TheMoon worm verspreidt zich door Linksys routers

Een worm genaamd TheMoon, infecteert Linksys routers en wanneer de routers vervolgens besmet zijn begint het zoeken naar andere kwetsbare routers. Een paar dagen geleden, een Amerikaanse luchtvaartmaatschappij al gewaarschuwd voor de worm, dat is gericht op meer routers dan ze eerst verklaard.

De worm maakt verbinding met de haven 8080, al dan niet via SSL. Dan de “/HNAP1 /” URL wordt opgevraagd, die vraagt ​​om een ​​lijst van de router functies en firmwareversies. Hierna, de worm stuurt een exploit voor de kwetsbare CGI script dat op deze routers die geen verificatie nodig loopt.

Dan is een shell script wordt uitgevoerd op de routers die wordt gedownload door de worm op de Linksys-router. De worm is ongeveer 2MB. Zodra de worm actief is op zoek naar andere slachtoffers maakt gebruik van een lijst van ongeveer 670 verschillende netwerken, die allemaal te maken hebben met kabel en DSL-modems voor Internet service providers in verschillende landen. Geïnfecteerde routers worden ook gebruikt als een download locatie waar besmet routers de worm kan downloaden van.

De Maan

De worm werd genoemd TheMoon omdat de malware bevat ook een aantal van de HTML-pagina's met foto's van de film “De Maan”. Mogelijke tekenen van een besmette router zijn veel uitgaand scan-verkeer op poort 80 en 8080, en inkomende verbindingen op verschillende poortnummers hieronder poortnummer 1024. Precies welke modellen fragiel en kwetsbaar zijn is nog niet bekend, maar volgens de Internet Storm Center de volgende Linksys modellen kunnen kwetsbaar zijn: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200 , E1000, E900.