Local Management” – ” Only the PCs listed can browse the built-in web pages to perform Administrator tasks”

  4. No me queda del todo claro, porqué la necesidad de resetear el router de fábrica, si se puede actualizar el firm igual, o es por algo especial?
    Sirve restaurar la configuración desde un backup? (luego de actualizar el firm)

    • En el que revisé, con volverlo a fábrica la infección se va. La actualización de firmware es para que no vuelva a entrar.

    • Pasa que es como el huevo o la gallina.

      Por lo general si no reseteas el router no podes bajar el firmware, salvo que tengas un smartphone haciendo thetering o ya lo tengas en la PC, ahí si podés evitar ese paso.

  5. Pero cual es la infeccion que hace? si redirige a algunas webs lo mas posible que sea algo de los DNS, los cambia?

  6. Me paso con el linkbucks… q reverenda mierda. Me costo un huevo eliminarlo por completo y si, el ultimo lugar donde estaba era en un disco de red y el puto router.

    Ahhh.. .como me calienta el solo pensarlo.

    • Bueno, cáda uno se estimula sexualmente con lo que le gusta, yo que se. Si a vos te ponen a mil los routers infectados acá te vamos a respetar.

      • Otro sufrido que tuvo que lidiar con Linkbunks, en 2 estudios.

        Me volvieron loco hasta que entendí. De boludo no agarré y conecté de una la Notebook como debería haber hecho.

        Después me pasó de algunos *virus DNS* que hasta redirigen la App de Facebook para Android (que por lo visto es una especie de browsers).

  7. Agrego, cuando no sabes la ip de tu router: vas a la consola de la windola, lease cmd o simbolo de sistema y tipeamos esto: “ipconfig”. Este comando nos devuelve los parámetros de nuestra palaca de red, ya sea wifi o ethernet, la ip que esta asignada en la “Puerta de enlace” o “Gateway” es la ip del router en cuestión.

    Guarda, si tenes puesta una ip fija en tu placa de red, puede que sea con la que salís a internet por medio de un “bridge” o algo por el estilo, así que tal vez no sea la ip de la lan de tu router!

    Espero que le sirva a alguien!

  8. No se, yo solo vengo a quejarme de la flor de cagada que son los TPLink y Lynksys, el TPLink tanto router como switch falla a los 6 meses exactos (les juro) y el Lynksys “by Cisco” es una pedorrada, son súper delicados con lo que es las bajadas,de tención.

    La verdad que desde que cerraron las importaciones esto se pone cada día peor… Mis clientes no me dejan de romper las bolas por estas cagadas…

    Alguna marca que zafe? La verdad es que estoy requeté contra podrido.

  9. Tuve un caso similar que me volvió loco. El síntoma era que no se podía acceder a facebook. El problema venia que algo configuraba unos DNS manuales y de paso, cambiaba la contraseña de administrador. Lo restablecía a la configuración de fabrica, cargaba todos los parámetros nuevamente y todo volvía a funcionar. Pero a la semana sucedía nuevamente. El problemático era un TP-LINK TD-W8901G. Modelo ya sin soporte, por lo tanto sin solución. Encontré algunas maneras alternativas de corregir la vulnerabilidad, pero eran demasiadas complejas. Al final se lo cambio por un modelo mas moderno y mas seguro, por el momento digo… Saludos!

  10. Uff!, gracias a Dios todavia no lo he visto por aqui ni he escuchado nada.

    Muchas gracias por la Información, asi me evitare horas de pruebas y descartes.

    Por lo de las actualizaciones y reparaciones durante cortes de luz… Bueno, puedo decir que por suerte solo me a cargado un computador entero. En serio no importa cuantas maldiciones hagas, cuando se va, se va!

  11. Tengo un Dlink DIR 600, si ese que es una garompa…. y hace casi 12 meses que tiene cargado el DD-WRT, la verdad que no he tenido problemas de cuelgues ni perdida de conexión…. se los recomiendo, al DD-WRT no al Dir 600 jaja

  12. No, uso firmware aftermarket como DDwrt o Tomato Shibby y no habilitop el acceso remoto. Lo que si me pasa es que mi ISP (cablevision Monterrey) injecta javascript con publicidad y ahí sí ni usando Linux me salvo. Hay que o deshabilitar el javascript (algunas paginas jalan espantosas) o bloquear los dominios de la publicidad via router (ya no sale la publicidad pero sale como un recuadro transparente)

  13. A mi me pasó una vez, con un AP TP-Link. Lo noté en los teléfonos que cuando se conectaban al WiFi de casa, empezaban a navegar por cualquier página, menos la que buscábamos.

    Se llama envenenamiento de DNS (O DNS Cache Poisoning), y te das cuenta por que te cambia los DNS.

Dejar respuesta

Please enter your comment!
Please enter your name here