Roteadores Linksys são infectados por vírus auto-replicável

São Paulo - Pesquisadores do Sans Institute divulgaram a descoberta de um ataque um tanto diferente que está afetando roteadores Wi-Fi da Linksys. A ameaça consiste em um malware “auto-replicável”, que infecta os aparelhos através de uma provável vulnerabilidade que permite a execução de código, de acordo com o ArsTechnica.

Segundo o site, depois de infectar um dispositivo, o vírus procura pela internet outros aparelhos similares – e igualmente vulneráveis – para se espalhar. O CTO do Sans Johannes B. Ullrich afirmou à página que, apenas nos EUA, cerca de 1.000 casos foram confirmados em roteadores da linha E da Linksys, que inclui os modelos E1000, E1200 e E2400, por exemplo. No mundo todo, no entanto, o número pode ser bem maior.

Ao invadir os aparelhos, o malware injeta um script que carrega esse mesmo comportamento de “procurar e destruir” – ou “se espalhar”. Ele pode alterar o endereço de domínio do dispositivo para 8.8.8.8 ou 8.8.4.4 (o DNS do Google) e, segundo um operador de provedores ouvido pelo Ars, a ideia parece ser criar uma botnet com os roteadores.

Conforme mostra o site, a brecha aproveitada pelo ataque aparece na comunicação com o protocolo de administração de redes domésticas (o HNAP, na sigla em inglês). Ele é utilizado por provedores para acessar remotamente roteadores em casas e escritórios, e esse não é o primeiro bug encontrado no sistema. O worm usa o HNAP para encontrar outros roteadores vulneráveis da Linksys, e se espalha, independente de senhas, através de uma vulnerabilidade em um script CGI.

Prevenção – Segundo o Ars, quem tem um aparelho da Linksys em casa ou no trabalho pode descobrir se ele está infectando checando a atividade de saída nas portas 80 ou 8080 e tentativas de conexão em algumas que ficam abaixo da 1024. Se elas estiverem muito altas – e a internet estiver muito lenta –, o ideal é reiniciar o roteador, já que o worm parece não ser tão persistente. E mesmo em dispositivos não infectados, quando possível, recomenda-se atualizar o firmware para a versão 2.0.06. Aparentemente, a brecha de segurança está presente em edições anteriores a ela.