Themoon worm menyebar melalui router Linksys

Sebuah worm disebut themoon, menginfeksi Linksys router dan ketika router terinfeksi maka mulai mencari router rentan lainnya. Beberapa hari yang lalu, pembawa AS sudah memperingatkan untuk cacing, yang menargetkan lebih router maka mereka pertama kali dideklarasikan.

worm terhubung ke port 8080, apakah melalui SSL. kemudian “/HNAP1 /” URL yang diminta, yang meminta daftar fitur router dan versi firmware. Sesudah ini, worm mengirimkan mengeksploitasi untuk script CGI rentan yang berjalan pada router ini yang tidak memerlukan otentikasi.

Kemudian script shell dijalankan pada router yang di-download oleh worm ke router Linksys. worm adalah sekitar 2MB. Setelah cacing secara aktif mencari korban lain menggunakan daftar sekitar 670 jaringan yang berbeda, yang semuanya harus dilakukan dengan kabel dan DSL modem untuk penyedia layanan internet di negara yang berbeda. router terinfeksi juga digunakan sebagai lokasi download di mana router yang baru terinfeksi dapat men-download cacing dari.

Bulan

worm bernama themoon karena malware ini juga berisi sejumlah halaman HTML dengan foto dari film “Bulan”. tanda-tanda kemungkinan router terinfeksi banyak keluar scan-lintas pada port 80 dan 8080, dan koneksi masuk pada nomor port yang berbeda di bawah nomor port 1024. Persis yang model yang rapuh dan rentan belum diketahui, tapi menurut Internet Storm Center model Linksys berikut mungkin rentan: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200 , E1000, E900.