TheMoon Wurm verbreitet sich durch Linksys Router

Ein Wurm namens TheMoon, infiziert Linksys Router und wenn die Router werden dann infiziert es beginnt mit der Suche für andere gefährdete Router. Vor einigen Tagen, ein US-Carrier bereits für den Wurm gewarnt, dass zielt mehr Router dann zunächst erklärten sie.

Der Wurm verbindet sich mit Port 8080, ob via SSL. Dann ist die “/HNAP1 /” URL angefordert, was für eine Liste der Router-Funktionen und Firmware-Versionen fragt. Danach, der Wurm sendet einen Exploit, das anfällig CGI-Skript, das läuft auf diesen Router, die keine Authentifizierung benötigt.

Dann ein Shell-Skript ausgeführt wird, auf den Routern, die mit dem Wurm auf dem Linksys-Router heruntergeladen wird. Der Wurm ist ca. 2MB. Sobald der Wurm ist aktiv auf der Suche nach anderen Opfern verwendet es eine Liste von etwa 670 verschiedene Netzwerke, alle mit Kabel- und DSL-Modems für Internet Service Provider in verschiedenen Ländern zu tun haben. Infizierte Router dienen auch als eine Downloadadresse wo neu infizierte Router den Wurm aus herunterladen können.

Der Mond

Der Wurm wurde TheMoon genannt, weil die Malware auch eine Reihe von HTML-Seiten mit Fotos des Films enthält “Der Mond”. Mögliche Anzeichen für eine infizierte Router sind viele ausgehende Scan-Datenverkehr auf port 80 und 8080, und eingehende Verbindungen auf verschiedene Portnummern unter port-Nummer 1024. Genau welche Modelle fragil und verletzlich sind, ist noch nicht bekannt, aber nach der Internet Storm Center die folgenden Modelle Linksys können anfällig sein.: DAS E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200 , E1000, E900.