Botnet Chuck Norris – O pesadelo dos Routers
Existem lendas que ficam para sempre associadas à nossa memória. Por isso é inquestionável a imagem viril de Chuck Norris como ícone de várias gerações. O seu nome foi atribuído a um botnet que pode ser o maior pesadelo dos routers. Se tem um router em sua casa e não mudou a sua password que lhe foi atribuída de fábrica, então poderá ter uma visita indesejada de um botnet duro de roer!
Descoberto por um investigador Checo, o Botnet com o nome do famoso actor, tem-se espalhado por routers e modems ADSL, configurados com poucas preocupações de seguranças. Segundo Jan Vykopal o responsável do departamento de segurança em redes, do Instituto de Ciências Computacionais em Brno, República Checa, o botnet ganhou essa designação devido ao comentário italiano “In Nome di Chuck Norris” (em honra de Chuck Norris) encontrado algures no código do programa malicioso injectado pela Botnet.
Especialistas dizem que apesar de os botnets tipicamente infectarem milhões de computadores a nível mundial, o Chuck Norris tem a particularidade invulgar de infectar Modems e Routers ADSL em vez de PC’s, podendo infectar até receptores de satélite para televisão.
Esta rede maliciosa injecta programas com um mesmo comportamento de um simples malware, instalando-se na memória destes equipamentos, e tendo a capacidade de adivinhar as passwords de administração por omissão. Esta ameaça permite ainda ligar-se a um conjunto de máquinas remotas, tirando partido do facto que muitos dispositivos estão configurados para permitir acesso remoto. O malware injectado explora uma vulnerabilidade em dispositivos D-Link.
Todas as máquinas infectadas podem ser usadas para atacar outros sistemas na internet, em ataques distribuídos DoS (Denial of Service). O Botnet possui ainda a capacidade de mudar as configurações de DNS num router. Este tipo de ataque pode causar a que utilizadores da rede onde o router esteja comprometido, que pensem que estão a aceder a sites como o Google ou Facebook, sejam redireccionados para uma página maliciosa que instale vírus no seu Computador.
A melhor prevenção para este tipo de ameaças crescentes segundo Vykopal é escolher uma password com uma cifra forte, para administração do router/modem e manterem o firmware actualizado. Caso não estejam a ser utilizados os serviços de acesso remoto ao router, devem também ser desactivados.
O investigador prevê que o Botnet Chuck Norris é o predecessor de um conjunto de malwares que no futuro poderão ser mais comuns. pcworld
Este artigo tem mais de um ano
Proponha uma correção, faça uma sugestão
Loading ...
Isto só vem provar a validade de duas pequenas regras que deveriam sempre ser seguidas quando se adquire um novo router:
1) Alterar logo a password de administração
2) Desactivar o acesso remoto à administração
Parece pouca coisa, mas é o suficiente para evitar muitas dores de cabeça
Quem tem um portátil que facilmente se liga por cabo ao router, a ideia de desactivar o acesso remoto à administração é uma boa ideia que por acaso não me ocorria.
Na password de administrador convém ter maiúsculas, minúsculas, letras, números e símbolos, tipo arroba, cardinal, etc.
…e portas.
serviços esquisitos que dão acesso a terceiros
exemplo para quem tem o sagem 2600
existem 2 portas estranhas:
15xx 1510?
e
4xxx 4060?
Não me lembro façam um scan online
A porta 5xxx é o voip
A administração porta 80 e 443 acho que está fechada por defeito.
offtopic:O pplware anda com problemas? ainda agora não conseguia aceder e em proxy dava também foi pouco tempo. 10minutos
Manuelito,
atenção que administração remota é para acederes e configurares o router quando estás fora da tua rede. Quando está ligado à tua rede, seja por cabo (ligação com fios) ou wireless (ligação sem fios ou wi-fi) não se aplica a administração remota. Isto é, se a administração remota estiver desligada, tanto podes configurar o interface pela rede sem fios como pela rede com fios.
Administração remota é para quando queres configurar o teu router a partir de um ponto fora da tua casa. Isto é algo que normalmente não pretendemos.
Nossa que droga esse BotNet, vai dar um trabalhão para tirar ele de uma rede infectada.
Para apagar essa praga do nosso modem / router só regravando o firmware ?
… E pensar que a solução é simples, alterar a senha do root/admin.
Basta Reset das configurações segundo o que deu a entender o texto.
Pensava que era só um reboot, mas se ele muda o dns e passwords–mas é só nalguns de certeza.
Pronto, aqui já está tudo alterado para prevenir, lol.
Não é costume ter a password de origem mas as trovoadas que ocorreram fizeram com que o meu router reinicializa-se as definições de origem.
Mas de qualquer modo ja alterei a palavra pass
Acredito perfeitamente que este tipo de ataques se vulgarize juntamente com a vulgarização dos equipamentos e a sua compra e utilização por pessoas que não estão alertas (que não lêem este blog).
Ainda bem que há estes alertas…eu que até sou mais ou menos cuidadoso, ainda tinha a password do Meo tal como vem por defeito. Já está alterada.
Deixa ver se percebi..
Para nos protegermos desta praga, temos que alterar aquela password que nos é pedida para alterar as configurações do router.. é isso?
Tens a noção que nem toda a gente faz isso, certo?
O Chuck Noris está em todo lado, e com a sua patada giratoria já anda ai a causar problemas na internet 😛
Apsar de tudo gosto de ver a originalidade destes hackers assim como o humor, já la vão os períodos de ouro da decada de 90 que cada virus era uma “animação” XD
O grupo de cracks ORION utilizou a imagem do Chuck Noris várias vezes.
Ya eu sei apenas queria dizer que antigamente os virus muitas vezes eram para diversão e não causavam grandes problemas em torno da privacidade agora libre-nos nosso senhor :S
Obrigado pela info.
Já modificada.
Isto é bem feito para a D-Link, façam firmwares decentes e desliguem mesmo determinado serviço quando o utilizador manda desligar e não mantenham portas abertas do lado a net que não dão para fechar de maneira nenhuma.
Para ajudar à festa existem utilizadores/contas fantasma que permitem fazer login no router. Que isto sirva de aviso a quem estiver a pensar comprar equipamento D-Link.
Eu tenho um modem/router D-Link e funciona tudo muito bem excepto isso, D-Link nunca mais a não ser que consiga mudar para ddwrt / tomato ou qualquer coisa assim, a única consolação que tenho é que não foi muito caro.
Épa só descobri isso hoje é verdade. É um perigo se explico porque ainda alguém começa a fazer asneiras.
Mas é fácil resolver isso.
Como és tu fica aqui a solução:
Redirecionas as portas para um endereço que não exista
Ex:
Faz isto no virtual server ou onde se mudam as portas.
porta 80 e 443 (não se há mais ainda não testei, nem sei se a 80 está aberta mas 443 está) Também depende dos modelos.
192.168.10.34
Quanto há ddwrt também tem falhas
Wireless sem pass e ligado por defeito.
Muita gente pensa que é pequena. Mas não é.
Porque os routers são oferecidos a outras pessoas que não percebem tanto. Basta fazer um reset fica tudo assim.
Prova disso: já acedi a dois…sou cusco é verdade. è uma característica do ser humano.
Muitos serviços na net e computadores que pedem como eu sei algumas por defeito tento e o resultado é surpreendente ou basta ter o google á mão.
A ddwrt e openwrt também são atacadas por virus para routers e penso por serem de código aberto fazem mais estragos os virus.
Sim a ddwrt e openwrt é LINUX e eu gosto das usar.
Tu dás uns toques em electrónica.
Quero aproveitar a popularidade deste blog para vos mostrar a gravidade da situação ca na ilha, de maneira que possamos estar todos unidos para ajudar mais quem precisa
ATENTAMENTE,
Mauricio Macedo
fotos e videos
http://mautempo.webx.com.pt/
http://www.netvibes.com/tempmad#General
agradeco desde ja a aceitacao do comentario, povo madeirense agradecia ainda mais se fosse criado um topico com esta informacao, de maneira a que ainda possamos estar mais unidos perante este lamentavel desastre, agradeço desde ja, cumprimentos (foi enviado um pedido para o geral@pplware.com)
Como esse virus entra em routers com dezenas de processadores e sistemas operacionais diferentes? Quase a totalidade com pouco espaço de memória? Parece mais notícia do Dia dos Bobos…
Este tipo de ataque tira partido de passwords não suficientemente completas em firmwares baseados em Linux. Ou seja conseguem através de um dicionário de dados básicamente fazer testes de força bruta, para obter passwords de root do firmware.
O D-Link é só um fabricante que usa firmwares baseados em Linux, quase todos usam, portanto este tipo de ataque poderá ser utilizado com sucesso em outros routers. Antes fosse mentira, se estes ataques se vulgarizam, vai ser uma dor de cabeça para todos nós, que quase todos usamos routers/modems para aceder à net.
então e que tal dar algumas dicas para nos protegermos ?
Tu leste o penúltimo parágrafo do artigo? Eu resumo para ti 😉 Mantém firmware actualizado, desactiva serviços de ligação remota no teu router como telnet, ftp caso não uses. E finalmente usa uma password de administração que não seja fácil de adivinhar 😉
@Offtopic
Boas,
Só uma pergunta… Tenho um router netgear da zon, este tem dois ip’s para acesso às configurações: um do cliente (cujas credênciais de acesso são alteráveis), e um para “os técnicos da zon poderem fazer testes” =\. Alguem me sabe dizer uma maneira de alterar estas credencias? Defini no router para bloquear o acesso ao ip em questão, mas de qualquer forma, resta-me a curiosidade ^^ Obrigado desde já.
Cumps z0rba
entao e os Thomsons dos Meos? nesses o chuck norris nao entra?
Sinceramente acho que mais de 90% dos routers não são alterado pelos utilizadores, tá tudo com as passwords de fabrica e os utilizadores destes desconhecem totalmente o interface web de configuração dos routers.
De facto é algo que nos deve preocupar a todos.
Sou cliente ZON e já passei por vários abusos destes senhores como por ex. quando me fizeram upgrade ao firmware e instalaram o acesso ao fonera aberto para todos.
Tenho tentado de várias formas descobrir a password de administrador do Netgear CBVG834G que me instalaram lá em casa (e não estou a falar das que eles fornecem admin e MSO) de forma a poder fazer as minhas alterações de segurança habituais.
Se alguém conhece essas credenciais de acesso, era boa idéia divulga-las de forma a quem se interessa as poder alterar.
As credenciais fornecidas nem acesso dão ao acesso telnet.
Bom dia a todos.
Boas alguem me consegue ensinar ou indicar alguma site k ensine a aceder e programar o router? tenhu meo “router thomson” e akilo ultimamente tem andado demasiado lento axei estranhu mas vendo isto suspeito k posso ter bixeza a lixar a ligação.
HELP.
Tens de saber o ip do router (192.168.1.254);
Abres o Internet Explorer e digitas esse endereço;
Pede utilizador/senha;
Utilizador: Administrator
Password: !3play
Pronto, Estás lá dentro.
Qualquer duvida, apita, de preferencia coloca as tuas duvidas no forum do pplware.
Olá Rui Costa
Como fazer a actualização do router Thomson TG784 (o branquinho, da MEO) ?
Obrigado.
PS: que nome inspirador 🙂
Firmware? Logo a noite coloco a informação no fórum e mando-te o link. Não sei de cor, mas mando os printscreens.
P.S.: Este nome é de uma só côr…azul e branco
Boa tarde.
Estou a tentar alterar a password do meu router da maneira que indicou mas ao colocar o utilizador e a senha que também indicou fico sem ter entrada no interface do router.
Agradeço que diga o posso fazer.
Obrigado
Bom dia,
Também tenho um TG784 e tentei fazer um redirecionamento do HTTPS externo para uma das minhas maquinas … mas ele continua a mostrar a pagina de configuração do TG784 … alguma ideia de como resolver esta problema … ou será que não dá mesmo.
Obrigado,
Helder
🙁 afinal foi burrice minha … esqueci-me de confirmar …daaaahhhhhh 🙁
Caro Helder Pereira.
Não percebi bem o que conseguiu fazer no seu TG784, mas talvez me possa ajudar de qualquer das formas. Eu gostaria de aceder remotamente ao interface do router meo. Isso é possível? (Eu consigo fazê-lo num outro router belkin numa outra localização apenas inserindo o IP num browser.)
E já agora, é possível aceder por FTP a uma thumb drive inserida na porta USB do router? (Dentro da rede já testei e consigo.)
Agora com a vulgarização da MEO e da ZON, existe milhares de routers por esse pais fora que trazem graves problemas de segurança causados pela falta de conhecimento dos utilizadores e principalmente pela ignorância dos técnicos dessas empresas que instalam/configuram os routers.
Além de não mudar a senha de admin do router thomson (exemplo), não a fornecerem ao cliente (por omissão, User: Administrator e Pass: !3play), não se dão ao trabalho de alterar a senha WPA do wireless, que por exemplo pode em questão de segundos ser descoberta por uma aplicação que tenho comigo.
Nestes routers, fica gravado o nome dos equipamentos que acedem ao router e para agravar a situação, alguns desses equipamentos (pc’s, portáteis) não tem password de acesso.
Resumindo: Entrando no router automaticamente temos acesso aos computadores e sua informação.
Tenho dito.
Então não era suposto o linux ser imune a estas coisas???
O GNU/Linux é um sistema mais robusto por design e que tem disponível um conjunto de funcionalidades, para além de grande diversidade entre distribuições, que dificultam imenso o sucesso de malware no seu objectivo de infectar e propagar-se.
Mas respondendo para este caso específico aqui não há um bug no software, trata-se meramente de uma falha do utilizador em deixar a password que vem de fábrica no router. É como se o fabricante tivesse colocado a password de administração do router num anúncio de jornal e o utilizador sabendo disso não a tivesse modificado.
Muito bem, eu tenho alguma coisa a dizer sobre este assunto no que toca a segurança nos Routers,porque já tive e tenho alguns.
Tenho alguma experiência no campo e em algumas áreas da informática e programação e por vezes parece um autentico desafio mudar uma simples senha de fabrica.
Senhores fabricantes de qualquer modelo de Routers, incluam instruções detalhadas de como mudar as passwords por defeito.
Sim,porque ate para um técnico de segurança por vezes e difícil saber como mudar a senha do Router,não para aceder ao sistema,mas sim a rede.
Penso que e um problema fácil de resolver se houver vontade dos fabricantes,porque nem todos são engenheiros ou gestor de redes informáticas.
Penso também que era uma boa postagem falar como mudar as senhas default neste blog com boa informação útil,
já que existe sites e blogs que ensinam o oposto.