Abo
  • Services:
Anzeige
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen.
Manche Linksys-Router wie dieser E2500 sind von einem Wurm befallen. (Bild: Cisco)

The Moon: Wurm befällt Linksys-Router und verbreitet sich darüber

Security-Experten haben einen "The Moon" genannten Wurm entdeckt, der sich in Routern von Linksys einnistet. Über diese Geräte versucht das Programm, weitere Router zu infizieren. Woher die Software stammt und welchen Zweck sie haben soll, liegt noch im Dunklen.

Anzeige

Die Sicherheitsforscher des US-Unternehmens Sans berichten von einem Wurm, der bestimmte Routermodelle von Linksys befällt. Das Programm wird auf den Routern selbst ausgeführt und versucht, sich über die Ports 80 und 8080 zu verbreiten. Dazu kontaktiert es bestimmte IP-Bereiche von Providern, um dort einen weiteren Linksys-Router mit derselben Schwachstelle zu finden. Dadurch war der Wurm bei einem Provider im US-Bundesstaat Wyoming auch zuerst aufgefallen, dessen Kunden ihn wegen eines langsamen Internetzugangs ansprachen - der Wurm hatte fast die gesamte Bandbreite der Anschlüsse belegt.

Die Lücke der Router liegt in einem schlecht gesicherten Zugang für die Fernwartung des Geräts (HNAP), durch den sich Skripte und dann auch Binärprogramme in den Router einpflanzen können. Das tut der Wurm in mehreren Schritten, die eigentliche Software ist rund 2 MByte groß. Nach dem bisherigen Stand der Untersuchungen wird dabei die Firmware nicht dauerhaft verändert. Werden die Router aus- und eingeschaltet, ist der Wurm verschwunden.

Auch direkte Schadfunktionen wurden noch nicht gefunden, es gibt jedoch Hinweise darauf, dass die befallenen Router für ein Botnetz verwendet werden könnten. Wohl um sich im Netz des Providers zu tarnen, trägt der Wurm manchmal statt dem DNS des Providers die Adressen der Google-Nameserver im Router ein. Bisher gibt es keinen sichtbaren Zusammenhang des Wurms mit der kürzlich bekanntgewordenen Lücke mit einer Backdoor auf dem Port 32764, von der auch Linksys-Router betroffen sind.

Verbindung zu Science-Fiction-Film

In den Binärdateien des Programms befinden sich auch einige Bilder, die eine Verbindung zu dem Science-Fiction-Film "Moon" aus dem Jahr 2009 nahelegen. Eines der Bilder ist das Logo der erfundenen Firma "Lunar Industries Ltd.", die in dem Film vorkommt. Daher haben die Sicherheitsforscher den Wurm auch "The Moon" genannt.

Das Unternehmen Sans nennt derzeit nur die Routermodelle E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 und E900 von Linksys als betroffene Geräte. Im Forum von Ars Technica hat sich aber auch der Provider aus Wyoming gemeldet, er bezeichnet auch WRT-Router prinzipiell als anfällig. Insbesondere soll das Modell WRT160 von dem Wurm genutzt werden können, weitere Modelle nennt der Provider nicht.

Zu den bisherigen Untersuchungen des Wurms hat Sans eine knappe Zusammenfassung erstellt, die durch eine ausführlichere Beschreibung inklusive decodierter Code-Beispiele ergänzt wird.

Nachtrag vom 17. Februar 2014, 11:55 Uhr

Linksys hat den Fehler in seinem Supportforum bestätigt. Um eine Infektion des Routers mit dem Wurm zu verhindern, reicht es laut Angaben des Unternehmens, die Fernwartung abzuschalten. Danach muss - wie die Entdecker der Lücke schon beschrieben hatten - das Gerät aus- und wieder eingeschaltet werden. "In den kommenden Wochen", so Linksys, soll eine neue Firmware die Lücke schließen.


eye home zur Startseite
hallihallo 20. Mär 2014

Ich hoffe, dass es das Internet of Things in dieser unsicheren Form niemals geben wird...

486dx4-160 15. Feb 2014

das war vor 10 Jahren

TC 15. Feb 2014

kT

nie (Golem.de) 15. Feb 2014

Laut den Entdeckern ist OpenWRT nicht betroffen, siehe hier in den Kommentaren: https...



Anzeige

Stellenmarkt
  1. Wildeboer Bauteile GmbH, Weener
  2. access Automotive Career Event, Nürnberg
  3. PSI Metals GmbH, Aachen
  4. ZF Friedrichshafen AG, Passau


Anzeige
Top-Angebote
  1. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  2. (u. a. Interstellar, Mad Max, Codename UNCLE, American Sniper, San Andreas)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten

  2. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  3. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  4. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  5. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  6. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  7. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  8. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  9. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  10. Project Catapult

    Microsoft setzt massiv auf FPGAs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  2. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  3. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus

Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

  1. Re: Seit 1 Monat bei mir ca. 5ms niedrigere...

    Unix_Linux | 03:29

  2. ... und der Papst verbietet Kondome (kwT)

    tfg | 03:18

  3. Re: die Amis plätten VW und wir im gegenzug FB?

    GenXRoad | 03:16

  4. Re: Sind eigentlich die Linken...

    burzum | 02:57

  5. Re: Die pure Definition von "Den Hals nicht voll...

    HorkheimerAnders | 02:45


  1. 20:57

  2. 18:35

  3. 18:03

  4. 17:50

  5. 17:41

  6. 15:51

  7. 15:35

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel