|
SWFPHARM
troyano explota vulnerabilidad 2Wire Routers Cross-Site Request Forgery descarga
archivos infectados.
|
|
© Jorge Machado Lima-Perú
|
|
Troj/Swfpharm
Troj/Swfpharm es un
troyano reportado el 19 de Marzo del 2008, activo en memoria y que se propaga aprovechando
la vulnerabilidad "2Wire Routers Cross-Site Request Forgery"
que es un dispositivo usado entre muchos
proveedores de servicios de alojamiento de bajo costo y usuarios corporativos en
todo el mundo, debido a su bajo precio.
http://www.2wire.com
La vulnerabilidad es causada
por la interfaz de la administración de sitios web de modelos de este
Routeador, la cual permite a los usuarios realizar acciones sensibles via
peticiones HTTP sin necesidad de verificar la validez del pedido del
usuario.
De este modo se ejecutan
determinadas acciones en este dispositivo al ingresar como administrador,
logrando obligar al sistema a conectarse a los sitios maliciosamente
configurados.
El uso de este dispositivo es
tan popular que ha sido "crackeado" e incluso en YouTube
se difunde un tutorial para crackear un modelo de este ruteador, en forma
remota:
http://www.youtube.com/watch?v=747YGnXwNuc
Infecta Windows 95/98/Me/NT/2000/XP/Vista y
Server
2003, desarrollado en Vsual C++, con una
extensión de 94KB compilado y encriptado con rutinas propias.
Al ingresar a un sistema activa
y muestra la siguiente imagen:
y reconfigura el Router
redireccionándolo a una lista de direcciones URL con archivos infectados.
Al siguiente inicio del equipo
el gusano se conecta a las siguientes URL's desde las cuales intenta descargar
archivos infectados con otro troyano.
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://home/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://gateway.2wire.net/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.1.254/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://192.168.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
- http://172.16.0.1/xs[Removido]
PER ANTIVIRUS®
versión X4 con registro de virus al 19 de Marzo del 2008 detecta y elimina este
troyano.
