linksys e4200 router

TheMoon masken sprider med Linksys routrar

En mask som kallas TheMoon, infekterar Linksys routrar och när routrarna är smittade då det börjar söka efter andra sårbara routrar. För några dagar sedan, en amerikanska flygbolaget varnat redan för masken, som är inriktade på mer routrar då de först deklarerat.

Masken ansluts till port 8080, om via SSL. Då den “/HNAP1 /” URL begärs, som ber om en lista över router funktioner och firmware-versioner. Efter detta, masken skickar en utnyttja till det utsatta CGI-skript som körs på dessa routrar som behöver ingen autentisering.

Sedan körts ett skalskript på routrarna som hämtas av masken på Linksys router. Masken är ca 2MB. När masken är aktivt letar efter andra offer används en lista över 670 olika nätverk, alla har att göra med kabel och DSL-modem för Internet-leverantörer i olika länder. Infekterade routrar används också som en nedladdning plats där nyligen smittade routrar kan hämta masken från.

Månen

Masken var namnet TheMoon eftersom malware innehåller också ett antal HTML-sidor med bilder av filmen “Månen”. Eventuella tecken på en infekterad router är många utgående scan-trafik på port 80 och 8080, och portnummer för inkommande anslutningar på olika portnummer nedan 1024. Exakt vilka modeller är bräcklig och sårbar är ännu inte kända, men enligt den Internet Storm Center följande Linksys modeller kan vara sårbara: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200 , E1000, E900.