雷锋网消息，过去几个月里感染了全球 54 个国家超过 50 万台路由器和 NAS 设备的 VPNFilter 恶意软件恐怕还得再肆虐一段时间，它的破坏力可能比我们想象中还强。

　　思科 Talos 团队今天（6 月 7 日）发布了一份最新研究报告，透露了不少有关 VPNFilter 的技术细节。最初，业界普遍认为它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器，但事实上华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴等品牌的产品也难逃魔掌。

　　这样一来，受到波及的设备名单也大幅扩容，从 16 款直接暴增至 71 款，这一数字未来可能还会继续增长（文末附有完整的受影响设备名单）。

　　除此之外，研究人员还发现了 VPNFilter 的新大招，它包装在三级插件中，是该恶意软件三段式部署系统的一部分。

　　ssler—借助中间人攻击在端口 80 拦截和修改网络流量的插件。该插件还支持将 HTTPS 降级至 HTTP。

　　dstr—重写设备固件档案的插件。思科已经发现 VPNFilter 能抹掉设备固件，但在最新的报告中才在三级插件中定位到该功能。

　　ps—能嗅探网络信息包并探测特定网络流量的插件。思科相信，这款插件是用来寻找 Modbus TCP/IP 信息包的，一般为工业软件和 SCADA 设备（监测控制和数据采集）所用。不过，最近的迹象显示，该插件还能搜寻连接在 TP-Link R600 虚拟专用网络上的工业设备。

　　关于 VPNFilter 的技术细节其实已经写入思科的第一份报告了，最新的插件则放在了今天发布的报告中。

　　雷锋网了解到，其实此前研究人员就发现 VPNFilter 的僵尸网络感染了全世界的设备，但当他们发现该网络正在对乌克兰的 IT 基础设施发动攻击，才将该发现公之于众。许多人相信，黑客会在今年的欧冠决赛时发动攻击（在乌克兰基辅举行）。

　　还好，FBI 及时出手，通过控制那台指挥控制服务器打掉了这个僵尸网络。不过，VPNFilter 背后的势力可不弱，它们可能与俄罗斯军队有染。最近，该组织又开始新建另一个僵尸网络，目标还是感染乌克兰的网络。

　　下面是思科公布的最新名单，包含了被 VPNFilter 盯上的路由器和 NAS 设备。上个月思科就表示，VPNFilter 不会利用零日攻击来感染设备，这就意味着所有有漏洞的设备只要升级到最新固件，就能逃脱恶意软件的魔掌。

　　如果用户不能升级固件，或者干脆买个新路由器，也有清除恶意软件的方法。不过，想从受感染设备上清楚恶意软件可不容易，毕竟它只是恶意软件链上的一环，即使杀掉也能在路由器和 IoT 设备上完成持续重启。此外，即使感染了 VPNFilter，路由器也不会出现什么明显“症状”。因此，除非你会扫描路由器固件什么vpn能看国外网站，要不被感染了恐怕你都不知道。所以，最好的办法还是经常检查更新并及时升级最新固件吧。