Linksys e4200 router

Torbens orm spreder sig ved at Linksys routere

En orm alarmeret Britas, inficerer Linksys routere og når routere er smittet så det begynder at søge efter andre udsatte routere. Et par dage siden, en amerikanske luftfartsselskab advaret allerede for ormen, der er rettet mod flere routere så de første erklæret.

Ormen forbinder til port 8080, via SSL eller ej. Så den “/HNAP1 /” URL-adresse er anmodet om, der beder om en liste over router funktioner og firmware-versioner. Efter dette, ormen sender en udnytte til den sårbare CGI-script, der kører på disse routere, der ikke kræver godkendelse.

Så en shell script udføres på routere, der er hentet af ormen på Linksys router. Ormen er omkring 2MB. Når ormen er aktivt på udkig efter andre ofre det bruger en liste på omkring 670 forskellige netværk, som alle har at gøre med kabel- og DSL-modem til Internet-udbydere i forskellige lande. Inficerede routere bruges også som download sted, hvor nyligt inficerede routere kan downloade ormen fra.

Månen

Ormen blev opkaldt TheMoon fordi malware også indeholder en række HTML-sider med fotos af filmen “Månen”. Mulige tegn på en inficeret router er mange udgående scan-trafik på port 80 og 8080, og indgående forbindelser på forskellige portnumre under portnummer 1024. Præcis hvilke modeller er skrøbelig og sårbar er ikke kendt endnu, men ifølge den Internet Storm Center- følgende Linksys modeller kan være sårbare: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200 , E1000, E900.