Linksys e4200 router

TheMoon gusano se propaga por los routers de Linksys

Un gusano llamado TheMoon, infecta routers Linksys y cuando los routers están infectadas entonces comienza a buscar otros routers vulnerables. Hace unos días, un transportista estadounidense ya advirtió de que el gusano, que se dirige a más routers entonces primera declarados.

El gusano se conecta al puerto 8080, sea ​​o no a través de SSL. Entonces el “/HNAP1 /” Se solicita URL, que pide una lista de funciones de router y versiones de firmware. Después de este, el gusano envía un exploit al script CGI vulnerables que se ejecuta en estos routers que no necesita la autenticación.

A continuación, un script de shell se ejecuta en los routers que se descargan por el gusano en el router Linksys. El gusano se trata de 2MB. Una vez que el gusano está buscando activamente otras víctimas que utiliza una lista de alrededor de 670 diferentes redes, todos los cuales tienen que ver con cable y DSL módems para los proveedores de servicios de Internet en diferentes países. Routers infectados también se utilizan como una ubicación de descarga donde routers recién infectadas pueden descargar el gusano.

La luna

El gusano fue nombrado TheMoon porque el malware también contiene una serie de páginas HTML con las fotos de la película “La luna”. Entre los signos posibles de un enrutador infectada son muchas saliente scan-tráfico en el puerto 80 y 8080, y las conexiones entrantes en diferentes números de puerto por debajo de número de puerto 1024. Exactamente qué modelos son frágiles y vulnerables, no se sabe todavía, pero según la Internet Storm Center los siguientes modelos de Linksys pueden ser vulnerables: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200 , E1000, E900.