19/1/2014 Procedimento para remoo do virus/worm SkyNet ! !
https://under-linux.org/showthread.php?t=154682 1/3
Procedimento para remoo do virus/worm SkyNet !!
Caros,
Segue um passo-a-passo de como evitar que o vrus envie dados de
sua rede e tambm comoremov-lo:
Passo 01: Bloquear o acesso IN->OUT do worm, para evitar
envio de informaes(login,senha,ips, etc)o Worm faz comunicao com o
IP: 178.216.144.75, voc deve incluir uma regra na tabelaFILTER na
chain FORWARD, dando um DROP quando o destino for o ip
178.216.144.75. Casoqueira monitorar quais clientes esto
infectados, basta que, antes da regra de DROP, voce faa amesma
regra com o ACTION setado para LOG, assim todo acesso do worm vai
ser logado.
Passo 02: Entre no rdio via SSH (Recomendo utilizar
oPUTTY,http://the.earth.li/~sgtatham/putty/.../x86/putty.exe) e
execute os seguintes comandos:
Cdigo :
rm /etc/persistent/rc.poststartrm -rf
/etc/persistent/.skynetcfgmtd -w -p /etc/ reboot
Neste momento o rdio vai ser reinicializado, quando ele
retornar, vai estar sem o vrus, voc deveatualizar o rdio com os
firmwares disponveis aqui:
http://189.84.0.10/ubnt.php
Estes firmwares, so verses estveis (5.2.1 e 5.3.3) j com as
correes. Estes soparaTODA linha M da ubiquiti (Airmax M5,M2,M900).
Quando completar o UPLOAD para o rdiovai aparecer uma mensagem em
um box laranja, avisando que o firmware de terceiro, bastaconfirmar
a atualizao.
Depois de atualizado, volte via SSH no rdio e confirme se o vrus
foi removido com sucesso,digitando o comand:
Cdigo :
ls -l /etc/persistent/.skynet
o retorno deste comando deve ser:
Cdigo :
XM.v5.3.3-ajcorrea# ls -l /etc/persistent/.skynetls:
/etc/persistent/.skynet: No such file or directory
Pronto, agora s fazer o mesmo procedimento nos outros rdios.
Para as verses antigas (AirOS 3.x), NanoStation2, NanoStation5
(no airmax) voc podeutilizar o firmware 4.0.1 disponvel no site da
ubnt.
19/1/2014 Procedimento para remoo do virus/worm SkyNet ! !
https://under-linux.org/showthread.php?t=154682 2/3
O motivo de ter feito patch para as verses 5.2.1 e 5.3.3 foi
para manter a estabilidade da rede,vrios usurios tiveram problemas
com a verso 5.3.5 publicada pela UBIQUITI, problema este queem
muitos casos o upload do rdio no consegue passar de 1MB, tanto como
AP quanto comoCLIENT (seja em modo router ou em modo bridge).
Estes firmwares foram testados por vrios outros provedores antes
de serem publicados, umacpia original do firmware com a correo, no
foram feitas alteraes nas demais partes.
Como o vrus funciona:
01 - A Falha:H uma falha no sistema de autenticao do web-server
interno (lighthttpd) onde possvelacessar as configuraes via web sem
nenhuma senha, bastando informar algunsparmetros na URL. A ubiquiti
desenvolveu um "formulrio" de administrao para facilitaralgumas
tarefas (upload,download de arquivos por ex.), este formulrio torna
a falha maisfcil de ser explorada.
02 - O WORM SkyNet:Uma vez um nico rdio infectado, o WORM
espalha automaticamente pela rede, ele possuium 'daemon' que de
tempos em tempos faz uma varredura em TODA rede. Ao encontrar
osendereos vulnerveis, ele consegue enviar uma cpia do WORM para
este(s) rdios. Estesnovos rdios infectados vo fazer o mesmo
procedimento, scanear e infectar os rdios queeles encontrarem.
O rdio infectado passa a no responder os comandos via WEB, ele
remove TODAS aspginas, a nica forma de acesso ao rdio via SSH, se
habilitado. Para rdios que noesto com SSH habilitado, a nica forma
de remover fazendo o procedimento via TFTP.
O WORM tem um outro processo, que o de ESCUTA de rede, ele
coloca todas asinterfaces em modo "promiscuo", onde possvel a
captura de TODOS os pacotes. Com umFILTRO neste processo, ele
consegue capturar dados do usurio, dados de administrao darede
(usurio e senha de acesso ao rdio).
De tempos em tempos, o WORM verifica se foram coletados dados,
se sim, ele envia estesdados para o IP informado no incio do
tpico.
Aps algum tempo de atividade, o WORM consegue DESLIGAR o rdio
com o comando 'halt',assim o rdio passa a no responder mais, sendo
necessria interveno tcnica manual(Remover o rdio da tomada e
liga-lo novamente).
Ao inicializar, o vrus toma conta do rdio novamente. Aps
determinado perodo, o rdioser desligado novamente.
Consideraes finais: importante lembrar que, rdios que tenham IP
VLIDO, vo espalhar o WORM pela redeINTERNA e tambm para a rede
EXTERNA (internet). Caso o Administrador do provedor noremova o
vrus rapidamente, provavelmente ter seu ip ou bloco bloqueado em
diversasredes, tendo ainda mais problemas.
Aps remover e atualizar, trocar TODAS as senhas, pois o vrus
enviou estes dados epodero ser utilizados para um novo ataque.
Saudaes,Alexandre Jeronimo Correa (alexandrecorrea)
Onda Internet
