Veel Linksys-routers gevoelig voor agressieve worm

Is de kwestbare router geïdentificeerd, maakt de worm gebruik van een kwetsbaarheid in het CGI-script dat hem in staat stelt de wachtwoord-authenticatie die de router vervolgens presenteert, te omzeilen.

Herstarten levert tijdelijke oplossing

Zodra de worm binnen is op de router, zoekt hij het internet af naar andere kwetsbare routers. Ook verandert worm het adres van de domain name system server (DNS) van 8.8.8.8 naar 8.8.4.4, een adres dat door de Google DNS service wordt gebruikt. De worm blijft actief tot de router wordt herstart. Daarna lijkt het script te zijn verdwenen. Een indicatie voor een besmetting is ongebruikelijk veel verkeer op de poorten 80 en 8080.

Sans Institute heeft de kwetsbaarheid in een hele reeks serienummers ontdekt. Alleen de routers die gebruik maken van van de nieuwste firmware-versie (2.0.06) lijken niet te worden besmet. Het opwaarderen van de oudere types kan echter niet omdat deze niet meer worden ondersteund.

Het Sans Institute heeft nog niet kunnen ontdekken met welk doel de malware is verspreid. Er is nog geen aanwijzing gevonden dat er een 'command-and-control-centrum' is waarmee de besmette routers kunnen worden ingezet voor botnet-activiteiten. De worm heeft een aantal basale HTML-pagina's waarop plaatjes worden getoond afkomstig uit de film The Moon. De worm is daarom ook maar zo genoemd. De plaatjes lijken echter niet gemanipuleerd.

De kwetsbare Linksys types zijn:

E4200	E2500	E1550	E1000
E3200	E2100L	E1500	E90
E3000	E2000	E1200