Botnet worm infecteert 100.000 routers en modems.

Onderzoekers zijn op een unieke worm gestuit die het alleen op routers en modems (kabel en DSL) heeft voorzien en al zeker 100.000 apparaten heeft besmet.

De worm kan alle Linux mipsel routers en modems aanvallen, als die tenminste over een router administration interface, sshd of telnetd in een DMZ beschikken en van een zwakke gebruikersnaam / wachtwoord combinatie zijn voorzien. Psyb0t (pdf), zoals de worm heet, is sinds januari van dit jaar actief en laat desktopcomputers en servers met rust. Om de routers en apparaten over te nemen gebruikt het verschillende strategieen, zoals het brute-forcen van gebruikersnamen en wachtwoorden. Eenmaal toegang tot het apparaat gebruikt het deep packet inspection om andere inloggegevens te stelen. Daarnaast kan het voor kwetsbare phpMyAdmin en MySQL servers scannen. Met name de NB5 ADSL/ADSL2+ modem-router van Netcomm is een gewillig slachtoffer.

Naast het stelen van wachtwoorden en gebruikersnamen wordt het botnet voornamelijk ingezet voor het uitvoeren van DDoS-aanvallen, aldus onderzoekers van DroneBL, die tevens beweren dat het botnet hen aanviel. “Zoals gezegd is dit het eerste bekende botnet dat netwerkapparatuur van consumenten aanvalt, zoals routers en kabel en DSL. Veel machines lijken kwetsbaar te zijn en de omvang van het botnet is niet met zekerheid vast te stellen.” Toch schatten de onderzoekers dat zo’n 100.000 machines al besmet zijn geraakt. “De maker van deze worm heeft, gezien de bot, uitgebreide en uitstekende kennis van programmeren. Er moet onmiddellijk actie worden ondernomen om deze worm te stoppen voordat die groter groeit.”

Ontkenning
Onderzoekers kwamen in contact met de botnetbeheerder, die liet weten dat het alleen om een test ging. Naar eigen zeggen infecteerde hij 80.000 machines. Ook ontkent hij gegevens te hebben gestolen of DDoS-aanvallen te hebben uitgevoerd. “Het was leuk, tijd om weer verder te gaan.” Toch houden de onderzoekers van DroneBL in het midden of de botnetbeheerder de waarheid spreekt. IP’s uit het botnet zouden wel degelijk HTTP-floods hebben veroorzaakt.

“We hopen dat fabrikanten van routers en modems dit incident in de gaten houden en hun firmware tegen toekomstige aanvallen beschermen.” Gebruikers die besmet zijn geraakt krijgen het advies om de router of modem uit en vervolgens weer aan te zetten, de laatste firmware te installeren en een sterk wachtwoord te gebruiken. Het idee voor de aanval is niet nieuw, aldus David Harley van virusbestrijder ESET, aangezien er in 2006 al een paper over het onderwerp verscheen.

Bron : Security.nl

Informatief (nederlandstalig) Filmpje : Wat is een Botnet ?

Overig nieuws op Security.nl :
Nep-virusscanners goudmijn voor criminelen !
Oost-Europese skimmers slaan toe in Bethlehem !
Pentagon-hacker “Wolfenstein” gearresteerd.
Fortis, AEGON en ABN AMRO dichten lek in website !
Conficker worm activeert zichzelf op 1 april ! (GEEN GRAP)
Conficker/Downadup Dossier !
Conficker Worm Update : Conficker Computer Worm Threatens Chaos 

Naschrift Pineut : Symantec heeft een Conficker/Downadup FIX Tool uitgebracht ! En als laatste , maar zeker niet de minste :
Man hackt computers van 4000 meisjes ! (dat is nog eens wat anders als 72 maagden, zo ziet u maar dat hacken meer de moeite loont dan jezelf opblazen)

Conficker Worm Update 30-03-09 :

Vodpod videos no longer available.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s