проблема вполне реальная... конечно, была ошибка и с нашей стороны, но давайте расскажу по сути:
- причина дешевый китайский роутер с дырявым на смерть Linux'ом... насколько, что не просто он становится частью ботнет для DDoS атак DNS, но и позволяет устанавливать новые приложения на Ваш роутер дистанционно и без каких-либо уведомлений... 
конечно, единственный разумный вариант - срочно отключить всё равно мёртвый девайс...
- конечно, мы исправим алгоритм уведомлений и попытаемся вылавливать и блокировать такие беды в превентивно порядке, но всё равно лучший способ помочь - это именно ОТКЛЮЧИТЬ!!!
господа, пожалуйста, поймите, что роутер - это тот же самый сервер под управлением Linux и его производных со всеми вытекающими потенциальными опасностями, таких как использование их для генерации любого трафика и перехвата любого трафика!!! и есть большая беда, что в настройке роутера НИКАКОЙ СИСАДМИН НЕ ПОМОЖЕТ, если производитель плевал на безопасность!!! Не так давно был аларм по роутером довольно известного производителя (Belkin), что уж говорить о куче китайского барахла под неведомыми брендами... его реально много!!! и оно реально опасно!!!
продолжу мысль про Linux, если кто не догадался... на роутер с кривым софтом злоумышленник может легко установить любое своё приложение (он же получает права администратора!), которое будет делать всё что угодно!!! чаще всего это роботы бот-петов на сегодняшний день... понятно, что ставят их не руками, а программами, которые сначала ищут по сети "дырки", а потом просто заливают туда нужный софт... это реально не так уж и сложно и делается МАССОВО!!! именно это называется "ботнетом", то есть сетью управляемых роботов, которые работают совершенно без ведома владельца...
так что, и сисадмин не поможет и роботам плевать на тех, кто в офисе или квартире... они их НИКОГДА не спрашивают что им можно делать, а что нет...
антивирусники тоже не всегда спасают, а зачастую дают ложную уверенность в безопасности... суть очень проста - антивирусная база обновляется только после того, как люди зафиксировали аномальную активность (ловушек полно, но не стоит думать, что хакеры тупые и спешат в них) и разработали рецепт борьбы ней... даже если это произошло за сутки (на практике часто и годы бывают!!! ), то реальный клиент обновится не сразу... а любой зловредный код в первую очередь блокирует обновление антивирусов, конечно!!! так что по сути это просто гонка в которой шансов у антивирусов на практике очень мало... то есть, если вирус успел раньше, то никакой антивирус уже не помогает...
особенно в случае с DNS ибо там ключевой момент именно перенаправление ВСЕХ DNS запросов на "левый" DNS, который всё отправляет на proxy для генерации мошеннического трафика и перехвата персональных данных... когд интернет был медленным это было очень заметно, сейчас это замечают только специалисты, кто проверяет именно этот вопрос...
по сути вопроса - за сегодня с этой проблемой выявлено и заблокировано было всего 4 (или 3, не помню) клиента, с одним из них работает наш специалист очень плотно, что бы выявить все нюансы поведения трояна...
так же хочется напомнить, что наша компания была первой в обнаружении как минимум 2-х крупных вирусных эпидемий в мире именно за счёт того, что мы выявляем такой трафик и работаем с клиентами, готовыми к сотрудничеству... то есть мы сообщали о вирусах первыми массе разработчиков антивирусов и получали благодарности от них за оперативность... тут случай, конечно, иной... тут мы не знали, что клиенты ставят такие экзотические роутеры...
