Ihr Router könnte einem neuen Telnet-Wurm erliegen

Remaiten ist die neueste Inkarnation von verteilten Denial-of-Service-Linux-Bots für eingebettete Architekturen. Seine Autoren nennen es tatsächlich KTN-Remastered, wobei KTN höchstwahrscheinlich für einen bekannten Linux-Bot namens Kaiten steht.

Beim Suchen nach neuen Opfern versucht Remaiten, sich an zufällige IP-Adressen an Port 23 (Telnet) anzuschließen und wenn die Verbindung besteht erfolgreich, es versucht, username und Kennwortkombinationen von einer Liste der allgemein benutzten Bescheinigungen zu authentifizieren, sagten Forscher von ESET in einem Blogbeitrag.

[weiterführend: Wie man Schadprogramm von deinem Windows PC entfernt]

wenn die Authentisierung Erfolg, der Bot führt mehrere Befehle aus, um die Systemarchitektur zu bestimmen. Es überträgt dann ein kleines Downloader-Programm, das für diese Architektur kompiliert wurde und den vollständigen Bot von einem Command-and-Control-Server herunterlädt.

Die Malware hat Versionen für Mips, Mipsel, Armeabi und Armebeabi. Einmal installiert, verbindet es sich mit einem IRC-Kanal (Internet Relay Chat) und wartet auf Befehle von Angreifern.

Der Bot unterstützt eine Vielzahl von Befehlen zum Starten verschiedener Arten von Denial-of-Service-Angriffen. Es kann auch nach konkurrierenden DDoS-Bots auf dem gleichen System suchen und diese deinstallieren.

Es ist überraschend, dass viele Netzwerkgeräte immer noch Telnet für die Fernverwaltung anstelle des sichereren SSH-Protokolls verwenden. Es ist auch bedauerlich, dass viele Geräte mit standardmäßigem Telnet-Dienst ausgeliefert werden.

Gerätebesitzer sollten eines der vielen kostenlosen Online-Port-Scan-Tools verwenden, um zu überprüfen, ob ihr Router Port 23 geöffnet hat und versuchen sollten, den Telnet-Dienst von der Festplatte herunterzufahren webbasierte Administrationsoberfläche des Geräts. Leider bieten viele Gateway-Geräte, die ihren Kunden von ISPs bereitgestellt werden, keinen vollständigen Zugriff auf die Verwaltungsfunktionen.