Cách xử lí pop-up quảng cáo adcash, rdsrv,… hoành hành trên mọi thiết bị

Vào một ngày khi bạn đang lướt web thì nhận ra khi ấn vào bất kì đường link hay khoảng trống nào trên các trang web thì đều bị mở thêm một tab quảng cáo của adcash.com, rdsrv.com, trackmb.com, slimspots.com, w8statistics.info, v.v… cho dù là vào một trang rất uy tín mà bạn nghĩ sẽ không bao giờ có chuyện quảng cáo lố bịch như vậy. Thậm chí, cái quảng cáo khó chịu đó xuất hiện trên bất kì thiết bị nào mà bạn dùng, kể cả máy tính chạy Windows, điện thoại chạy Android hay iPhone, iPad. Vậy thì đã đến lúc bạn cần phải nghiên cứu để xử lí nó rồi đó.

IMG_0173
Tự động mở tab quảng cáo lạ

Nguyên nhân là gì? Trước tiên cần khẳng định việc quảng cáo kia lây lan trên mọi thiết bị không phải là do máy bị nhiễm virus (bạn nghĩ iOS cũng bị nhiễm virus sao, thật khó tin nổi). Và nguyên nhân gây ra việc này chính xác là do thiết bị mạng, cụ thể là modem hoặc router Wi-Fi. Vì thế, mọi nỗ lực quét virus, cài lại win, khôi phục cài đặt gốc trên các điện thoại đều vô ích.

Vậy modem/router đã bị làm sao vậy? Mời các bạn xem bài viết tại link này để hiểu rõ hơn vấn đề:
http://anninhmang.net/tin-tuc-an-ninh-mang/modem-tp-link-bi-tan-cong-thay-doi-cau-hinh/
Mình xin tóm tắt lại như sau: trên nhiều dòng modem/router của các hãng TP-Link, D-Link, Tenda, Huawei, ZTE,… có sử dụng hệ điều hành nhúng ZynOS, nhưng hệ điều hành này tồn tại một lỗ hổng cho phép kẻ xấu có thể lấy cắp được mật khẩu quản trị của modem/router từ xa thông qua romfile (rom-0), từ đó kẻ xấu sẽ thực hiện thay đổi các cài đặt của modem/router nhằm mục đích quảng cáo, lây lan mã độc hoặc gây rối. Cụ thể trong trường hợp bị pop-up quảng cáo này, kẻ xấu đã thực hiện thay đổi thiết lập DNS mặc định của modem/router thành các địa chỉ lạ đề chèn thêm quảng cáo vào bất kì trang web nào mà các bạn truy cập. Như vậy, modem/router của chúng ta không bị nhiễm virus, mà đã bị truy cập một cách trái phép.

Modem/router đã bị tấn công bằng cách nào? Vậy kẻ xấu đã lấy được mật khẩu quản trị modem/router bằng cách nào, thì rất đơn giản, bạn chỉ cần vô tình vào một trang web có chứa mã độc đánh cắp romfile là modem/router của bạn sẽ bị tấn công một cách thầm lặng mà bạn không hề hay biết. Vậy mã độc này có ở đâu: nó có thể ẩn trong quảng cáo của những trang web mà chúng ta hay vào, đa phần là các trang web ít uy tín, sống chủ yếu nhờ vào quảng cáo (ví dụ như các trang web xem phim online).

Sau khi đã hiểu ra vấn đề, vậy thì các cách xử lí cơ bản mà bạn nghĩ đến như đổi mật khẩu quản trị, xóa DNS lạ đi, đổi DNS khác, reset lại modem/router liệu có khắc phục được tình trạng trên hay không, thì câu trả lời là không. Bởi vì cho dù có làm những công việc trên thì lỗ hổng vẫn còn tồn tại trên thiết bị, mật khẩu mới sẽ bị đánh cắp nhanh chóng sau đó, DNS cũng sẽ bị đổi lại dễ dàng. Thậm chí việc nâng cấp firmware cho modem/router cũng chưa chắc đã khắc phục được vấn đề, mà đây lại là một công việc nguy hiểm.

Có cách nào có thể xử lí triệt để không? Đến đây có lẽ nhiều bạn sẽ nghĩ cần phải đổi modem/router mới bảo mật hơn. Đó cũng là một giải pháp đúng, tuy nhiên vẫn có cách để chúng ta khắc phục được triệt để trên chính modem/router mà chúng ta đang dùng mà không cần mạo hiểm hay bỏ ra bất kì chi phí nào. Tất nhiên cách khắc phục này sẽ gây ra một số hạn chế nhất định, nhưng về cơ bản bạn sẽ không còn bị quấy nhiễu bởi những pop-up quảng cáo khó chịu nữa, và trả lại cho bạn trải nghiệm duyệt web bình thường.

Cách xử lí vấn đề nhìn thì dài nhưng rất dễ làm là đây!

Cách xử lí bên dưới mình tham khảo được từ các trang web nước ngoài (nguồn tham khảo ở cuối bài). Cách này sẽ ngăn chặn kẻ xấu lấy romfile của modem/router.

1. Trước hết để đảm bảo thì mọi người hãy ngắt hết các client, tốt nhất là chỉ để 1 máy tính kết nối với modem/router qua cổng LAN và ngắt Wi-Fi

2. Thay đổi mật khẩu quản trị của modem/router, đổi thành gì cũng được miễn là khác trước (bởi vì mật khẩu cũ đã bị lấy cắp bởi các trang web)

3. Mở Command Prompt (có thể vào Run gõ cmd rồi enter)

4. Gõ dòng lệnh sau: telnet 192.168.1.1 (nếu địa chỉ IP của modem/router của các bạn khác thì đổi tương ứng)

Nếu gõ lệnh mà cmd báo ‘telnet’ is not recognized … như hình dưới thì các bạn làm như sau:

telnet is not recognized

Vào Control Panel -> Programs and Features -> Turn Windows features on or off rồi tick vào mục Telnet Client và ấn OK. Đợi máy cài xong chúng ta mở cmd và làm lại.

telnet client

5. Sau khi gõ lệnh ở bước 4, chúng ta nhập mật khẩu quản trị modem/router vào rồi nhấn Enter

6. Các bạn lần lượt gõ vào chính xác 8 dòng lệnh sau như hình (có thể copy paste cho chuẩn bởi vì không được sai, nếu sai có thể sẽ phải reset modem/router):

telnet10

7. Lúc này về cơ bản là ta đã xong. Nếu các bạn thử truy cập vào trang quản trị modem/router thông qua trình duyệt thì sẽ vô tác dụng -> các trang web sẽ không thể lấy rom file để lấy cắp mật khẩu của chúng ta nữa.

* Thế nếu trong trường hợp chúng ta muốn truy cập vào trang quản trị để thay đổi cấu hình thì sao, rất đơn giản, các bạn chỉ cần làm như sau: thực hiện các bước 1,3,4 rồi nhập mật khẩu và gõ các lệnh sau:

Sau đó thực hiện vào trang quản trị, cấu hình theo ý định rồi trở lại cmd và đóng lại đường truy cập bằng cách gõ:

Xong!

telnet 3

Cách xử lý một số vấn đề gặp phải:
Nếu đang gõ lệnh mà lỡ nhập sai xong không xóa không nhập thêm gì được (ấn nút gì máy cũng kêu ting ting) thì chỉ cần tắt cmd đi, khởi động lại modem/router rồi làm lại là được.
Ngoài ra nếu có thắc mắc gì các bạn để lại comment để mình nghiên cứu/trợ giúp.

Nếu bạn đang xài macOS hoặc Linux thì mở Terminal và làm tương tự nhé!

Xem thêm topic thảo luận trên diễn đàn Tinh tế: https://tinhte.vn/threads/adware-adcash-can-anh-em-giup-do-diet-tan-tay.2471826/page-2#post-45705403

Tài nguyên tham khảo:
http://egyptianvulture.blogspot.com/2014/06/how-to-fix-zynos-vulnerability-prevent.html
https://www.youtube.com/watch?v=nDdO2ogLj9I

Bình luận

avatar
  Subscribe  
Notify of