[Mis à jour le 19 décembre 2016 pour refléter des données supplémentaires reçues de l’un des courtiers de trafic touchés et détectées par notre propre infrastructure. Nous tenons à remercier Fogzy pour les informations fournies au sujet de cette activité malveillante ainsi que pour sa prompte intervention destinée à bloquer le trafic touchant son réseau.]
Introduction : de nouvelles attaques contre les routeurs SoHo
Les chercheurs de Proofpoint ont signalé fréquemment cette année le recul des kits d’exploitation de vulnérabilités (EK, Exploit Kit). Ces kits demeurent cependant une composante essentielle des publicités malveillantes, exposant ainsi par ce biais un grand nombre d’utilisateurs à des malwares. Depuis la fin octobre, nous avons observé l’emploi d’une version améliorée du kit DNSChanger[1] dans des campagnes de publicité malveillante en cours. DNSChanger s’attaque aux routeurs Internet via les navigateurs web des victimes potentielles. Le kit n’exploite pas des failles du navigateur ou du terminal mais plutôt du routeur SOHO de la victime (particulier, travailleur à domicile ou TPE). Le plus souvent, DNSChanger passe par le navigateur Chrome sur les ordinateurs Windows et les appareils Android. Une fois le routeur infecté, tous les utilisateurs se connectant au routeur, quel que soit leur système d’exploitation ou leur navigateur, sont vulnérables à des attaques et à d’autres publicités malveillantes.
Les attaques de routeurs paraissent se produire par vagues, probablement associées à des campagnes de publicité malveillantes se prolongeant pendant plusieurs jours. Des similitudes dans les schémas d’attaque et les chaînes d’infection nous ont amenés à la conclusion que les auteurs de ces campagnes étaient également responsables des opérations « CSRF (Cross-Site Request Forgery) Soho Pharming » au premier semestre 2015[1].
Toutefois, nous avons découvert plusieurs perfectionnements dans la mise en œuvre de ces attaques, notamment :
- La résolution DNS externe pour les adresses internes.
- L’utilisation de la stéganographie pour masquer
* une clé AES servant à décrypter la liste des empreintes/identifiants par défaut et des résolutions locales,
* la configuration des commandes envoyées pour attaquer les routeurs ciblés.
- L’ajout de dizaines de vulnérabilités récentes de routeurs : il existe aujourd’hui 166 empreintes, dont certaines fonctionnent pour plusieurs modèles de routeurs, contre 55 en 2015. Par exemple, certaines comme celle ciblant le modèle Comtrend ADSL Router CT-5367/5624 dataient de quelques semaines (plus précisément du 13 septembre 2016) lorsque l’attaque a commencé autour du 28 octobre.
- Lorsqu’il en a la possibilité (dans 36 cas observés), le kit d’exploitation modifie les règles réseau pour rendre les ports d’administration accessibles à partir d’adresses externes, exposant ainsi le routeur à d’autres attaques telles que celles perpétrées par les botnets Mirai[2].
- La chaîne de publicité malveillante inclut désormais aussi les appareils Android.
Anatomie des attaques récentes contre les routeurs SoHoLa
La chaîne d’attaque piège les réseaux des victimes à travers des sites web authentiques hébergeant des publicités malveillantes diffusées à leur insu par des agences de bonne foi. La chaîne d’attaque complète est illustrée par la Figure 1.
Figure 1 – Illustration de la chaîne d’attaque complète
La Figure 2 présente un exemple de trafic capturé associé à cette attaque :
Figure 2 – Trafic associé à l’attaque DNSChanger contre un routeur SOHO
Analyse de l’attaque
La publicité malveillante détectée sur les ordinateurs comme sur les appareils mobiles envoie du trafic au kit DNSChanger. Nous avons pu confirmer que l’attaque fonctionne sur Google Chrome pour Windows ainsi que pour Android.
DNSChanger utilise webRTC pour envoyer une requête à un serveur STUN via stun.services.mozilla[.]com et déterminer l’adresse IP locale de la victime. Si son adresse IP publique est déjà connue ou que son adresse IP locale ne figure pas dans les plages ciblées, l’utilisateur est dirigé vers une destination leurre où une publicité authentique d’une agence tierce est affichée.
Si le logiciel client passe ce contrôle, alors une fausse publicité est présentée à la victime. JavaScript extrait du code HTML du champ de commentaires du fichier PNG, renvoyant la victime vers la page web du kit DNSChanger. A noter que l’image numérotée (1) sur la Figure 3 est un faux fichier JPG (en réalité un PNG).
Figure 3 – Fausse publicité contenant du code qui, une fois extrait, permet la redirection vers le kit DNSChanger (novembre 2016)
Le kit DNSChanger va une fois encore vérifier l’adresse IP locale de la victime via des requêtes STUN. Il charge ensuite plusieurs fonctions, ainsi qu’une clé AES dissimulée par stéganographie dans une petite image.
Figure 4 – Fonction extrayant la clé AES qui sert à décoder les empreintes et les commandes associées
Cette clé servira à décrypter la liste des empreintes qui peuvent être dédupliquées en 129 éléments (voir la liste complète en annexe).
Figure 5 – Fonctions utilisées pour déterminer les routeurs disponibles au domicile ou au bureau des victimes
Le navigateur de la victime tente ensuite de localiser et d’identifier le routeur utilisé sur le réseau (Fig. 5).
Après avoir exécuté les fonctions de reconnaissance, le navigateur rend compte au kit DNSChanger, qui renvoie les instructions adéquates pour lancer une attaque sur le routeur.
Figure 6 – Configuration de l’attaque après extraction de l’image et décodage AES
Figure 7 – Exemple de commande d’attaque
Cette attaque est déterminée par le modèle particulier de routeur détecté pendant la phase de reconnaissance. En l’absence de vulnérabilité connue, l’attaque tente d’utiliser des identifiants par défaut. Dans le cas contraire, elle exploite une faille connue afin de modifier les entrées DNS dans le routeur et, lorsque cela est possible (ce qui a été observé pour 36 empreintes sur les 129 disponibles à l’époque), l’attaque tente de rendre les ports d’administration accessibles à partir d’adresses externes, exposant ainsi le routeur à d’autres attaques comme celles des botnets Mirai [2].
Figure 8 – Exemple d’instruction de mappage de port après décodage
Figure 9 – Tentative par le kit DNSChanger de mapper le port d’administration telnet sur le port externe TCP 8780 comme le montre le trafic capturé
Après l’infection : des problèmes pour la sécurité des routeurs
Si les objectifs d’une attaque de ce type – qui modifie les enregistrements DNS sur un routeur – ne sont pas toujours clairs, nous avons néanmoins pu, dans ce cas précis, en déterminer au moins une motivation. En étudiant les différences dans les résultats de résolution DNS entre un serveur DNS public fiable et certains serveurs pirates identifiés dans ces campagnes, nous avons découvert que les auteurs de l’attaque cherchaient principalement à détourner le trafic de plusieurs grandes agences publicitaires web, notamment :
Agence |
Site(s) |
Rang Alexa |
Propellerads |
onclickads.net |
32 |
Popcash |
popcash.net |
170 |
Taboola |
cdn.taboola.com |
278 |
OutBrain |
widgets.outbrain.com |
146 |
AdSupply |
cdn.engine.4dsply.com cdn.engine.phn.doublepimp.com |
362 245 |
Les attaquants forcent la résolution du domaine correspondant sur 193.238.153[.]10 ou 46.166.160[.]187. En fonction des domaines, cela peut avoir pour but de modifier le comportement d’une publicité et le site web cible (par exemple, tout clic sur la page peut ouvrir une fenêtre popup) ou d’y substituer une autre annonce.
Figure 10 – Publicité modifiée par les auteurs de l’attaque
Au moment de notre étude, le trafic était redirigé vers Fogzy (a.rfgsi[.]com) et TrafficBroker. Nous avons contacté ces deux agences afin d’obtenir des informations supplémentaires et de leur signaler le vol de trafic sur leurs réseaux.
Routeurs touchés et contre-mesures
Il n’est pas possible de dresser une liste exhaustive des routeurs touchés car il n’existe plus de lien évident, du côté des victimes, entre les empreintes et les routeurs associés : cette association claire a été retirée du kit DNSChanger à la mi-2015 et une investigation plus approfondie sortait du champ de notre analyse. Cependant, l’approche la plus sûre pour l’utilisateur final est de considérer que toutes les vulnérabilités connues sont intégrées dans ce type de kit d’exploitation, par conséquent tous les routeurs doivent être mis à jour avec la dernière version publiée de leur firmware.
Nous avons pu identifier plusieurs routeurs vulnérables nouvellement ajoutés à la liste :
- D-Link DSL-2740R
- COMTREND ADSL Router CT-5367 C01_R12
- NetGear WNDR3400v3 (et vraisemblablement d’autres modèles dans cette série)
- Pirelli ADSL2/2+ Wireless Router P.DGA4001N
- Netgear R6200
Une faille Zero Day pour les modèles Netgear R7000, R6400[4] et d’autres a été documentée récemment par d’autres chercheurs. Nous avons vérifié la présence d’empreintes associées à ces modèles dans DNSChanger mais n’en avions pas trouvé à la date du 12 décembre 2016. Néanmoins, nous conseillons vivement aux utilisateurs de suivre les instructions de l’US-CERT[5] afin de désactiver le serveur Web sur les routeurs Netgear touchés[6] car nous pouvons nous attendre à voir cette faille s’ajouter très prochainement dans le kit. Netgear a également mis à la disposition des utilisateurs des versions bêta de son firmware qui corrigent ces vulnérabilités[8].
Dans de nombreux cas, il suffit de désactiver l’administration à distance sur les routeurs pour renforcer leur sécurité. En l’occurrence, cependant, les auteurs de l’attaque utilisent une connexion filaire ou sans fil à partir d’un équipement du réseau. Par conséquent, ils n’ont pas besoin que l’administration à distance soit activée pour parvenir à modifier les paramètres du routeur.
Malheureusement, il n’y pas de solution simple pour se protéger contre ces attaques. L’application des plus récentes mises à jour des routeurs reste le meilleur moyen d’éviter les vulnérabilités. La modification de la plage d’adresses IP locales par défaut, dans ce cas précis, peut également apporter une certaine protection. Aucune de ces actions, toutefois, n’est généralement effectuée par l’utilisateur lambda d’un routeur SOHO. En conséquence, il appartient aussi aux fabricants de concevoir des mécanismes qui simplifient les mises à jour de leur matériel par les utilisateurs.
En outre, même si nous sommes conscients de l’importance de la publicité pour l’écosystème du Web, l’installation d’un bloqueur dans le navigateur peut, dans certains cas, prévenir ce type d’attaques lorsqu’elles passent par des publicités malveillantes.
Conclusion
Lorsque les auteurs d’une attaque prennent le contrôle du serveur DNS sur un réseau, ils se donnent la possibilité d’exécuter un vaste éventail d’actions malveillantes sur les équipements se connectant à ce réseau (fraudes bancaires, attaques de type « man in the middle », phishing[7], publicités malveillantes, etc). En l’occurrence, le kit DNSChanger leur permet d’exploiter les failles de ce qui est souvent le seul serveur DNS sur un réseau SOHO, la box Internet elle-même. En général, pour éviter ces attaques, il faut que les fabricants de routeurs corrigent régulièrement leur firmware et que les utilisateurs appliquent tout aussi régulièrement ces correctifs. Les vulnérabilités des routeurs ont un impact, non seulement sur les utilisateurs du réseau, mais potentiellement sur d’autres en dehors de celui-ci si les routeurs sont piratés et utilisés par un botnet. Si la responsabilité des mises à jour du firmware incombe aux utilisateurs, les équipementiers doivent quant à eux simplifier et intégrer la sécurité dès le départ, en particulier sur les modèles conçus pour le marché SOHO.
[Mise à jour du 19 décembre 2016]
A la date du 16 décembre, les campagnes de publicité malveillante propageant le kit DNSChanger paraissent avoir cessé et le kit DNSChanger semble ne plus être en ligne. Cependant, tous les routeurs piratés précédemment peuvent toujours se trouver sous le contrôle des assaillants. A l’heure où nous écrivons, au moins 56 000 routeurs ont été infectés mais nous nous attendons à un nombre considérablement supérieur. D’après les données fournies par l’un des courtiers de trafic auprès de qui les auteurs des attaques volaient du trafic publicitaire, nous constatons que les campagnes ont été en fait largement réparties à travers le monde (Figure A). Il est à noter que les pourcentages indiqués sur chacun des graphiques ci-dessous reflètent la répartition du trafic provenant des routeurs infectés par le kit DNSChanger. Par ailleurs, un seul des deux courtiers de trafic touchés avait mis ses données à notre disposition au moment de cette publication, de sorte que la combinaison des données pour l’ensemble des routeurs touchés pourrait aboutir à des répartitions différentes.
Figure A – Répartition géographique du trafic provenant des routeurs infectés par le kit DNSChanger
La Figure B présente la répartition de trafic par type d’appareil accédant au réseau local derrière les routeurs infectés :
Figure B – Trafic par plate-forme matérielle
Il est à noter que près de 74 % du trafic issu des routeurs infectés provenait du navigateur Google Chrome. Cependant, cela peut simplement être le reflet d’une tendance à l’adoption plus vaste de ce navigateur plutôt que d’un ciblage spécifique : Chrome est en effet majoritaire sur les mobiles comme sur les ordinateurs, les deux plates-formes étant prises en compte sur ce graphique.
Figure C – Trafic par navigateur web
Enfin, parmi les appareils mobiles renvoyés vers le courtier de trafic par les routeurs infectés, nous observons une diversité considérable des systèmes touchés.
Figure D – Trafic par système d’exploitation mobile
Nous allons continuer de surveiller l’activité de ce groupe malveillant et de ce kit d’exploitation.
Références
[1] http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html
[2] https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html
[3] https://www.kb.cert.org/vuls/id/582384
[4] http://thehackernews.com/2016/12/netgear-router-hacking.html
[5] https://www.kb.cert.org/vuls/id/582384
[6] http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/
[7] https://www.proofpoint.com/us/threat-insight/post/Phish-Pharm
[8] http://kb.netgear.com/000036386/CVE-2016-582384
Indicateurs de compromission
Domaine | Adresse IP |
Commentaire |
modificationserver.com | 93.115.28.248 |
2e étape du malvertising avant le kit d'exploit - 12/2016 |
expensiveserver.com | 46.28.67.21 |
1ère étape du malvertising avant le kit d'exploit - 12/2016 |
immediatelyserver.com |
Malvertising avant le kit d'exploit - 11/2016 |
respectsserver.com | 217.12.220.127 |
1ère étape du malvertising avant le kit d'exploit - 10/2016 |
ad.reverencegserver.com |
2e étape du malvertising avant le kit d'exploit - 10/2016 |
parametersserver.com|93.115.28.249 |
Kit d'exploit DNSChanger / RouterEK - 12/2016 |
phosphateserver.com |
Kit d'exploit DNSChanger/RouterEK - 11/2016 |
cigaretteinserver.com |
Kit d'exploit DNSChanger / RouterEK - 10/2016 |
De 46.17.102.10 à 24 |
Serveurs DNS non autorisés |
De 5.39.220.117 à 126 |
Serveurs DNS non autorisés |
De 217.12.218.114 à 121 |
Serveurs DNS non autorisés |
De 93.115.31.194 à 244 |
Serveurs DNS non autorisés |
193.238.153.10 et 46.166.160.187 |
Adresse IP de substitution pour le trafic cible (usurpation de serveur) Le trafic destiné à cet hôte est plus probablement un symptôme d'entrées DNS modifiées au niveau du routeur. |
pix1.payswithservers.com |
Domaine externe pour 192.168.1.1 |
pix2.payswithservers.com |
Domaine externe pour 192.168.8.1 |
pix3.payswithservers.com |
Domaine externe pour 192.168.178.1 |
pix4.payswithservers.com |
Domaine externe pour 192.168.0.1 |
pix5.payswithservers.com |
Domaine externe pour 192.168.10.1 |
pix6.payswithservers.com |
Domaine externe pour 192.168.137.1 |
pix7.payswithservers.com |
Domaine externe pour 10.10.10.1 |
pix8.payswithservers.com |
Domaine externe pour 192.168.100.1 |
pix9.payswithservers.com |
Domaine externe pour 10.1.1.1 |
pix10.payswithservers.com |
Domaine externe pour 10.0.0.1 |
pix11.payswithservers.com |
Domaine externe pour 192.168.2.1 |
pix12.payswithservers.com |
Domaine externe pour 192.168.254.1 |
pix13.payswithservers.com |
Domaine externe pour 192.168.11.1 |
pix14.payswithservers.com |
Domaine externe pour 192.168.3.1 |
sub[i].domain254.com pour 0 < i < 18 |
Sans résolution |
sub16.domain.com |
Résolution en 66.96.162.92 |
sub17.domain.com |
Résolution en 66.96.162.92 |
Signatures Select ET
2023473 || Page d'arrivée secondaire kit d'exploit DNSChanger ET CURRENT_EVENTS 31 octobre 2016
2021090 || Page d'arrivée kit d'exploit DNSChanger ET CURRENT_EVENTS 12 mai 2015
2023466 || Tentative de modification DNS à distance ET EXPLOIT D-Link DSL-2740R
2020487 || ET EXPLOIT Requête GET de modification DNS sur le routeur ADSL générique
2020488 || ET EXPLOIT Requête POST de modification DNS sur le routeur ADSL générique
2020854 || Modificateur DNS du routeur ET CURRENT_EVENTS DRIVEBY 07 avril 2015
2020856 || ET EXPLOIT Requête GET de modification DNS sur le routeur TP-LINK TL-WR340G
2020857 || ET EXPLOIT Requête POST de modification DNS sur le routeur Belkin Wireless G
2020858 || ET EXPLOIT Requête POST modification DNS sur le routeur Linksys WRT54GL
2020859 || ET EXPLOIT Requête POST de modification DNS sur le routeur Netgear WNDR
2020861 || ET EXPLOIT - Requête GET de modification DNS sur le routeur Motorola SBG900
2020862 || ET EXPLOIT - Requête 1 GET de modification DNS sur le routeur ASUS RT N56U
2020863 || ET EXPLOIT Requête 2 GET de modification DNS sur le routeur ASUS RT N56U
2020871 || ET EXPLOIT Requête 3 GET de modification DNS sur le routeur ASUS RT N56U
2020873 || ET EXPLOIT Requête GET de modification DNS sur le routeur malveillant connu D-link DI604
2020874 || ET EXPLOIT Requête GET de modification DNS sur le routeur Netgear DGN1000B
2020875 || ET EXPLOIT Requête GET de modification DNS sur le routeur Belkin G F5D7230-4
2020876 || ET EXPLOIT Requête GET de modification DNS sur le routeur Tenda ADSL2/2+
2020877 || ET EXPLOIT Requête GET de modification DNS sur les routeurs malveillants connus
2020878 || ET EXPLOIT Requête GET de modification DNS sur le routeur TP-LINK TL-WR841N
2020896 || ET CURRENT_EVENTS DRIVEBY Modificateur DNS sur le routeur - 07 avril 2015 M2
2023467 || ET EXPLOIT Tentative de modification DNS à distance sur le routeur ADSL CT-5367 COMTREND
2023468 || ET EXPLOIT Tentative de modification DNS à distance sur un routeur inconnu
2023628 || ET EXPLOIT Exploit d'injection de commandes dans le routeur Netgear R7000
2823788 || Serveur DNS non autorisé ETPRO TROJAN DNSChanger (Recherche A)
2823811 || Serveur 1 publicité frauduleuse réponse DNS DNSChanger EK ETPRO CURRENT_EVENTS, 12 décembre 2016
2823812 || Serveur 2 publicité frauduleuse réponse DNS DNSChanger EK ETPRO CURRENT_EVENTS, 12 décembre 2016
Liste des empreintes :
[-37,"/img/Netgeargenie.png",290,41,"0",0]
[-36,"/UILinksys.gif",165,57,"0",0]
[-32,"/redbull.gif",7,7,"1",0]
[-31,"/settings.gif",654,111,"0",0]
[-30,"/images/img_masthead.jpg",836,92,"0",0]
[-29,"/images/logo.png",183,46,"0",0]
[-28,"/images/top1_1.jpg",280,87,"1",0]
[-27,"/headlogoa.gif",370,78,"0",0]
[-26,"/image/logo_gn.gif",101,51,"0",0]
[-25,"/bg_logo.jpg",858,82,"0",0]
[-24,"/image/tops.gif",450,92,"0",0]
[-23,"/graphics/banner.png",1024,70,"1",0]
[-22,"/img/loading.gif",32,32,"0",0]
[-21,"/logo_corp.gif",95,50,"1",0]
[-20,"/img/banner.gif",778,60,"0",0]
[-19,"/down_02.jpg",133,75,"0",0]
[-18,"/redbull.gif",7,7,"0",0]
[-17,"/pic/head_01.gif",162,92,"0",0]
[-16,"/image/linksys_logo.png",230,30,"0",0]
[-15,"/file/Comtrend_banner.jpg",897,70,"1",0]
[-13,"/logo.gif",371,38,"1",0]
[-12,"/image/top/NETGEAR_Genie.png",512,60,"1",0]
[-11,"/img/Netgeargenie.png",290,41,"",0]
[-10,"/tmp.gif",700,54,"1",0]
[-9,"/wlan_masthead.gif",836,92,"0",0]
[-8,"/images/logo.png",146,38,"0",0]
[-6,"/image/top/logo.gif",300,38,"0",0]
[-4,"/button_log_in.gif",70,21,"0",0]
[-3,"/image/UI_Linksys.gif",166,58,"1",0]
[-2,"/smclg.gif",133,59,"0",0]
[-1,"/themes/TM04/Drift-logo.png",300,89,"0",0]
[0,"/graphics/topbar.jpg",900,69,"1",1]
[1,"/graphics/young.png",128,96,"1",0]
[2,"/images/bg_stripes.png",50,50,"1",0]
[3,"/image/logo.png",271,43,"0",0]
[5,"/images/logo.gif",133,59,"0",0]
[8,"/img/tenda-logo-big.png",199,45,"0",0]
[9,"/images/main_welcome.gif",850,179,"1",1]
[11,"/image/UI_Linksys.gif",288,58,"0",0]
[12,"/Images/img_masthead_red.gif",856,92,"0",0]
[13,"/settings.gif",750,85,"0",0]
[14,"/images/top-02.gif",359,78,"1",0]
[15,"/UI_Linksys.gif",165,57,"1",0]
[16,"/set_bt.gif",93,52,"0",1]
[18,"/images/top1_1.jpg",208,85,"1",0]
[19,"/graphics/head_logo.gif",121,64,"0",0]
[20,"/images/top1_1.jpg",280,87,"0",0]
[21,"/router_logo.jpg",79,50,"1",0]
[22,"/graphics/gui_admin_login.jpg",283,120,"0",0]
[23,"/ag_logo.jpg",164,91,"1",0]
[24,"/images/head_logo.gif",312,68,"0",0]
[25,"/menu-images/logo.gif",169,50,"1",0]
[28,"/image/UI_Linksys.gif",288,58,"1",0]
[29,"/Images/Logo.gif",143,33,"0",0]
[30,"/images/logo.gif",169,50,"0",0]
[31,"/pic/logo.png",287,69,"0",0]
[32,"/spin.gif",16,16,"1",0]
[33,"/icons/top_left.png",300,96,"1",0]
[34,"/headlogo.gif",121,64,"0",0]
[35,"/pictures/home.jpg",255,41,"1",0]
[37,"/images/new_qanner.gif",840,92,"0",0]
[38,"/zyxellg.gif",169,50,"0",0]
[39,"/imagesV/vlogo_blk.jpg",185,40,"0",0]
[40,"/images/New_ui/asustitle.png",218,54,"0",0]
[41,"/images/New_ui/asustitle_changed.png",218,54,"0",0]
[45,"/images/date_bg.png",71,70,"0",0]
[47,"/graphic/head_04.gif",836,92,"0",0]
[49,"/image/logo.gif",390,69,"0",0]
[50,"/images/data_1_voda.gif",149,28,"0",0]
[51,"/images/logo_wind.gif",156,28,"0",0]
[53,"/pic/ag_logo.jpg",164,91,"0",0]
[54,"/banner_s.gif",126,65,"1",0]
[55,"/logo.gif",270,69,"0",0]
[56,"/logo_320x23.png",320,23,"0",0]
[58,"/image/UI_Linksys.gif",165,57,"1",0]
[59,"/file/int_logo_4_firmware.gif",366,66,"1",0]
[61,"/images/header.jpg",800,70,"0",0]
[62,"/images/btn_apply.png",61,20,"0",0]
[63,"/tendalogo.gif",387,90,"0",0]
[64,"/file/Logo.gif",216,83,"1",0]
[65,"/body/logo.jpg",154,118,"0",0]
[68,"/head_logo_p1_encore.jpg",92,72,"0",0]
[69,"/images/UI_Linksys.gif",288,57,"0",0]
[70,"/images/title_2.gif",321,28,"1",0]
[71,"/home_01.gif",765,95,"0",0]
[74,"/wlan_masthead.gif",836,85,"0",0]
[75,"/settingsDGND3300.jpg",799,97,"0",0]
[76,"/main/banner_files/bannertxt.gif",672,40,"0",0]
[77,"/html/images/dsl604.jpg",765,95,"1",0]
[79,"/head_logo.gif",140,64,"0",0]
[80,"/images/logo.jpg",270,69,"0",0]
[81,"/images/logo_netis.png",121,31,"0",0]
[82,"/images/icon-Change_pencil.png",18,18,"0",0]
[83,"/logo1.gif",207,105,"0",0]
[85,"/images/icon_now.gif",14,14,"0",0]
[87,"/down_02.jpg",135,75,"0",0]
[88,"/Images/logo.gif",270,69,"1",0]
[89,"/UILinksys.gif",166,58,"1",0]
[91,"/image/UI_Linksys.gif",134,58,"1",0]
[92,"/logo.gif",390,69,"0",0]
[93,"/images/icon_now.gif",14,14,"1",0]
[95,"/Images/img_masthead_red.gif",836,92,"0",0]
[97,"/images/topbg.gif",960,66,"0",0]
[99,"/down_02.jpg",133,75,"1",0]
[102,"/images2/main_title.n704bcm.gif",758,74,"0",0]
[104,"/common/images/logo.gif",108,32,"0",0]
[105,"/Images/logo.gif",780,62,"0",0]
[106,"/images2/login_title.n704bcm.gif",299,62,"0",0]
[107,"/images2/login_title.n704a3.gif",299,62,"0",0]
[108,"/file/logo.gif",165,47,"1",0]
[110,"/images/login_title_n104t.gif",299,62,"0",0]
[111,"/img/redbull.gif ",7,7,"1",0]
[112,"/images/head_logo.gif",140,78,"0",0]
[114,"/img/title_RP614v4.gif",750,85,"0",0]
[115,"/UI_Linksys.gif ",273,44,"1",0]
[116,"/logo.gif",318,69,"0",1]
[117,"/pic/img_masthead.gif",836,92,"0",0]
[118,"/images/logo.gif",76,69,"0",0]
[119,"/images/logo_transparent.gif",156,129,"0",0]
[121,"/Images/bg_a1.gif",280,70,"0",0]
[122,"/images/index_wrapper_bg_3347.png",801,325,"0",0]
[123,"/images/vz_logo.gif",185,40,"0",0]
[124,"/file/Manhattan_Banner.png ",452,90,"1",0]
[125,"/Images/Logo.gif",150,47,"0",0]
[126,"/Images/Logo.gif",200,50,"0",0]
[127,"/images/corp_logo.gif",153,42,"0",0]
[128,"/images/logo.png",171,75,"0",0]
[129,"/cornerartD241.jpg",140,90,"0",0]