Un gusano convierte routers caseros en botnets

Publicado: marzo 26, 2009 de komz en 10.Malware/Virus /Spam
Etiquetas:,

Parece que el guano psyb0t está en circulación desde principios de este año y su objetivo son los routers que funcionan con Mipsel, una distribución de Debian Linux diseñada para procesadores MIPS.

Se cree que el gusano es el primero de esta clase, y los investigadores de DroneBL estiman que puede haberse infiltrado en más de 100.000 routers. El guano utiliza la fuerza bruta contra el router comprobando nombres de usuario y contraseñas, lo que pone de manifiesto que no está aprovechando fallos o vulnerabilidades en el sistema operativo sino una pobre seguridad.

El 90% del los routers y modems que forman parte de las redes de botnets lo están por errores del usuarios. Desde DroneBL advierten que una vez instalado psyb0t permite el control remoto del router y hardware infectado, que pasan a formar parte de ataques de botnet, y pide a los usuarios que aumenten la dificultad de sus nombres de usuarios y contraseñas.

Forma de Operar:
El gusano efectúa un barrido por rangos de IP escaneando los puertos 22, 23 y el 80, buscando una vulnerabilidad que expone la administración remota del dispositivo a través de telnet, ssh e interfaz web inclusive con los permisos por defecto. Si la configuración ha sido modificada, lo intentará por fuerza bruta.

Tras obtener una shell con permisos de administrador borra el archivo ‘/var/tmp/udhcpc.env’ que pertenece al cliente DHCP y comprueba la existencia del comando wget para efectuar la descarga de una réplica del gusano con el mismo nombre y ruta que el archivo borrado. Tras ello inyecta reglas en iptables para cerrar la entrada en los puertos 22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el topic que contiene instrucciones para los bots.

OTRAS REFERENCIAS

fuente: hispasec.com / vnunet.es

gusano-router-botnet

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s