TheMoon, так назвали вредоносную программу, которая распространяется через порт 8080 и может при надобности задействовать SSL.
TheMoon, так назвали вредоносную программу, которая распространяется через порт 8080 и может при надобности задействовать SSL.
Отправляя запрос «/HNAP1/» URL, этот червяк получает список параметров маршрутизатора и его версию прошивки, после чего уязвимый CGI–скрипт передает эксплойт, запрос не требующий авторизации. После этого происходит загрузка базового кода вредоносного червя.
Зараженное вирусом сетевое устройство ищет новые жертвы, как показал анализ, червь содержит в себе список более 600 сетей, в которых проводит сканирование. Пока не понятно, как TheMoon, и производит ли вообще, обмен данными с командным центром. Атакам вируса чаще всего подвержены такие сетевые устройства Linksys как E1550, E1500, E1200, E1000 и E900, E4200, E3200, E3000, E2500, E2100L, E2000, что зависит от версии прошивки. Но атака возможна только в том случае, когда включена функция Remote Management Access, выключенная по умолчанию.
Представители компании сообщили что им известно о проблеме, которая затрагивает некоторые модели их маршрутизаторов серии Е и точки доступа Wireless–N. Обновить ПО разработчики собираются уже в ближайшие недели.