los sintomas entre otros son, el reinicio al azar del router, o el agotamiento de la memoria ram libre, el virus se auto reproduce por la red de equipos y se dedica a escuchar en el puerto 80 y mandar la información al creador del virus.
El gusano se aprovecha de dos errores en el firmware, el primero es que en estos firms existe la pagina /admin.cgi, protegida por la contraseña del equipo, pero que permite subir archivos y ejecutarlos en modo root a traves de la interface web. El segundo error es referente al modo en que esta configurado el modulo web lighttpd de AirOs que permite introducir unos pocos caracteres para ver la url de cualquier configuración sin conocer la contraseña.
Con estos errores el virus es capaz de propagarse de forma facil sin romper contraseñas ni nada unicamente probando en las direcciones IP y tratando de saltar a mas equipos.
¿Y como se si tengo el virus? Pues lo primero es loguearnos en nuestro equipo e intentar ir a http://xxx.xxx.xxx.xxx/admin.cgi (donde xxx es la IP de nuestro equipo), si la pagina NO EXISTE seguramente estemos infectados y Skynet nos haya renombrado la pagina a adm.cgi.
También es convenientemente logeranos por ssh en nuestro equipo y comprobar que tenemos el en /etc/persistent/ un directorio oculto llamado .skynet para ello ejecutaremos el siguiente comando:
ls -la /etc/persistent
Tambien ejecutaremos el comando ps si tenemos los siguientes proceso corriendo en el equipo estaremos infectados:
nc
tcpdump
grep
Para eliminarlo desde el ssh haremos lo siguiente:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot
Con esto nos habremos librado del virus por el momento, lo mas aconsejable es actualizar al ultimo firm disponible en ubiquiti que soluciona la vulnerabilidad, ademas estan trabajando en una herramienta para eliminar el virus de forma rápida y sencila que esperemos este lo antes posible.
Via: root.cz
No hay comentarios:
Publicar un comentario