原po内容大多来自Cisco的第一份分析
这是Cisco的第二份分析，里面有追加机种
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html?m=1
以及SOPHOS的分析
https://news.sophos.com/en-us/2018/05/27/vpnfilter-botnet-a-sophoslabs-analysis-part-2/
大略看了一下
1. 一堆迂回方法到一些网址更新
2. 即使所有网址都被封了，也会设定排程，在某时间偷偷开后门，等著被扫描然后更新
3. 偷塞凭证监听https加密
4. 拥有自杀指令
5. 能读取MTD目前没作用，但这表示可以自我刷机或把路由器清零挂了它
6. 还没人找到它到底是怎么感染的
7. Cisco的名单中有ac66u，Asus大多主流机种韧体都是跟这同模型，所以…
8. SOPHOS的第一个样本来自于台湾XD，台湾是第一梯队XD
9. 由于排程会写进nvram，所以更新韧体后要清除nvram回复出厂设定才能保证干净

Taiwan no.1 (X

那N10E呢？

就算清干净了也不保証不会再中镖

近年的华硕的韧体都嘛是asuswrt做基底的 所以有漏洞的话理论上是高中低阶全机型通通爆炸 话说该不会跟mobile01那篇盖很高楼的N18U被入侵文章有关吧?!文章提到第一份样本是由某台湾的ip提交到VirusTotal上面的可能是某工程师觉得自己设备怪怪的就抓出来扔上去了

最近觉得怪怪的，重设之后感觉好很多

所以也不一定能说台湾是第一波被攻击的国家啦 只能说全球首个发现这个可疑玩意儿的可能是某个台湾人 XD

https://i.imgur.com/y9K0PjR.jpg可是在找重设步骤的文章总觉得这步骤怪怪的开始在重设的时候拔电源机器不会挂点吗？

他这段确实有点怪 通常reset按压完后就是机器自动重开 但照他步骤不会弄挂机器啦 因为会动到的只有存放设定值的nvram韧体本体还健在 跟安卓手机一样 只要不是刷机 管你怎么乱清乱删 都不可能动到系统

原来如此，下次出问题的时候就来试试看好了

一定要reset才能清掉ㄇ? 重启router有没有用?

" target="_blank" rel="nofollow">
所以有需要清除NVRAM拔？！台湾某位工程师越想越不对劲重开机只会回到上面的第2点*第1点第1点不行就会变成第2点新闻稿有说目前攻击乌克兰

要怎么查路由器有没有中毒