19/1/2014

Procedimento para remoo do virus/worm SkyNet !!

Procedimento para remoo do virus/worm SkyNet !!

Caros, Segue um passo-a-passo de como evitar que o vrus envie dados de sua rede e tambm como remov-lo: Passo 01: Bloquear o acesso IN->OUT do worm, para evitar envio de informaes (login,senha,ips, etc) o Worm faz comunicao com o IP: 178.216.144.75, voc deve incluir uma regra na tabela FILTER na chain FORWARD, dando um DROP quando o destino for o ip 178.216.144.75. Caso queira monitorar quais clientes esto infectados, basta que, antes da regra de DROP, voce faa a mesma regra com o ACTION setado para LOG, assim todo acesso do worm vai ser logado. Passo 02: Entre no rdio via SSH (Recomendo utilizar o PUTTY,http://the.earth.li/~sgtatham/putty/.../x86/putty.exe) e execute os seguintes comandos: Cdigo :
r m/ e t c / p e r s i s t e n t / r c . p o s t s t a r t r mr f/ e t c / p e r s i s t e n t / . s k y n e t c f g m t dwp/ e t c / r e b o o t

Neste momento o rdio vai ser reinicializado, quando ele retornar, vai estar sem o vrus, voc deve atualizar o rdio com os firmwares disponveis aqui: http://189.84.0.10/ubnt.php Estes firmwares, so verses estveis (5.2.1 e 5.3.3) j com as correes. Estes so paraTODA linha M da ubiquiti (Airmax M5,M2,M900). Quando completar o UPLOAD para o rdio vai aparecer uma mensagem em um box laranja, avisando que o firmware de terceiro, basta confirmar a atualizao. Depois de atualizado, volte via SSH no rdio e confirme se o vrus foi removido com sucesso, digitando o comand: Cdigo :
l sl/ e t c / p e r s i s t e n t / . s k y n e t

o retorno deste comando deve ser: Cdigo :

X M . v 5 . 3 . 3 a j c o r r e a #l sl/ e t c / p e r s i s t e n t / . s k y n e t l s :/ e t c / p e r s i s t e n t / . s k y n e t :N os u c hf i l eo rd i r e c t o r y

Pronto, agora s fazer o mesmo procedimento nos outros rdios.

Para as verses antigas (AirOS 3.x), NanoStation2, NanoStation5 (no airmax) voc pode utilizar o firmware 4.0.1 disponvel no site da ubnt.
https://under-linux.org/showthread.php?t=154682 1/3

19/1/2014

Procedimento para remoo do virus/worm SkyNet !!

O motivo de ter feito patch para as verses 5.2.1 e 5.3.3 foi para manter a estabilidade da rede, vrios usurios tiveram problemas com a verso 5.3.5 publicada pela UBIQUITI, problema este que em muitos casos o upload do rdio no consegue passar de 1MB, tanto como AP quanto como CLIENT (seja em modo router ou em modo bridge). Estes firmwares foram testados por vrios outros provedores antes de serem publicados, uma cpia original do firmware com a correo, no foram feitas alteraes nas demais partes.

Como o vrus funciona: 01 - A Falha: H uma falha no sistema de autenticao do web-server interno (lighthttpd) onde possvel acessar as configuraes via web sem nenhuma senha, bastando informar alguns parmetros na URL. A ubiquiti desenvolveu um "formulrio" de administrao para facilitar algumas tarefas (upload,download de arquivos por ex.), este formulrio torna a falha mais fcil de ser explorada. 02 - O WORM SkyNet: Uma vez um nico rdio infectado, o WORM espalha automaticamente pela rede, ele possui um 'daemon' que de tempos em tempos faz uma varredura em TODA rede. Ao encontrar os endereos vulnerveis, ele consegue enviar uma cpia do WORM para este(s) rdios. Estes novos rdios infectados vo fazer o mesmo procedimento, scanear e infectar os rdios que eles encontrarem. O rdio infectado passa a no responder os comandos via WEB, ele remove TODAS as pginas, a nica forma de acesso ao rdio via SSH, se habilitado. Para rdios que no esto com SSH habilitado, a nica forma de remover fazendo o procedimento via TFTP. O WORM tem um outro processo, que o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde possvel a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usurio, dados de administrao da rede (usurio e senha de acesso ao rdio). De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no incio do tpico. Aps algum tempo de atividade, o WORM consegue DESLIGAR o rdio com o comando 'halt', assim o rdio passa a no responder mais, sendo necessria interveno tcnica manual (Remover o rdio da tomada e liga-lo novamente). Ao inicializar, o vrus toma conta do rdio novamente. Aps determinado perodo, o rdio ser desligado novamente. Consideraes finais: importante lembrar que, rdios que tenham IP VLIDO, vo espalhar o WORM pela rede INTERNA e tambm para a rede EXTERNA (internet). Caso o Administrador do provedor no remova o vrus rapidamente, provavelmente ter seu ip ou bloco bloqueado em diversas redes, tendo ainda mais problemas. Aps remover e atualizar, trocar TODAS as senhas, pois o vrus enviou estes dados e podero ser utilizados para um novo ataque. Saudaes, Alexandre Jeronimo Correa (alexandrecorrea) Onda Internet
https://under-linux.org/showthread.php?t=154682 2/3

19/1/2014

Procedimento para remoo do virus/worm SkyNet !!

Onda Internet - A sua internet mais que r IPV6 Ready !

https://under-linux.org/showthread.php?t=154682

3/3