Ja len ohladne tej IP a detekcie, kedze ste sa na to pytali:
Problem je, ze to nie je uplne tak samostatny malware a nevie ani pristupovat do Linuxu cez napriklad SSH alebo telnet.
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1. Tento malware si vyberie a "submitne" (pomocou Javascriptu) prave taky formular, aby vam to zmenilo nastavenia DNS. Z pohladu routeru to nie je utok zvonku - deravy router to vnima ako regulernu zmenu od vas. Preto vadi, aj ked od vas router docasne nepyta heslo (napriklad ste ho v aktualnej session zadali). Kedze submit takehoto skriptu ide "naslepo" a Javascript vobec nema pristup k internetovemu trafficu, tak moze byt problem (v kombinacii s nezaheslovanym routerom alebo moznostou obist heslo) aj default IP ako 192.168.1.1. Zoberte si, ze keby to malo submitovat formular napr. pre vsetky privatne adresy (extrem), tak by to neskoncilo ani za niekolko hodin.
Vy, ktorym to hlasi, ze DNS changer nemate - pozrite sa do routeru na to, ako je tam nastaveny DNS server. Rovnako sa pozrite, ci v routeri nie je este nejaky nepouzivany ucet alebo default heslo.