Psybot: Das Router-Botnet

**gullinews** · 23. 03. 2009, 15:34

Der Schädling Psybot brachte ein ungewöhnliches Botnetz unter seine Kontrolle: Rund 100.000 Router sollen mit Hilfe der Software ferngesteuert worden sein.

Botnets aus infizierten Heimcomputern sind mittlerweile unerfreulicher Alltag im Internet. Einen anderen Weg gingen jedoch die Autoren des Schädlings Psybot: Sie infizierten kurzerhand zahlreiche Router mit ihrer Software und nutzten diese als Botnet. Zu diesem Schluss kommt zumindest der Betreiber der Web-Site DroneBL, der nach eigenen Aussagen Ziel von DDoS-Angriffen des betreffenden Netzes wurde.

weiterlesen

**c64er** · 23. 03. 2009, 16:46

Hi, ich habe die Meldung heute Mittag auf HEISE auch schon gelesen.

Angeblich läd der Bot eine Datei namens "udhcpc.env" nach /var/tmp und startete sie.

Laut einer Aussage von Heise steht vor allem der Netcomm NB5 auf der Liste der bevorzugten Ziele. Ist dieses Modell überwiegend in den USA etc. angesiedelt? Gibts die Baureihe auch bei uns? Hab von dem Hersteller noch nie was gehört

Hat schon Jemand Probleme mit dem Bot gehabt. Unregelmäßigkeiten im Router, langsamere Verbindung, ungewöhnliche LED Aktivität?

Kann das mal Jemand verifizieren?

Gibt es schon einen Workaround mit welchem man ein verseuchtes Gerät fixen kann? Hilf es die aktuelle Firmware bei den versch. Modellen aufzuspielen/ drüberherzuziehen ?

Heise brachte zwar eine tolle Newsmeldung heraus, ließ aber leider die User im Regen stehen. Leider nirgendwo einen Verweis auf ein Herstellerstatement oder eine Übersichtsliste der betroffenen Hersteller, Modelle und Firmwarestand etc.

Einige Netgear-Modelle sollen auch betroffen sein. Wüsste gerne welche das sind. Parallel interessiert mich auch, ob Fritz!Boxen mit ins Botnet Raster fallen.

Viele Fragen, wenig Antworten ...

Danke + Greetz
c64er

**amigaman** · 23. 03. 2009, 16:54

Wie auf deiner verlinkten Netcomm-Seite steht, ist das Teil vor allem in Australien verbreitet, und auf dem Prinzipbild ist eine Firewall zwischen Router und Internet abgebildet, die mit Sicherheit keine 5 Leute mit so einem Router eingesetzt haben.

Mich würde auch viel mehr interessieren, welche Geräte der psyb0t noch anspricht, er soll ja 6000 User und 13000 Passwörter an Bord haben.
Oder besser noch: Kann mir mit einer Fritz!box was passieren?
Und: wie merk ich, das ich den Drachen habe?

Und als hilfe würde ich das zurücksetzen auf Werkseinstellungen ansehen, dabei wird ja alles im Flash gelöscht. Musst nur deine Einwahldaten wieder reintun.

Odgen · 23. 03. 2009, 18:09

Zitat von amigaman

Oder besser noch: Kann mir mit einer Fritz!box was passieren?

Ja, wenn die Programmierer der Firmware dumm genug sind, Dienste wie ssh (ohne Passwort und ungefragt) zu starten. Kontrollieren kann man sowas schlecht.

**Shodan_v2-3** · 23. 03. 2009, 19:27

Also zur Fritzbox:
Der Telnet Server der Box ist
a) nur vom internen Netz zu erreichen
b) idR abgeschaltet, wenn man ihn nicht angeschaltet hat, um an der Box herumzubasteln

Wenn du uPNP abgeschaltet hast, ein Kennwort für die Oberfläche vergeben und die aktuelle Firmware installiert hast, bist du vor diesem Wurm wohl ziemlich sicher ;-)

Wenn du uPNP behalten möchtest, zB um eine neue IP Adresse zu bekommen, ohne die Box vom Netz nehmen zu müssen (die blöde Oberfläche hat keinen Knopf - . - ), dann schalte halt “Änderungen der Sicherheitseinstellungen über UPnP gestatten” aus.

Wie sicher / unsicher uPNP ist, weiß ich nicht, hab nur ne Menge Gerüchte gehört von "total safe" bis "schweizer käse".. inklusive "sicher durch obfuscating" da das Ding wohl eine sehr eigenwillige Auslegung von XML hat..

Wenn du net weißt, wovon ich rede, brauchst du es net, also schalt es ab ;-)