原po內容大多來自Cisco的第一份分析
這是Cisco的第二份分析，裡面有追加機種
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html?m=1
以及SOPHOS的分析
https://news.sophos.com/en-us/2018/05/27/vpnfilter-botnet-a-sophoslabs-analysis-part-2/
大略看了一下
1. 一堆迂迴方法到一些網址更新
2. 即使所有網址都被封了，也會設定排程，在某時間偷偷開後門，等著被掃描然後更新
3. 偷塞憑證監聽https加密
4. 擁有自殺指令
5. 能讀取MTD目前沒作用，但這表示可以自我刷機或把路由器清零掛了它
6. 還沒人找到它到底是怎麼感染的
7. Cisco的名單中有ac66u，Asus大多主流機種韌體都是跟這同模型，所以…
8. SOPHOS的第一個樣本來自於臺灣XD，臺灣是第一梯隊XD
9. 由於排程會寫進nvram，所以更新韌體後要清除nvram回覆出廠設定才能保證乾淨

Taiwan no.1 (X

那N10E呢？

就算清乾淨了也不保証不會再中鏢

近年的華碩的韌體都嘛是asuswrt做基底的 所以有漏洞的話理論上是高中低階全機型通通爆炸 話說該不會跟mobile01那篇蓋很高樓的N18U被入侵文章有關吧?!文章提到第一份樣本是由某台灣的ip提交到VirusTotal上面的可能是某工程師覺得自己設備怪怪的就抓出來扔上去了

最近覺得怪怪的，重設之後感覺好很多

所以也不一定能說台灣是第一波被攻擊的國家啦 只能說全球首個發現這個可疑玩意兒的可能是某個台灣人 XD

https://i.imgur.com/y9K0PjR.jpg可是在找重設步驟的文章總覺得這步驟怪怪的開始在重設的時候拔電源機器不會掛點嗎？

他這段確實有點怪 通常reset按壓完後就是機器自動重開 但照他步驟不會弄掛機器啦 因為會動到的只有存放設定值的nvram韌體本體還健在 跟安卓手機一樣 只要不是刷機 管你怎麼亂清亂刪 都不可能動到系統

原來如此，下次出問題的時候就來試試看好了

一定要reset才能清掉ㄇ? 重啟router有沒有用?

http://i.imgur.com/5N32I57.jpg所以有需要清除NVRAM拔？！台灣某位工程師越想越不對勁重開機只會回到上面的第2點*第1點第1點不行就會變成第2點新聞稿有說目前攻擊烏克蘭

要怎麼查路由器有沒有中毒