Giga Connect Box UPC/Play - DNS suffix utopia.net po aktualizacji, spowolnienie sieci

Cześć,

Na wstępie od razu zaznaczę, że nie jestem specjalistą od sieci.

Mam internet w UPC/Play, w dniu wczorajszym Giga Connect Box zaktualizował się do nowej wersji i przy okazji najprawdopodobniej złapał wirusa. Od wczoraj wszystkie urządzenia, jakie podłączam do tej sieci, mają utopia.net jako DNS suffix. Powoduje to spowolnienie prędkości w niektórych przypadkach.

Problem nie występuje na mobilnym hotspocie.

Czy takie zawirusowanie urządzenia jest w ogóle możliwe? Nawet świeżo postawiona vm od razu ma to ustawione.

Cześć

Natrafiłem na Twój post, bo sam w Google szukałem rozwiązania. Też mam Giga Connect Box, po aktualizacji podmienił mi w ustawieniach suffix na utopie. Ja dowiedziałem się o problemie, bo mi Norton zakomunikował problem. Dodałem w zaporze Nortona blok w firewall na utopia.net i dodałem na chwilę ręcznie DNS na google 8.8.8.8, bo jak korzystasz z lokalnego DNS, to Utopia będzie łączyć się z podstawioną stroną, by dalej infekować komputer lub podstawiać złe strony przypominające prawdziwe, np. FB czy jakiś Twój bank.

Mam prośbę. Zobacz, czy możesz się zalogować do admina na 192.168.0.1 po resecie hasłem z naklejki pod routerem. Bo ja nie mogę i nie wiem, czy router zawirusowany tak, że reset nie pomaga i nie pozwala się zalogować do admina routera?

Dobrze wiedzieć, że nie jestem sam z problemem - zgłosiłem już to do Play. Może z tego wyjść grubsza sprawa. Co do panelu admina, to hasło z naklejki wciąż działa. Robiłem reset już kilkukrotnie, ale jeśli to przyszło razem z nowym firmwarem, to pewnie nic nie da, dopóki nie podmienią na inny/nie zrobią downgrade'u.

Cześć,

podpinam się pod wątek. Dzisiaj Norton informował mnie kilka razy o nieudanych atakach utopii. Na wszelki wypadek zaczęłam szukać i się doszukałam - mam utopia.net jako DNS suffix na obydwu laptopach.

Nowy laptop nie miał szans złapać wirusa przez stronę internetową - zdążyłam na nim zainstalować jedynie Nortona i NORDa, nigdy nie był używany do przeglądania stron internetowych. Musiało na niego przejść przez router. Niestety ja nie jestem w stanie stwierdzić czy pierwszy złapał go mój "stary" laptop czy może to wina update'u routera.

Daj proszę znać czy masz jakieś informacje z UPC/Play, albo gdybyście znaleźli jak to dziadostwo usunąć. Patrząc w internet, jest to wyjątkowo uciążliwy wirus.

edit: u siebie nie mam problemów z logowaniem do routera.

Ja sprawę zgłosiłem do Play, czekam na odpowiedź. Co ciekawe, mój Norton ani razu nie informował mnie o próbie ataku, mimo, że też mam ten suffix. Skanowanie nic nie wykazało.

Co do usunięcia, to można wywalić wpis z rejestru, ale jak tylko podepniesz się pod sieć ponownie się pojawi. U mnie jest pod HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9DA7F0D7-4560-4D54-A500-09C7D94069AE}

Trzeba niestety czekać na reakcję ze strony Play, ja póki co jadę na hotspocie.

Resetowaliście te Wasze GCB do ustawień fabrycznych? Z sieci wynika iż szczególnie klienci Comcast mieli z tym problem
https://www.reddit.com/r/antivirus/comments/7qwn93/utopianet_malware_dns_hijack/
https://www.bleepingcomputer.com/forums/t/647723/utopianet-dns-hijack/
Po przywróceniu do fabrycznych malware teoretycznie powinien zniknąć

Próbowałem przez UI, próbowałem fizycznie, próbowałem 30-30-30. Nic nie dało.

https://www.play.pl/pomoc/aum/internet/internet-bezprzewodowy/twardy-reset
Dokładnie tak robiłeś? Po przywróceniu do fabrycznych polecam zmienić hasło do GUI routera. A jak przełączysz go w bridge to też DNSy zmienia?
https://www.bleepingcomputer.com/forums/t/647723/utopianet-dns-hijack/page-2#entry4392232
Po resecie modemu do fabrycznych sugeruję na kompach które się łączyły z GCB zrobienie tej porady bo wpisy o utopia.net mogły się też w kompach zagnieździć albo innych urządzeniach (tylko ten dns suffix musi pasować do UPC, nie wiem jaki jest w tych ich modemorouterach bo swój mam w bridge więc mam suffix mojego routera )

Przecież DNS, powinno się dać zmienić na inny.
Na starym sofcie z UPC to było.

Proszę pokazać zakładkę z tym DNS z modemu.

@MrPepka Dokładnie tak robiłem, niestety nic to nie daje. W bridge mode nie próbowałem, nie znam się na tym niestety. Nie mam też drugiego routera.
@KOCUREK1970:

To jedyne miejsce gdzie można zmienić cokolwiek z DNS. Wciąż wydaje mi się, że to jakiś malware na routerze.

Czyli GCB6 od Sagemcom, może tam nie ma opcji zmiany DNS (nie wiem, nigdy go nie miałem )
Możliwe, że komp (i być może i inne urządzenia łączące się z GCB6 po Wi-Fi i kablu) zapamiętały sobie w profilu ten DNS z utopia.net (dlatego na innej sieci tego nie ma) być może pomoże usunięcie profilu z siecią z GCB i połączenie się z nim na nowo. Zaszycie tego malware w firmware modemu operatora jest mało prawdopodobne, operator musiałby być mocnym idiotą aby certyfikować taki firmware i dopuścić je do sieci

Ja nawet VMkę postawiłem i od razu miała tę utopię. Ale mogę spróbować, już raz to usuwałem z rejestru.

Strifer napisał:

To jedyne miejsce gdzie można zmienić cokolwiek z DNS

No i jest tam po prawej na górze Edytuj.
Naciśnij ten przycisk i proszę pokaż następną stronę.

Strifer napisał:

Wciąż wydaje mi się, że to jakiś malware na routerze.

Nic z tych rzeczy.
To, że jakiś AW krzyczy, nie znaczy realnego zagrożenia.

@Strifer
Tam po prawej jest przycisk "więcej".
Co pokazuje następna strona?

UPC chyba coś zrobiło, bo ten affix mi zniknął. Możecie sprawdzić u siebie? @mibam50679 @yilmazturkeyco

A pod "Więcej" jest tylko miniinstrukcja:
Zarządzaj ustawieniami swojej sieci domowej.

Adres routera: Podaj adres IP Routera.

Maska podsieci: Maska podsieci związana jest z adresem IP. Wybierz odpowiednią maskę podsieci bazując na ilości urządzeń które będą podłączone do twojej sieci.

Początkowy i końcowy adres DHCP: Serwer DHCP routera pozwala na zarządzanie przypisywaniem adresów IP dla podłączonych urządzeń.

Czas dzierżawy DHCP: Czas dzierżawy określa przez jaki czas Router będzie oferował adres IP dla podłączonego urządzenia. Czas dzierżawy jest odnawiany kiedy urządzenie jest podłączone do sieci. Gdy czas dzierżawy upłynie, adres IP jest uwolniony i może zostać przypisany do nowego urządzenia podłączanego do Routera

Czyli wygląda na to, że ktoś po prostu zatruł DNSy UPC i podstawił tam fake suffix. No cóż, wpadki się zdarzają

Dlatego, niezależnie jaki internet i od kogo, obowiązkowo należy korzystać z szyfrowanych DNS-ów TLS.
Ale na WŁASNYM routerze!

https://dns.opendns.com/dns-query
https://dns.umbrella.com/dns-query
208.67.222.222
208.67.220.220

Google
dns.google
8.8.8.8
8.8.4.4

Quad9
dns.quad9.net
9.9.9.9
149.112.112.112

Cloudflare
cloudflare-dns.com
one.one.one.one
104.16.249.249
104.16.248.249
1.1.1.1
1.0.0.1

U mnie niestety problem dalej istnieje.
Reset routera nie pomógł - od razu DNS był ustawiony na utopia.net

U mnie suffix zniknął, ale prędkość pobierania dalej mierna.

Strifer napisał:

U mnie suffix zniknął

Bo powiadomiłeś operatora.

Strifer napisał:

ale prędkość pobierania dalej mierna.

Sprawdz na speedtest.pro

pro.speedtest.pl pokazuje prędkość zgodną z umową. Tak jak każdy inny webowy speedtest.

Natomiast zauważyłem, że tak jak pobieranie ze Steama idzie maxem łącza, tak pobieranie przy użyciu innych launcherów ogranicza prędkość DO TEJ SAMEJ WARTOŚCI (niecałej 1/5 łącza). To za każdym razem ta sama wartość, a zaczęło się to po wczorajszym rozłączeniu internetu i aktualizacji firmware'u GCB6.

Dodano po 18 [minuty]:

Na Steam Decku mam to samo, właśnie sprawdziłem. Więc to musi być coś z siecią.

Cześć,

Od tygodnia zmagam się z tym samym tematem, DNS suffix na utopia, prędkość pobierania 15% tego, co było normalnie.
Działające kompy łapały ten sufix, nawet świeżo postawiony system też, ewidentnie coś z routera, a nie zainfekowane końcówki.

Pani na infolinii przyznała, że mają podobne zgłoszenia i że przekażę temat do działu technicznego. Co odpowiedzieli?

„Zmiana dns urządzeń sieci lokalnej może być objawem infekcji malware. Budowa i konfiguracja modemu kablowego nie pozwala na modyfikacje dns nadawanego przez dhcp modemu. Zalecamy przeskanowanie urządzeń oprogramowaniem antywirusowym lub kontakt z serwisem komputerowym.”

Temat nie rozwiązany od tygodnia, drugi telefon na infolinię skończył się umówieniem technika z inicjatywy operatora, pomimo sygnalizowania przeze mnie, że problem prawdopodobnie leży po ich stronie.

Ręce opadają, oby jak najszybciej to ogarnęli.

Super, że znalazłem ten wątek, od kilku godzin próbuję ogarnąć, co to się dzieje.

Najpierw Norton informował mnie o atakach, potem sprawdziłem ten SUFIKS, żaden antywirus czy malware nie wykrył niczego podejrzanego, a na końcu - objawiła mi się zupełnie inna strona konfiguracji routera (192.168.0.1), taka fioletowa z logo Play. A jeszcze ze 2 tygodnie temu (góra trzy) była, myślałem, że standardowa od routera, która miała wiele więcej chyba ustawień, ale też wiele więcej pokazywała (np. błędy, logi, można było się czymś podeprzeć, że nie działa).

Straty prędkości jakoś nie widzę, test sprzed chwili przy "1G" - ~920/40.

@cyberjarek2
Play branduje swoim softem (co nie powinno dziwić) sprzęt po starym UPC.
Ma prawo, w sofcie zrobić i robić co chce.
No i ilość reklamacji na poziomy sygnałów zmniejszą się

Byłoby miło, gdyby przy okazji nie powodował dziwnych rzeczy xD

@Strifer
„sufiks DNS” nie ma absolutnie nic wspólnego z serwerami DNS.
Zmienia nazwy lokalne, które system operacyjny będzie próbował rozwiązać, a nie miejsce, w którym będzie wysyłał zapytania.

Rozumiem, dzięki za wyjaśnienie.

Ale przyznasz chyba, że to nie jest normalne, prawda?

Tak patrzę na te Wasze zgłoszenia i tak się zastanawiam czy czasem Norton nie robi Was w konia? Czy ipconfig w cmd też pokazuje DNSy od utopia.net? Na Linuxie też Wam to rozgłasza?
Nigdzie w sieci nie widzę aby ktoś też zgłaszał, że ma taki problem więc się zastanawiam

Strifer napisał:

Ale przyznasz chyba, że to nie jest normalne, prawda?

Masz aktywne IPv6, to już masz problemy.
I dotyczy to każdego z Was, z aktywnym IPv6.
Kontakt z operatorem i ma to wyłączyć, zostawiając tylko IPv4.