Anzeige
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen.
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen. (Bild: Cisco)

The Moon: Wurm befällt Linksys-Router und verbreitet sich darüber

Security-Experten haben einen "The Moon" genannten Wurm entdeckt, der sich in Routern von Linksys einnistet. Über diese Geräte versucht das Programm, weitere Router zu infizieren. Woher die Software stammt und welchen Zweck sie haben soll, liegt noch im Dunklen.

Anzeige

Die Sicherheitsforscher des US-Unternehmens Sans berichten von einem Wurm, der bestimmte Routermodelle von Linksys befällt. Das Programm wird auf den Routern selbst ausgeführt und versucht, sich über die Ports 80 und 8080 zu verbreiten. Dazu kontaktiert es bestimmte IP-Bereiche von Providern, um dort einen weiteren Linksys-Router mit derselben Schwachstelle zu finden. Dadurch war der Wurm bei einem Provider im US-Bundesstaat Wyoming auch zuerst aufgefallen, dessen Kunden ihn wegen eines langsamen Internetzugangs ansprachen - der Wurm hatte fast die gesamte Bandbreite der Anschlüsse belegt.

Die Lücke der Router liegt in einem schlecht gesicherten Zugang für die Fernwartung des Geräts (HNAP), durch den sich Skripte und dann auch Binärprogramme in den Router einpflanzen können. Das tut der Wurm in mehreren Schritten, die eigentliche Software ist rund 2 MByte groß. Nach dem bisherigen Stand der Untersuchungen wird dabei die Firmware nicht dauerhaft verändert. Werden die Router aus- und eingeschaltet, ist der Wurm verschwunden.

Auch direkte Schadfunktionen wurden noch nicht gefunden, es gibt jedoch Hinweise darauf, dass die befallenen Router für ein Botnetz verwendet werden könnten. Wohl um sich im Netz des Providers zu tarnen, trägt der Wurm manchmal statt dem DNS des Providers die Adressen der Google-Nameserver im Router ein. Bisher gibt es keinen sichtbaren Zusammenhang des Wurms mit der kürzlich bekanntgewordenen Lücke mit einer Backdoor auf dem Port 32764, von der auch Linksys-Router betroffen sind.

Verbindung zu Science-Fiction-Film

In den Binärdateien des Programms befinden sich auch einige Bilder, die eine Verbindung zu dem Science-Fiction-Film "Moon" aus dem Jahr 2009 nahelegen. Eines der Bilder ist das Logo der erfundenen Firma "Lunar Industries Ltd.", die in dem Film vorkommt. Daher haben die Sicherheitsforscher den Wurm auch "The Moon" genannt.

Das Unternehmen Sans nennt derzeit nur die Routermodelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900 von Linksys als betroffene Geräte. Im Forum von Ars Technica hat sich aber auch der Provider aus Wyoming gemeldet, er bezeichnet auch WRT-Router prinzipiell als anfällig. Insbesondere soll das Modell WRT160 von dem Wurm genutzt werden können, weitere Modelle nennt der Provider nicht.

Zu den bisherigen Untersuchungen des Wurms hat Sans eine knappe Zusammenfassung erstellt, die durch eine ausführlichere Beschreibung inklusive decodierter Code-Beispiele ergänzt wird.

Nachtrag vom 17. Februar 2014, 11:55 Uhr

Linksys hat den Fehler in seinem Supportforum bestätigt. Um eine Infektion des Routers mit dem Wurm zu verhindern, reicht es laut Angaben des Unternehmens, die Fernwartung abzuschalten. Danach muss - wie die Entdecker der Lücke schon beschrieben hatten - das Gerät aus- und wieder eingeschaltet werden. "In den kommenden Wochen", so Linksys, soll eine neue Firmware die Lücke schließen.


eye home zur Startseite
hallihallo 20. Mär 2014

Ich hoffe, dass es das Internet of Things in dieser unsicheren Form niemals geben wird...

486dx4-160 15. Feb 2014

das war vor 10 Jahren

TC 15. Feb 2014

kT

nie (Golem.de) 15. Feb 2014

Laut den Entdeckern ist OpenWRT nicht betroffen, siehe hier in den Kommentaren: https...

Kommentieren



Anzeige

  1. IT-Scrum Master Payment Solutions (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  2. Service Delivery Retail IT Projektleiter (m/w)
    Daimler AG, Böblingen
  3. Trainee Requirements Engineer (m/w) Cloud Produkte
    Haufe Gruppe, Freiburg im Breisgau
  4. IT-Supporter/in
    WALDORF FROMMER, München

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  2. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab

  3. Beam

    Neues Modul für Raumstation klemmt

  4. IT-Sicherheit

    SWIFT-Hack vermutlich größer als bislang angenommen

  5. Windows 10

    Microsoft bringt verdoppelten Virenschutz

  6. Audience Network

    Facebook trackt auch Nichtnutzer für Werbezwecke

  7. Statt Fernsehen

    Ministerrat will europaweite 700-MHz-Freigabe für Breitband

  8. Gran Turismo Sport

    Ein Bündnis mit der Realität

  9. Fensens Parksensor

    Einparken mit dem Smartphone

  10. Telefónica

    Microsoft und Facebook bauen 160-TBit/s-Seekabel nach Europa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Sprachassistent Voßhoff will nicht mit Siri sprechen
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Finde ich gut

    Wary | 23:54

  2. Re: Vegetarisch ernähren

    Gandalf2210 | 23:51

  3. "Besuche keine pornoseiten"

    Gandalf2210 | 23:50

  4. Re: keine Strafzahlung aber dafür Preissenkung

    neocron | 23:49

  5. Re: Dann soll Google ihr Android Update System...

    Junior-Consultant | 23:48


  1. 17:09

  2. 16:15

  3. 15:51

  4. 15:21

  5. 15:12

  6. 14:28

  7. 14:17

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel