Červ vytvára botnet z DSL modemov a routerov, nie z PC

DSL.sk, 24.3.2009

Na zaujímavého červa psyb0t vytvárajúceho botnet upozornila organizácia DroneBL spravujúca zoznam IP adries, PC na ktorých sú súčasťou niektorého z botnetov alebo minimálne infikované.

Červ psyb0t je zaujímavý útočením na domáce routery a DSL modemy, nie PC.

Škodlivý kód infikuje modemy a routery v závislosti na detekovanom type zariadenia viacerými spôsobmi, zneužívaním bezpečnostných chýb so shellcodom napísaným pre mipsel platformu používanú väčšinou týchto zariadení ale tiež útokom hrubou silou skúšajúcim hádať meno a heslo.

Botnet bol pravdepodobne prvýkrát identifikovaný v januári, keď bol nájdený vo viacerých DSL routeroch Netcomm NB5.

Inštalovaný škodlivý kód monitoruje prechádzajúce pakety a v prechádzajúcich dátach hľadá prihlasovacie mená a heslá k rozličným službám. Komunikácia s tvorcom prebieha cez IRC, pričom priamo cez IRC príkazy je možné škodlivý kód ovládať a inštruovať ho napríklad k DoS útokom.

Podľa odhadu DroneBL je infikovaných a botnet pozostáva minimálne zo 100 tisíc modemov a routerov. Po publikovaní analýzy botnetu bol sa na danom IRC zmenený topic kanálu na správu informujúcu o ukončení činnosti botnetu, nie je ale pozitívne potvrdené, že topic nastavil tvorca botnetu.


Najnovšie články:



Diskusia:

uhmmmm Od: 6205 | Pridané: 24.3.2009 7:53 no tak to je pruser s velkym P.. Som zvedavy kedy mi infikuje MagioBox a router od T-Comu. Aj ked heslo som zmenil.. Odpovedať Známka: 5.6 Hodnotiť:

Re: uhmmmm Od: miro j. | Pridané: 24.3.2009 8:21 magio box to nemoze infikovat lebo magio box urcite funguje na inom subnete ktory je vidietelny jedine z vnutornej siete t-comu, router to je uz druha vec...vzdy je dobre si zmenit heslo a minimalne s 3ma bezpecnostnymi prvkami velke male pismena cisla a aspon jeden specialny znak nieco ako miro@456. Odpovedať Známka: 6.0 Hodnotiť:

Re: uhmmmm Od: maggot_133 | Pridané: 24.3.2009 8:52 Pekne, vidim tam to velke pismeno..... Odpovedať Známka: 8.9 Hodnotiť:

Re: uhmmmm Od: DS_ | Pridané: 24.3.2009 10:12 to je práve ten odžub :-) Odpovedať Známka: 8.8 Hodnotiť:

lovenčina naše milovaný Od: János Szlota - Tranlátor | Pridané: 24.3.2009 23:15 Podľa odhadu DroneBL je infikovaných a botnet pozostáva minimálne zo 100 tisíc modemov a routerov. Po publikovaní analýzy botnetu bol sa na danom IRC zmenený topic kanálu na správu informujúcu o ukončení činnosti botnetu, nie je ale pozitívne potvrdené, že topic nastavil tvorca botnetu. Odpovedať Hodnotiť:

virus Od: danno | Pridané: 24.3.2009 8:18 No dobre a ked mam uz infikovany router tak ako ho potom odinfikujem Odpovedať Známka: 10.0 Hodnotiť:

Re: virus Od: zzzze | Pridané: 24.3.2009 8:41 Je treba opat nahrat povodny firmware. Odpovedať Známka: 10.0 Hodnotiť:

Re: virus Od reg.: Sheer Mirage | Pridané: 24.3.2009 9:25 A ako zistím, že je infikovaný? (okrem možnosti, že si nájdem vybielený účet v banke :) ) Odpovedať Známka: 10.0 Hodnotiť:

Re: virus Od reg.: 1000Sk | Pridané: 24.3.2009 10:45 vytiahni z elektriky po 5 minutach znova zapoj a ak sa nic nezvycajne nestane, tak si infikovany :) Odpovedať Známka: 4.3 Hodnotiť:

Re: virus Od: rms | Pridané: 24.3.2009 10:43 lol, prave ten ktory bol infikovany? Odpovedať Známka: 7.1 Hodnotiť:

Re: virus Od: Dr.FeelGood | Pridané: 24.3.2009 10:48 Vysvetlim ti to dokladnejsie: ... Stiahnes si original povodny firmware zo stranky vyrobcu a nasledne flashnes svoj router... Ak si ani toto nepochopil tak mas fakt problem... Odpovedať Známka: 7.8 Hodnotiť:

Re: virus Od reg.: durpalo | Pridané: 24.3.2009 11:36 Ani by som netvdil, ze povodny.....vyrobca tiez pracuje na stale novsej verzii firmveru k routrom, ktore vyrobil. Na platenej linke T-comu mi nevedeli poradit ani prd, musel som poslat mail do D-Link z prosbou o najnovsi firmver, ktory som nevedel vobec nikde najst....uz dost stary kus zeleza DSL-564T.....poslali aj s manualom. Tak si predstavujem ochotu pomoct zakaznikovi...... Odpovedať Známka: 10.0 Hodnotiť:

Re: virus Od reg.: TheHacker | Pridané: 24.3.2009 15:16 No a prave to je ten napadnutelny. Odpovedať Hodnotiť:

Re: virus Od: maggot_133 | Pridané: 24.3.2009 8:52 Musis ho vyvarit jak plienku.20 minut v zakrytom hrnci, susit fenom.A nesmies ho vytiahnut zo zastrcky. Odpovedať Známka: 8.8 Hodnotiť:

magiobox Od reg.: messo | Pridané: 24.3.2009 8:19 to je potom tazsie infikovat, ale to nespravil kazdy, ale tak do 50% uzivatelov. Ved nieje problem najst nezabezpecene wifi siete s defaultnym nastavenim a heslom na router. Odpovedať Známka: 6.7 Hodnotiť:

zoznam zariadení Od reg.: Composite | Pridané: 24.3.2009 10:51 ktoré sú ohrozené, aj ked má majiteľ zmenené údaj a silné heslo? Odpovedať Hodnotiť:

lllll Od: 3><O | Pridané: 24.3.2009 12:30 Na tych routeroch sa vam neda vypnut pristup zo sveta ? to by mal mat kazdy router :) Odpovedať Známka: 10.0 Hodnotiť:

viac o tom Od: sarusian | Pridané: 24.3.2009 15:24 http://www.adam.com.au/bogaurd/ PSYB0T.pdf?info=EXLINK spojte si tieto linky, kedze max dlzka slova moze byt 50zn(!!!!) Odpovedať Hodnotiť:

klobuk dolu Od: Hrivis | Pridané: 24.3.2009 20:47 Husty napad hentak infikovat veci o ktorych si clovek ani nepomysli ze by boli cielom botnetu.. pritom routery vacsina ludi nevypina.. krasa... Odpovedať Hodnotiť:

virus Od: semtex | Pridané: 26.3.2009 15:50 ak vipnem router ten virus sa vimaze? Odpovedať Hodnotiť:

Pridať komentár