Les routeurs SOHO attaqués par des publicités malveillantes sur les appareils Windows et Android

[Mis à jour le 19 décembre 2016 pour refléter des données supplémentaires reçues de l’un des courtiers de trafic touchés et détectées par notre propre infrastructure. Nous tenons à remercier Fogzy pour les informations fournies au sujet de cette activité malveillante ainsi que pour sa prompte intervention destinée à bloquer le trafic touchant son réseau.]

Introduction : de nouvelles attaques contre les routeurs SoHo

Les chercheurs de Proofpoint ont signalé fréquemment cette année le recul des kits d’exploitation de vulnérabilités (EK, Exploit Kit). Ces kits demeurent cependant une composante essentielle des publicités malveillantes, exposant ainsi par ce biais un grand nombre d’utilisateurs à des malwares. Depuis la fin octobre, nous avons observé l’emploi d’une version améliorée du kit DNSChanger^[1] dans des campagnes de publicité malveillante en cours. DNSChanger s’attaque aux routeurs Internet via les navigateurs web des victimes potentielles. Le kit n’exploite pas des failles du navigateur ou du terminal mais plutôt du routeur SOHO de la victime (particulier, travailleur à domicile ou TPE). Le plus souvent, DNSChanger passe par le navigateur Chrome sur les ordinateurs Windows et les appareils Android. Une fois le routeur infecté, tous les utilisateurs se connectant au routeur, quel que soit leur système d’exploitation ou leur navigateur, sont vulnérables à des attaques et à d’autres publicités malveillantes.

Les attaques de routeurs paraissent se produire par vagues, probablement associées à des campagnes de publicité malveillantes se prolongeant pendant plusieurs jours. Des similitudes dans les schémas d’attaque et les chaînes d’infection nous ont amenés à la conclusion que les auteurs de ces campagnes étaient également responsables des opérations « CSRF (Cross-Site Request Forgery) Soho Pharming » au premier semestre 2015^[1].

Toutefois, nous avons découvert plusieurs perfectionnements dans la mise en œuvre de ces attaques, notamment :

- La résolution DNS externe pour les adresses internes.

- L’utilisation de la stéganographie pour masquer

* une clé AES servant à décrypter la liste des empreintes/identifiants par défaut et des résolutions locales,

* la configuration des commandes envoyées pour attaquer les routeurs ciblés.

- L’ajout de dizaines de vulnérabilités récentes de routeurs : il existe aujourd’hui 166 empreintes, dont certaines fonctionnent pour plusieurs modèles de routeurs, contre 55 en 2015. Par exemple, certaines comme celle ciblant le modèle Comtrend ADSL Router CT-5367/5624 dataient de quelques semaines (plus précisément du 13 septembre 2016) lorsque l’attaque a commencé autour du 28 octobre.

- Lorsqu’il en a la possibilité (dans 36 cas observés), le kit d’exploitation modifie les règles réseau pour rendre les ports d’administration accessibles à partir d’adresses externes, exposant ainsi le routeur à d’autres attaques telles que celles perpétrées par les botnets Mirai^[2].

- La chaîne de publicité malveillante inclut désormais aussi les appareils Android.

Anatomie des attaques récentes contre les routeurs SoHoLa 

La chaîne d’attaque piège les réseaux des victimes à travers des sites web authentiques hébergeant des publicités malveillantes diffusées à leur insu par des agences de bonne foi. La chaîne d’attaque complète est illustrée par la Figure 1.

Figure 1 – Illustration de la chaîne d’attaque complète

La Figure 2 présente un exemple de trafic capturé associé à cette attaque :

Figure 2 – Trafic associé à l’attaque DNSChanger contre un routeur SOHO

Analyse de l’attaque

La publicité malveillante détectée sur les ordinateurs comme sur les appareils mobiles envoie du trafic au kit DNSChanger. Nous avons pu confirmer que l’attaque fonctionne sur Google Chrome pour Windows ainsi que pour Android.

DNSChanger utilise webRTC pour envoyer une requête à un serveur STUN via stun.services.mozilla[.]com et déterminer l’adresse IP locale de la victime. Si son adresse IP publique est déjà connue ou que son adresse IP locale ne figure pas dans les plages ciblées, l’utilisateur est dirigé vers une destination leurre où une publicité authentique d’une agence tierce est affichée.

Si le logiciel client passe ce contrôle, alors une fausse publicité est présentée à la victime. JavaScript extrait du code HTML du champ de commentaires du fichier PNG, renvoyant la victime vers la page web du kit DNSChanger. A noter que l’image numérotée (1) sur la Figure 3 est un faux fichier JPG (en réalité un PNG).

Figure 3 – Fausse publicité contenant du code qui, une fois extrait, permet la redirection vers le kit DNSChanger (novembre 2016)

Le kit DNSChanger va une fois encore vérifier l’adresse IP locale de la victime via des requêtes STUN. Il charge ensuite plusieurs fonctions, ainsi qu’une clé AES dissimulée par stéganographie dans une petite image.

Figure 4 – Fonction extrayant la clé AES qui sert à décoder les empreintes et les commandes associées

Cette clé servira à décrypter la liste des empreintes qui peuvent être dédupliquées en 129 éléments (voir la liste complète en annexe).

Figure 5 – Fonctions utilisées pour déterminer les routeurs disponibles au domicile ou au bureau des victimes

Le navigateur de la victime tente ensuite de localiser et d’identifier le routeur utilisé sur le réseau (Fig. 5).

Après avoir exécuté les fonctions de reconnaissance, le navigateur rend compte au kit DNSChanger, qui renvoie les instructions adéquates pour lancer une attaque sur le routeur.

Figure 6 – Configuration de l’attaque après extraction de l’image et décodage AES

Figure 7 – Exemple de commande d’attaque

Cette attaque est déterminée par le modèle particulier de routeur détecté pendant la phase de reconnaissance. En l’absence de vulnérabilité connue, l’attaque tente d’utiliser des identifiants par défaut. Dans le cas contraire, elle exploite une faille connue afin de modifier les entrées DNS dans le routeur et, lorsque cela est possible (ce qui a été observé pour 36 empreintes sur les 129 disponibles à l’époque), l’attaque tente de rendre les ports d’administration accessibles à partir d’adresses externes, exposant ainsi le routeur à d’autres attaques comme celles des botnets Mirai ^[2].

Figure 8 – Exemple d’instruction de mappage de port après décodage

Figure 9 – Tentative par le kit DNSChanger de mapper le port d’administration telnet sur le port externe TCP 8780 comme le montre le trafic capturé

Après l’infection : des problèmes pour la sécurité des routeurs

Si les objectifs d’une attaque de ce type – qui modifie les enregistrements DNS sur un routeur – ne sont pas toujours clairs, nous avons néanmoins pu, dans ce cas précis, en déterminer au moins une motivation. En étudiant les différences dans les résultats de résolution DNS entre un serveur DNS public fiable et certains serveurs pirates identifiés dans ces campagnes, nous avons découvert que les auteurs de l’attaque cherchaient principalement à détourner le trafic de plusieurs grandes agences publicitaires web, notamment :

Agence	Site(s)	Rang Alexa
Propellerads	onclickads.net	32
Popcash	popcash.net	170
Taboola	cdn.taboola.com	278
OutBrain	widgets.outbrain.com	146
AdSupply	cdn.engine.4dsply.com cdn.engine.phn.doublepimp.com	362 245

Les attaquants forcent la résolution du domaine correspondant sur 193.238.153[.]10 ou 46.166.160[.]187. En fonction des domaines, cela peut avoir pour but de modifier le comportement d’une publicité et le site web cible (par exemple, tout clic sur la page peut ouvrir une fenêtre popup) ou d’y substituer une autre annonce.

Figure 10 – Publicité modifiée par les auteurs de l’attaque

Au moment de notre étude, le trafic était redirigé vers Fogzy (a.rfgsi[.]com) et TrafficBroker. Nous avons contacté ces deux agences afin d’obtenir des informations supplémentaires et de leur signaler le vol de trafic sur leurs réseaux.

 

Routeurs touchés et contre-mesures

Il n’est pas possible de dresser une liste exhaustive des routeurs touchés car il n’existe plus de lien évident, du côté des victimes, entre les empreintes et les routeurs associés : cette association claire a été retirée du kit DNSChanger à la mi-2015 et une investigation plus approfondie sortait du champ de notre analyse. Cependant, l’approche la plus sûre pour l’utilisateur final est de considérer que toutes les vulnérabilités connues sont intégrées dans ce type de kit d’exploitation, par conséquent tous les routeurs doivent être mis à jour avec la dernière version publiée de leur firmware.

Nous avons pu identifier plusieurs routeurs vulnérables nouvellement ajoutés à la liste :

• D-Link DSL-2740R
• COMTREND ADSL Router CT-5367 C01_R12
• NetGear WNDR3400v3 (et vraisemblablement d’autres modèles dans cette série)
• Pirelli ADSL2/2+ Wireless Router P.DGA4001N
• Netgear R6200

Une faille Zero Day pour les modèles Netgear R7000, R6400^[4] et d’autres a été documentée récemment par d’autres chercheurs. Nous avons vérifié la présence d’empreintes associées à ces modèles dans DNSChanger mais n’en avions pas trouvé à la date du 12 décembre 2016. Néanmoins, nous conseillons vivement aux utilisateurs de suivre les instructions de l’US-CERT^[5] afin de désactiver le serveur Web sur les routeurs Netgear touchés^[6] car nous pouvons nous attendre à voir cette faille s’ajouter très prochainement dans le kit. Netgear a également mis à la disposition des utilisateurs des versions bêta de son firmware qui corrigent ces vulnérabilités^[8].

Dans de nombreux cas, il suffit de désactiver l’administration à distance sur les routeurs pour renforcer leur sécurité. En l’occurrence, cependant, les auteurs de l’attaque utilisent une connexion filaire ou sans fil à partir d’un équipement du réseau. Par conséquent, ils n’ont pas besoin que l’administration à distance soit activée pour parvenir à modifier les paramètres du routeur.

Malheureusement, il n’y pas de solution simple pour se protéger contre ces attaques. L’application des plus récentes mises à jour des routeurs reste le meilleur moyen d’éviter les vulnérabilités. La modification de la plage d’adresses IP locales par défaut, dans ce cas précis, peut également apporter une certaine protection. Aucune de ces actions, toutefois, n’est généralement effectuée par l’utilisateur lambda d’un routeur SOHO. En conséquence, il appartient aussi aux fabricants de concevoir des mécanismes qui simplifient les mises à jour de leur matériel par les utilisateurs.

En outre, même si nous sommes conscients de l’importance de la publicité pour l’écosystème du Web, l’installation d’un bloqueur dans le navigateur peut, dans certains cas, prévenir ce type d’attaques lorsqu’elles passent par des publicités malveillantes.

Conclusion

Lorsque les auteurs d’une attaque prennent le contrôle du serveur DNS sur un réseau, ils se donnent la possibilité d’exécuter un vaste éventail d’actions malveillantes sur les équipements se connectant à ce réseau (fraudes bancaires, attaques de type « man in the middle », phishing^[7], publicités malveillantes, etc). En l’occurrence, le kit DNSChanger leur permet d’exploiter les failles de ce qui est souvent le seul serveur DNS sur un réseau SOHO, la box Internet elle-même. En général, pour éviter ces attaques, il faut que les fabricants de routeurs corrigent régulièrement leur firmware et que les utilisateurs appliquent tout aussi régulièrement ces correctifs. Les vulnérabilités des routeurs ont un impact, non seulement sur les utilisateurs du réseau, mais potentiellement sur d’autres en dehors de celui-ci si les routeurs sont piratés et utilisés par un botnet. Si la responsabilité des mises à jour du firmware incombe aux utilisateurs, les équipementiers doivent quant à eux simplifier et intégrer la sécurité dès le départ, en particulier sur les modèles conçus pour le marché SOHO.

[Mise à jour du 19 décembre 2016]

A la date du 16 décembre, les campagnes de publicité malveillante propageant le kit DNSChanger paraissent avoir cessé et le kit DNSChanger semble ne plus être en ligne. Cependant, tous les routeurs piratés précédemment peuvent toujours se trouver sous le contrôle des assaillants. A l’heure où nous écrivons, au moins 56 000 routeurs ont été infectés mais nous nous attendons à un nombre considérablement supérieur. D’après les données fournies par l’un des courtiers de trafic auprès de qui les auteurs des attaques volaient du trafic publicitaire, nous constatons que les campagnes ont été en fait largement réparties à travers le monde (Figure A). Il est à noter que les pourcentages indiqués sur chacun des graphiques ci-dessous reflètent la répartition du trafic provenant des routeurs infectés par le kit DNSChanger. Par ailleurs, un seul des deux courtiers de trafic touchés avait mis ses données à notre disposition au moment de cette publication, de sorte que la combinaison des données pour l’ensemble des routeurs touchés pourrait aboutir à des répartitions différentes.

Figure A – Répartition géographique du trafic provenant des routeurs infectés par le kit DNSChanger

La Figure B présente la répartition de trafic par type d’appareil accédant au réseau local derrière les routeurs infectés :

Figure B – Trafic par plate-forme matérielle

Il est à noter que près de 74 % du trafic issu des routeurs infectés provenait du navigateur Google Chrome. Cependant, cela peut simplement être le reflet d’une tendance à l’adoption plus vaste de ce navigateur plutôt que d’un ciblage spécifique : Chrome est en effet majoritaire sur les mobiles comme sur les ordinateurs, les deux plates-formes étant prises en compte sur ce graphique.

Figure C – Trafic par navigateur web

Enfin, parmi les appareils mobiles renvoyés vers le courtier de trafic par les routeurs infectés, nous observons une diversité considérable des systèmes touchés.

Figure D – Trafic par système d’exploitation mobile

Nous allons continuer de surveiller l’activité de ce groupe malveillant et de ce kit d’exploitation.

Références

[1] http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html

[2] https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html

[3] https://www.kb.cert.org/vuls/id/582384

[4] http://thehackernews.com/2016/12/netgear-router-hacking.html

[5] https://www.kb.cert.org/vuls/id/582384

[6] http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/

[7] https://www.proofpoint.com/us/threat-insight/post/Phish-Pharm

[8] http://kb.netgear.com/000036386/CVE-2016-582384

Indicateurs de compromission

Domaine | Adresse IP	Commentaire
modificationserver.com | 93.115.28.248	2e étape du malvertising avant le kit d'exploit - 12/2016
expensiveserver.com | 46.28.67.21	1ère étape du malvertising avant le kit d'exploit - 12/2016
immediatelyserver.com	Malvertising avant le kit d'exploit - 11/2016
respectsserver.com | 217.12.220.127	1ère étape du malvertising avant le kit d'exploit - 10/2016
ad.reverencegserver.com	2e étape du malvertising avant le kit d'exploit - 10/2016
parametersserver.com|93.115.28.249	Kit d'exploit DNSChanger / RouterEK - 12/2016
phosphateserver.com	Kit d'exploit DNSChanger/RouterEK - 11/2016
cigaretteinserver.com	Kit d'exploit DNSChanger / RouterEK - 10/2016
De 46.17.102.10 à 24	Serveurs DNS non autorisés
De 5.39.220.117 à 126	Serveurs DNS non autorisés
De 217.12.218.114 à 121	Serveurs DNS non autorisés
De 93.115.31.194 à 244	Serveurs DNS non autorisés
193.238.153.10 et 46.166.160.187	Adresse IP de substitution pour le trafic cible (usurpation de serveur) Le trafic destiné à cet hôte est plus probablement un symptôme d'entrées DNS modifiées au niveau du routeur.
pix1.payswithservers.com	Domaine externe pour 192.168.1.1
pix2.payswithservers.com	Domaine externe pour 192.168.8.1
pix3.payswithservers.com	Domaine externe pour 192.168.178.1
pix4.payswithservers.com	Domaine externe pour 192.168.0.1
pix5.payswithservers.com	Domaine externe pour 192.168.10.1
pix6.payswithservers.com	Domaine externe pour 192.168.137.1
pix7.payswithservers.com	Domaine externe pour 10.10.10.1
pix8.payswithservers.com	Domaine externe pour 192.168.100.1
pix9.payswithservers.com	Domaine externe pour 10.1.1.1
pix10.payswithservers.com	Domaine externe pour 10.0.0.1
pix11.payswithservers.com	Domaine externe pour 192.168.2.1
pix12.payswithservers.com	Domaine externe pour 192.168.254.1
pix13.payswithservers.com	Domaine externe pour 192.168.11.1
pix14.payswithservers.com	Domaine externe pour 192.168.3.1
sub[i].domain254.com pour   0 < i < 18	Sans résolution
sub16.domain.com	Résolution en 66.96.162.92
sub17.domain.com	Résolution en 66.96.162.92

Signatures Select ET

2023473 || Page d'arrivée secondaire kit d'exploit DNSChanger ET CURRENT_EVENTS 31 octobre 2016

2021090 || Page d'arrivée kit d'exploit DNSChanger ET CURRENT_EVENTS 12 mai 2015

2023466 || Tentative de modification DNS à distance ET EXPLOIT D-Link DSL-2740R

2020487 || ET EXPLOIT Requête GET de modification DNS sur le routeur ADSL générique

2020488 || ET EXPLOIT Requête POST de modification DNS sur le routeur ADSL générique

2020854 || Modificateur DNS du routeur ET CURRENT_EVENTS DRIVEBY 07 avril 2015

2020856 || ET EXPLOIT Requête GET de modification DNS sur le routeur TP-LINK TL-WR340G

2020857 || ET EXPLOIT Requête POST de modification DNS sur le routeur Belkin Wireless G

2020858 || ET EXPLOIT Requête POST modification DNS sur le routeur Linksys WRT54GL

2020859 || ET EXPLOIT Requête POST de modification DNS sur le routeur Netgear WNDR

2020861 || ET EXPLOIT - Requête GET de modification DNS sur le routeur Motorola SBG900

2020862 || ET EXPLOIT - Requête 1 GET de modification DNS sur le routeur ASUS RT N56U

2020863 || ET EXPLOIT Requête 2 GET de modification DNS sur le routeur ASUS RT N56U

2020871 || ET EXPLOIT  Requête 3 GET de modification DNS sur le routeur ASUS RT N56U

2020873 || ET EXPLOIT Requête GET de modification DNS sur le routeur malveillant connu D-link DI604

2020874 || ET EXPLOIT Requête GET de modification DNS sur le routeur Netgear DGN1000B

2020875 || ET EXPLOIT Requête GET de modification DNS sur le routeur Belkin G F5D7230-4

2020876 || ET EXPLOIT Requête GET de modification DNS sur le routeur Tenda ADSL2/2+

2020877 || ET EXPLOIT Requête GET de modification DNS sur les routeurs malveillants connus

2020878 || ET EXPLOIT Requête GET de modification DNS sur le routeur TP-LINK TL-WR841N

2020896 || ET CURRENT_EVENTS DRIVEBY Modificateur DNS sur le routeur - 07 avril 2015 M2

2023467 || ET EXPLOIT Tentative de modification DNS à distance sur le routeur ADSL CT-5367 COMTREND

2023468 || ET EXPLOIT Tentative de modification DNS à distance sur un routeur inconnu

2023628 || ET EXPLOIT Exploit d'injection de commandes dans le routeur Netgear R7000

2823788 || Serveur DNS non autorisé ETPRO TROJAN DNSChanger (Recherche A)

2823811 || Serveur 1 publicité frauduleuse réponse DNS DNSChanger EK ETPRO CURRENT_EVENTS, 12 décembre 2016

2823812 || Serveur 2 publicité frauduleuse réponse DNS DNSChanger EK ETPRO CURRENT_EVENTS, 12 décembre 2016

Liste des empreintes :

[-37,"/img/Netgeargenie.png",290,41,"0",0]

[-36,"/UILinksys.gif",165,57,"0",0]

[-32,"/redbull.gif",7,7,"1",0]

[-31,"/settings.gif",654,111,"0",0]

[-30,"/images/img_masthead.jpg",836,92,"0",0]

[-29,"/images/logo.png",183,46,"0",0]

[-28,"/images/top1_1.jpg",280,87,"1",0]

[-27,"/headlogoa.gif",370,78,"0",0]

[-26,"/image/logo_gn.gif",101,51,"0",0]

[-25,"/bg_logo.jpg",858,82,"0",0]

[-24,"/image/tops.gif",450,92,"0",0]

[-23,"/graphics/banner.png",1024,70,"1",0]

[-22,"/img/loading.gif",32,32,"0",0]

[-21,"/logo_corp.gif",95,50,"1",0]

[-20,"/img/banner.gif",778,60,"0",0]

[-19,"/down_02.jpg",133,75,"0",0]

[-18,"/redbull.gif",7,7,"0",0]

[-17,"/pic/head_01.gif",162,92,"0",0]

[-16,"/image/linksys_logo.png",230,30,"0",0]

[-15,"/file/Comtrend_banner.jpg",897,70,"1",0]

[-13,"/logo.gif",371,38,"1",0]

[-12,"/image/top/NETGEAR_Genie.png",512,60,"1",0]

[-11,"/img/Netgeargenie.png",290,41,"",0]

[-10,"/tmp.gif",700,54,"1",0]

[-9,"/wlan_masthead.gif",836,92,"0",0]

[-8,"/images/logo.png",146,38,"0",0]

[-6,"/image/top/logo.gif",300,38,"0",0]

[-4,"/button_log_in.gif",70,21,"0",0]

[-3,"/image/UI_Linksys.gif",166,58,"1",0]

[-2,"/smclg.gif",133,59,"0",0]

[-1,"/themes/TM04/Drift-logo.png",300,89,"0",0]

[0,"/graphics/topbar.jpg",900,69,"1",1]

[1,"/graphics/young.png",128,96,"1",0]

[2,"/images/bg_stripes.png",50,50,"1",0]

[3,"/image/logo.png",271,43,"0",0]

[5,"/images/logo.gif",133,59,"0",0]

[8,"/img/tenda-logo-big.png",199,45,"0",0]

[9,"/images/main_welcome.gif",850,179,"1",1]

[11,"/image/UI_Linksys.gif",288,58,"0",0]

[12,"/Images/img_masthead_red.gif",856,92,"0",0]

[13,"/settings.gif",750,85,"0",0]

[14,"/images/top-02.gif",359,78,"1",0]

[15,"/UI_Linksys.gif",165,57,"1",0]

[16,"/set_bt.gif",93,52,"0",1]

[18,"/images/top1_1.jpg",208,85,"1",0]

[19,"/graphics/head_logo.gif",121,64,"0",0]

[20,"/images/top1_1.jpg",280,87,"0",0]

[21,"/router_logo.jpg",79,50,"1",0]

[22,"/graphics/gui_admin_login.jpg",283,120,"0",0]

[23,"/ag_logo.jpg",164,91,"1",0]

[24,"/images/head_logo.gif",312,68,"0",0]

[25,"/menu-images/logo.gif",169,50,"1",0]

[28,"/image/UI_Linksys.gif",288,58,"1",0]

[29,"/Images/Logo.gif",143,33,"0",0]

[30,"/images/logo.gif",169,50,"0",0]

[31,"/pic/logo.png",287,69,"0",0]

[32,"/spin.gif",16,16,"1",0]

[33,"/icons/top_left.png",300,96,"1",0]

[34,"/headlogo.gif",121,64,"0",0]

[35,"/pictures/home.jpg",255,41,"1",0]

[37,"/images/new_qanner.gif",840,92,"0",0]

[38,"/zyxellg.gif",169,50,"0",0]

[39,"/imagesV/vlogo_blk.jpg",185,40,"0",0]

[40,"/images/New_ui/asustitle.png",218,54,"0",0]

[41,"/images/New_ui/asustitle_changed.png",218,54,"0",0]

[45,"/images/date_bg.png",71,70,"0",0]

[47,"/graphic/head_04.gif",836,92,"0",0]

[49,"/image/logo.gif",390,69,"0",0]

[50,"/images/data_1_voda.gif",149,28,"0",0]

[51,"/images/logo_wind.gif",156,28,"0",0]

[53,"/pic/ag_logo.jpg",164,91,"0",0]

[54,"/banner_s.gif",126,65,"1",0]

[55,"/logo.gif",270,69,"0",0]

[56,"/logo_320x23.png",320,23,"0",0]

[58,"/image/UI_Linksys.gif",165,57,"1",0]

[59,"/file/int_logo_4_firmware.gif",366,66,"1",0]

[61,"/images/header.jpg",800,70,"0",0]

[62,"/images/btn_apply.png",61,20,"0",0]

[63,"/tendalogo.gif",387,90,"0",0]

[64,"/file/Logo.gif",216,83,"1",0]

[65,"/body/logo.jpg",154,118,"0",0]

[68,"/head_logo_p1_encore.jpg",92,72,"0",0]

[69,"/images/UI_Linksys.gif",288,57,"0",0]

[70,"/images/title_2.gif",321,28,"1",0]

[71,"/home_01.gif",765,95,"0",0]

[74,"/wlan_masthead.gif",836,85,"0",0]

[75,"/settingsDGND3300.jpg",799,97,"0",0]

[76,"/main/banner_files/bannertxt.gif",672,40,"0",0]

[77,"/html/images/dsl604.jpg",765,95,"1",0]

[79,"/head_logo.gif",140,64,"0",0]

[80,"/images/logo.jpg",270,69,"0",0]

[81,"/images/logo_netis.png",121,31,"0",0]

[82,"/images/icon-Change_pencil.png",18,18,"0",0]

[83,"/logo1.gif",207,105,"0",0]

[85,"/images/icon_now.gif",14,14,"0",0]

[87,"/down_02.jpg",135,75,"0",0]

[88,"/Images/logo.gif",270,69,"1",0]

[89,"/UILinksys.gif",166,58,"1",0]

[91,"/image/UI_Linksys.gif",134,58,"1",0]

[92,"/logo.gif",390,69,"0",0]

[93,"/images/icon_now.gif",14,14,"1",0]

[95,"/Images/img_masthead_red.gif",836,92,"0",0]

[97,"/images/topbg.gif",960,66,"0",0]

[99,"/down_02.jpg",133,75,"1",0]

[102,"/images2/main_title.n704bcm.gif",758,74,"0",0]

[104,"/common/images/logo.gif",108,32,"0",0]

[105,"/Images/logo.gif",780,62,"0",0]

[106,"/images2/login_title.n704bcm.gif",299,62,"0",0]

[107,"/images2/login_title.n704a3.gif",299,62,"0",0]

[108,"/file/logo.gif",165,47,"1",0]

[110,"/images/login_title_n104t.gif",299,62,"0",0]

[111,"/img/redbull.gif ",7,7,"1",0]

[112,"/images/head_logo.gif",140,78,"0",0]

[114,"/img/title_RP614v4.gif",750,85,"0",0]

[115,"/UI_Linksys.gif ",273,44,"1",0]

[116,"/logo.gif",318,69,"0",1]

[117,"/pic/img_masthead.gif",836,92,"0",0]

[118,"/images/logo.gif",76,69,"0",0]

[119,"/images/logo_transparent.gif",156,129,"0",0]

[121,"/Images/bg_a1.gif",280,70,"0",0]

[122,"/images/index_wrapper_bg_3347.png",801,325,"0",0]

[123,"/images/vz_logo.gif",185,40,"0",0]

[124,"/file/Manhattan_Banner.png ",452,90,"1",0]

[125,"/Images/Logo.gif",150,47,"0",0]

[126,"/Images/Logo.gif",200,50,"0",0]

[127,"/images/corp_logo.gif",153,42,"0",0]

[128,"/images/logo.png",171,75,"0",0]

[129,"/cornerartD241.jpg",140,90,"0",0]