Skip to content

Kan een router een virus krijgen?

17 de augustus de 2021
can a router get a virus 4768395 11 247068e0211549a8991da4f3b3353f1c

Een router is net zo kwetsbaar voor besmetting met een virus als een computer. Een veelvoorkomende reden waarom routers geïnfecteerd raken, is dat de eigenaar is vergeten het standaard beheerderswachtwoord te wijzigen.

Hoe kan een router een virus krijgen?

Een router kan een virus krijgen als hackers door het eerste inlogscherm kunnen komen en de routerinstellingen kunnen wijzigen. In sommige gevallen kunnen virussen de ingebouwde firmware wijzigen die de routersoftware aanstuurt. U hoeft een geïnfecteerde router niet weg te gooien – repareer en bescherm dat apparaat in de toekomst tegen verdere infecties. Twee veelvoorkomende routervirussen die in het verleden duizenden routers hebben geïnfecteerd, zijn de Switcher Trojan en VPNFilter.

Hoe het Switcher Trojan-virus routers infecteert

De Switcher Trojan infecteert een Android-smartphone via een app of door te klikken op een phishing-e-mail. Daarna maakt de geïnfecteerde Android-telefoon verbinding met elk wifi-netwerk:

  • De Trojan communiceert met een centrale server om de naam van de identificatie van dat netwerk te melden.
  • Vervolgens wordt geprobeerd in te loggen op de router met het standaard beheerderswachtwoord van het routermerk en andere wachtwoorden te testen.
  • Als het zich aanmeldt, wijzigt het Trojaanse paard de standaard DNS-serveradressen naar een DNS-server onder controle van de virusmaker.
  • De alternatieve DNS-server leidt al het internetverkeer van dat wifi-netwerk om via de nieuwe servers, die proberen gevoelige informatie zoals bankrekening- en creditcardgegevens, inloggegevens en meer te verwijderen.
  • Soms retourneren de nep-DNS-servers een alternatieve website (zoals Paypal of uw bankwebsite) om uw inloggegevens te schrapen.

Een gewone DNS-server zet de URL die u typt in een webbrowser (zoals google.com) om in een IP-adres. Switcher IP wijzigt de juiste DNS-instellingen van de router (voor de DNS-servers van uw internetprovider) naar de DNS-servers van de hacker. De gecompromitteerde DNS-servers voorzien de browser vervolgens van onjuiste IP-adressen voor de websites die u bezoekt.

Hoe het VPNFilter-virus routers infecteert

VPNFilter infecteert wifi-routers thuis op dezelfde manier als Switcher Trojan. Meestal is een apparaat dat verbinding maakt met het wifi-netwerk geïnfecteerd en dringt die software de thuisrouter binnen. Deze infectie gebeurt in drie fasen.

  • Fase 1: Een malware-loader infecteert de firmware van de router. Deze code installeert extra malware op de router.
  • Stage 2: De stage-one-code installeert extra code die zich op de router bevindt en voert acties uit zoals het verzamelen van bestanden en gegevens van apparaten die op het netwerk zijn aangesloten. Het probeert ook op afstand opdrachten uit te voeren op die apparaten.
  • Fase 3: De tweede fase malware installeert extra kwaadaardige plug-ins die dingen doen zoals het monitoren van netwerkverkeer om gevoelige gebruikersinformatie vast te leggen. Een andere add-on heet Ssler, die beveiligd HTTPS-webverkeer (zoals wanneer u inlogt op uw bankrekening) omzet in onveilig HTTP-verkeer, zodat hackers uw inloggegevens of accountgegevens kunnen extraheren.

In tegenstelling tot de meeste routervirussen die worden gewist wanneer u een router opnieuw opstart, blijft de VPNfiltercode na een herstart in de firmware ingebed. De enige manier om het virus van een router te verwijderen, is door een volledige fabrieksreset uit te voeren volgens de fabrieksreset-instructies van de fabrikant. Er zijn nog meer routervirussen op internet en ze volgen allemaal dezelfde tactiek. Deze virussen infecteren eerst een apparaat. Wanneer dat apparaat verbinding maakt met een Wi-Fi-netwerk, probeert het virus in te loggen op de router met het standaardwachtwoord of door te controleren op een slecht gemaakt wachtwoord.

Heeft mijn router een virus?

Als het volgende gedrag zich voordoet op uw netwerk, bestaat de kans dat uw router is geïnfecteerd.

  1. Als je websites bezoekt die veilig zouden moeten zijn (zoals Paypal of je bank), maar je ziet het slotje niet in het URL-veld, dan ben je mogelijk geïnfecteerd. Elke financiële instelling gebruikt het beveiligde HTTPS-protocol. Als u het slotpictogram niet ziet, zijn uw bewegingen op die website niet versleuteld en kunnen ze door hackers worden bekeken.

  2. Na verloop van tijd kan malware de CPU van de computer verbruiken en de prestaties vertragen. Malware die op de computer of op de router wordt uitgevoerd, kan dit gedrag veroorzaken. In combinatie met de andere genoemde gedragingen kan dit betekenen dat de router is geïnfecteerd.

    Hoge CPU op een computer

  3. Als u na het scannen en opschonen van malware en virussen op de computer nog steeds ransomware-pop-upvensters ziet die betaling eisen of als uw bestanden worden vernietigd, is dit een goede indicatie dat de router is geïnfecteerd.

    Voorbeeld van een pop-upvenster voor ransomware

  4. Wanneer u normale websites bezoekt maar wordt omgeleid naar vreemde websites die u niet herkent, kan dit erop wijzen dat uw router is geïnfecteerd. Soms zijn die sites vervalste sites die lijken op de echte site.

    Een nep-bankwebsite

    Als u wordt omgeleid naar sites die er niet goed uitzien, klik dan nooit op links en voer nooit de inloggegevens van uw account in. Doorloop in plaats daarvan de stappen om te bepalen of een virus het gedrag veroorzaakt.

  5. Als u op Google-zoeklinks klikt en op een onverwachte webpagina terechtkomt die er niet goed uitziet, kan dit een ander teken zijn dat de router is geïnfecteerd met malware.

    Klikken op zoekresultaten van Google

Een geïnfecteerde router repareren

Om te controleren of uw router is geïnfecteerd, voert u een scan uit met behulp van beschikbare online tools. Er zijn veel van deze beschikbaar, maar kies er een die afkomstig is van een bekende en vertrouwde bron. Een voorbeeld is F-Secure, dat de router scant en vaststelt of een virus de DNS-instellingen van de router heeft gehackt.

Router scanresultaten van F-Secure

Als uw router schoon is, ziet u een bericht met een groene achtergrond om aan te geven dat deze schoon is. Een ander voorbeeld is de Symantec-scan die specifiek controleert op de VPNFilter Trojan. Om de scan uit te voeren, schakelt u het selectievakje in om aan te geven dat u akkoord gaat met de voorwaarden en selecteert u vervolgens Voer VPNFiltercontrole uit.

De Symantec VPNfilter-scan

Lees altijd de Servicevoorwaarden en de Privacyovereenkomst. Af en toe probeert men stiekem te zijn over hoe het persoonlijke gegevens verzamelt en gebruikt. Als uit scans blijkt dat uw router is geïnfecteerd, voert u de volgende stappen uit:

  1. Reset de router. In veel gevallen zal het opnieuw opstarten van de router deze niet grondig reinigen van een virusinfectie. Voer in plaats daarvan een volledige routerreset uit. Dit proces vereist meestal dat u een scherp voorwerp zoals een speld in een klein gaatje steekt en de knop enkele seconden ingedrukt houdt. Kijk op de website van de fabrikant voor instructies voor het terugzetten naar de fabrieksinstellingen. Een volledige fabrieksreset wist alle instellingen van de router. U moet alle instellingen opnieuw configureren, dus voer alleen een fabrieksreset uit als u zeker weet dat een virus of een Trojaans paard de router heeft geïnfecteerd.

  2. Update de firmware. Als uw ISP de router heeft geleverd, is de kans groot dat de ISP automatisch firmware-updates naar de router pusht. Als u de eigenaar van de router bent, gaat u naar de website van de fabrikant om de nieuwste firmware-update voor uw routermodel te zoeken en te downloaden. Dit proces zorgt ervoor dat de router de nieuwste patches heeft om te beschermen tegen de nieuwste virussen.

  3. Het beheerderswachtwoord wijzigen. Om te voorkomen dat virussen of Trojaanse paarden de router opnieuw infecteren, moet u het beheerderswachtwoord onmiddellijk wijzigen in iets complexer. Een goed wachtwoord is uw beste verdediging tegen een geïnfecteerde router.

    Het wachtwoord van een Netgear-router wijzigen

  4. Nadat u het virus hebt verwijderd, voert u een volledige antivirusscan uit op alle apparaten die verbinding maken met de geïnfecteerde router.