Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Червь psyb0t: вопросы и ответы
Статьи

Червь psyb0t: вопросы и ответы

автор: Administrator | 16 мая 2009, 09:01 | Просмотров: 9671
теги: Статьи, psyb0t, вопросы, ответы, червь, пароли, модем, маршрутизатор, заражение



1. Кто и когда обнаружил червь?
Первые инфекции обнаружил австралийский ИТ-консультант, Terry Baume, когда, 11 января 2009 года, эксперт обнаружил зараженный Netcomm NB5 DSL модем.

2. Зачем был создан psyb0t?
Червь psyb0t, предназначенный для создания ботнета Network Bluepill. Сейчас бот-сеть, созданная на основе этого червя, увеличилась до 100.000 компьютеров.

3. Эксперты говорят, что этот червь уникален. Почему?
Данный червь уникален потому что:
- это первый червь, который атакует маршрутизаторы
- содержит шелл-код для большинство устройств на базе Linux/MIPS
- игнорирует персональные компьютеры и серверы
- использует несколько методов для эксплуатации, в том числе bruteforce
- собирает пароли и имена пользователей (сейчас имеет: 6000 логины и 13000 пароли)

4. Кто больше всех рискует быть инфицированным червем psyb0t?
Риск заразиться вирусом есть у каждого, если:
- маршрутизаторы работают на базе Linux/MIPS
- устройство имеет telnet, SSH или веб-интерфейс, доступный для WAN
- используются слабые и/или стандартные пароли

5. Как узнать, если я инфицирован червем psyb0t?
Червь блокирует доступ к портам: 22, 23 и 80. Если у Вас эти порты заблокированы, вероятность заражения червем psyb0t очень высока. Но в любом случае, лучше восстановите заводские настройки модема и настроите его заново.

6. Как предотвратить заражение?
Для этого, нужно:
- изменить стандартный пароль/логин
- использовать надежные и безопасные пароли
- убедиться в том, что удалённое управление модема - отключено
- установить последние обновления
- использовать фильтры входящего трафика

7. Как удалить psyb0t?
Удалить червь очень легко: просто нужно сбросить настройки модема к заводским конфигурациям и настроить его заново. Но не забывайте о том, что надо принимать меры по предотвращению заражении.

автор:
Кондураке Виктор
@ DIMA
16 мая 2009, 09:16 | |  
Аватар пользователя DIMA
карма:
комментариев: 0
новостей: 0
группа: Гости
respekt
@ fess1100
19 сентября 2009, 09:03 | |  
Аватар пользователя fess1100
карма:
комментариев: 0
новостей: 0
группа: Гости
Здравствуйте. У меня TP-Link TD-W8920G. Так вот, в нем побывал какой то вирус и исчезла страница смены пароля модема. Сегодня хотел сменить его вместе с обновлением прошивки - ничего не получается. Ставил и старую TD-W8920G_v3_081120 и новую TD-W8910Gv3e_ANNEX_A_1_3_4_090602_1054_update и скрепкой нажимал сзади хард-резет до и после прошивки,никаких изменений. В разделе access control -> password веб-интерфейса пустой белый лист.
Хэлп help
@ Administrator
19 сентября 2009, 19:50 | |  
Аватар пользователя Administrator
карма: +4693.436
комментариев: 239
новостей: 1005
группа: SysOp
fess1100,
Никогда не слышал об этом, но попробуйте ставить старую версию и/или очистить кэш и куки браузера, также можете открыть страницу в другом браузере.

Если тоже будет "пустой белый лист", посмотрите на исходники страницы - "пусто" или нет?

С уважением....
@ fess1100
19 сентября 2009, 23:52 | |  
Аватар пользователя fess1100
карма:
комментариев: 0
новостей: 0
группа: Гости
Попробовал с разных браузеров, попробовал с ноута на модем зайти.....При просмотре исходного кода только "<html>" вначале unknw
@ fess1100
20 сентября 2009, 09:27 | |  
Аватар пользователя fess1100
карма:
комментариев: 0
новостей: 0
группа: Гости
B7ackAnge7z, спасибо. Проблему решил утилитой AVZ, выполнив "скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Оно закрыло какие то перехватчики и пароль успешно сменен. Йиииииххххаааа!!!!!!!!!! dance4
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.