WORM para AIROS da Ubiquiti

[osmano807]

o script envia dados de cookies (capturados pelo tcpdump) para o ip 178.216.144.75. Além disso, percorre todo o range de ips pra tentar proliferar o virus. num ip infectado verifiquei que os dados de cookie que ele mandou foi "100002677418915;1%3A72f45bb8592c903b01bdac0e2428230a%3A0%3A1323342467"... aparentemente não dá pra saber que informação é, mas pode ser que seja a senha ou alguma outra informação criptografada.

Código :

100002677418915;1:72f45bb85 92c903b01bdac0e2428230a:0: 1323342467

Tá vindo... passei um urldecode.
Primeiro campo achei que era uma timestamp, mas deu um valor muito no futuro.
Mas acho que é alguma id única para os dados subsequentes.

EDIT: opa... a data é o último campo:

Código :

osmano807@notebook_3d ~ % date -d @1323342467
Thu Dec  8 09:07:47 BRST 2011
osmano807@notebook_3d ~ % date -u -d @1323342467
Thu Dec  8 11:07:47 UTC 2011

Pode postar os dados em formato raw, ou uma parcela dentro do 'code'? Creio que tem um espaço ali sobrando.

EDIT2: 3º campo parece ser um md5

EDIT3:
D'OH!!!

Código :

osmano807@notebook_3d /tmp % sudo cat /etc/shadow | grep skype
skype:$1$TO2o/QCH$hV9zXrXV7xDMBWXGjATQO/:15313:0:99999:7:::

Não iria dar a senha do meu root né?
Isso aí tá em DES.
Creio que aquilo lá pegou a senha de root como md5 e tá mandando...

Humm, o jeito é olhar o rádio e ver se bate algo com o /etc/shadow...
(usar md5 de hash no /etc/shadow? pff) Ou o rádio salva em outro local? humm

[GrayFox]

O airos nao usa md5, ele usa DES.
Quando ele da o boot, pega o passwd dos usuarios (normal e read-only) e coloca no /tmp/running.cfg e /tmp/system.cfg .

Quando vc altera alguma coisa, o /tmp/system.cfg é alterado.
Quando vc troca a senha, a senha que é trocada é no system.cfg e nao no /etc/passwd.
Quando vc clica em apply, é rodado um software que pega todas as variaveis do /tmp/system.cfg e aplica no SO. Após aplicar as variaveis, simplesmente aplica o cfgmtd.

Depois posso olhar tambem com calma esses dados aí, mas acredito que até lá o joaquim já deva ter desvendado.


Saudações,

[michellantunes]

Bom dia pessoal,

no Sábado 90% dos meus rádios UBNT pararam de funcionar... com reboot (desliga/liga) volta normal. Força tarefa para atualizar eles. Poderia ser o Worm?

[xandemartini]

Bom dia pessoal,

no Sábado 90% dos meus rádios UBNT pararam de funcionar... com reboot (desliga/liga) volta normal. Força tarefa para atualizar eles. Poderia ser o Worm?

Com certeza é o worm. Inclusive por aqui, tive uma cidade paralisada uma tarde inteira com este problema, antes de sair essa notícia do worm.

[michellantunes]

Com certeza é o worm. Inclusive por aqui, tive uma cidade paralisada uma tarde inteira com este problema, antes de sair essa notícia do worm.

Realmente deu trabalho... Simplesmente os equipamentos travavam... e após o reboot voltavam a operar normalmente e derrepente paravam novamente.
Conforme fomos atualizando nossas estações o problema foi diminuindo.

Agora também o pessoal esta começando a atualizar os equipamentos dos clientes.

Outra pergunta: Alguém ai usou esse utilitário para a atualização dos clientes? ou somente manual ou aircontrol?
http://downloads.ubnt.com/XN-fw-inte...netMalware.jar

Att e bom ano a todos.

[filzek]

acho que as acoes da ubnt vao cair mais um pouco por causa disso, é que ninguém ta divulgando o que aconteceu de fato, mas, parece que o worm rouba todas as senhas de emails, webs, orkut e msn dos usuarios que trafegam por elas, pois as senhas vão em pure char, e mandam pra um servidor, basta monitorar o trafego dela e verá que isso é fato.

[naldo864]

afff ai tu ta querendo a morte do ubiquiti

[filzek]

nao, eu gosto da ubiquiti fui o terceiro distribuidor deles no mundo, vendemos muitas nanos 2, nanos 5, xr5, são excelentes os equipamentos e a idéia deles também, muitos dos produtos que eles tem hoje, eu sabia do projeto e existência deles antes de todo mundo, e nem por isso copie produtos deles, quanto a minha pessoa e o pessoal da ubiquiti não tenho problemas não.

só acho que o problema é baseado no openwrt que é a base da estrutura do UBNT, e por isso, a culpa recai também para a UBNT, presunção da culpa nesse caso, como no caso de você ter sua conta bancária rebentada por um cacker e então o banco ter que pagar você de volta, isso é presunção da culpa.

eles mesmos estão apagando o foco do problema antes que o problema se espalhe e cause um crash total nas ações da empresa que já estão em queda, basta ver Ubiquiti Networks, Inc. Gráfico de ações | UBNT Gráfico interativo - Yahoo! Finanças

eles lançara ação por U$

16,25 chegou até U$ 23,04 e agora ta em U$ 18.50

Podemos comprar 1000 ações a acompanhar elas em tempo diário, o que é uma boa para investimento.

Veja que o último relatório de crescimento de provedores de internet no mercado brasileiro é assustador:
1) são 3500 registros de SCM na ANATEL dos quais cerca de 1500 emitidos.
2) fizemos uma pesquisa nas cidade e cada cidade tem pelo menos 4 provedores gatonet para 1 provedor SCM/SVA/parceria
3) Os Kit clientes são trocados apenas quando há queima, nunca por evolução de rede, ou os que são trocados são reaproveitados, isso quer dizer que em 2012 a venda de Kit Clientes permanecerá a mesma do ano passado, e em 2013 será METADE de 2012, e assim por diante, ou seja, o mercado brasileiro estará acabado em 3 anos, sendo este o ''ULTIMO GRANDE ANO PARA PROVEDORES ENTRANTES".

Veja que as ações da UBNT valem 1.12 bilhões de dolares, e 45% (venda direta para o paraguay e brasil juntos) do mercado é BRASILEIRO, eles vendem 250 milhoes por trimeste, o que equivale a R$ 62 milhoes de reais por mês para o brasil, se considerarmos uma média bruta de U$ 60 dolares por equipamento isto dá: 550000 (quinhentos e cinquenta mil) equipamentos vendidor por mês para o brasil, então, alguma conta esta MUITO, MUITO, MUITO errada.

A Anatel divulgou que o brasil tem 1 em cada 10 pessoas conectadas no brasil, isso dá 10%, do povo, cerca de 30 milhoes, coloque os não informados pelos gatonets e afins, pode ter certeza de uns 45 milhoes.

os provedores de internet possuem hoje cerca de 15% dos assinantes, quase 7 milhòes de assinantes, dos quais apenas 40% são via radio, 3 milhões de assinantes são realmente clientes de internet a radio no brasil, sabemos que isso esta errado em cerca de 5 milhoes, pois os assinantes a radio cresceram muito no norte e nordeste do pais, então, deve ser por volta de 10 milhoes de clientes a radio, e 20 milhoes na mao dos provedores scm (exclue-se as teles nisso/tvs a cabo).

A conta é simples.
IBGE quantidade de habitantes por casa (média brasil) 3.37 / 250 milhoes = 74.183.976 de residencias.

A conta esta em 74 milhões de residências.

Se o brasil possue um total de 45milhoes de conectados, praticamente isso inclue quem tem acesso via celular/lan house/cyber, podemos contabilizar então uns 38 milhoes de acessos fixos na rede.

ainda sobra 38 milhoes de casas para a plenitude dos acessos.

Se considerarmos 10% probreza absoluta, então, sobra-se apenas 35 milhoes.
28 milhoes x 40% x 40% = 5.600.000 (cinco milhoes e seiscentas mil) novas assinaturas.
se dividirmos em 12 meses, termos 466.666 assinaturas wireless por mês.

Ou seja, a ubiquiti vende tudo, toma o mercado e fecha as portas na sequencia, pois a media de vida do equipamento é de 4 pra 5 anos.

A conta esta errada em alguma ponta.

Veja que a Krazer tem apenas 3% do mercado nacional se baseado no volume de 600 mil peças mes da Ubiquiti.

Abraços

[peritinaicos]

Acredito que quem compra um equipamento como nanostationM2 ou nanoM5 não queira trocar por outra tecnologia tão cedo...

[naldo864]

hummm o fim do mundo e este ano ....

[peritinaicos]

kkkkkkkkkkk skynet eh da hora hehehe quem será q o proximo vai prever oq? eeheh

[filzek]

vixe, acho que o terminator 5 vem ai, xin lin bin xanden nsm5, hehehe...

pessoal, eu encontrei a empresa na china que fez o clone do Nano 5, veja que eles clonaram o NanoStation 5, e a Ubiquiti PERDEU a ação na china, a empresa voltou a comercializar os equipamentos ontém novamente, e não é cópia não, é CLONE mesmo, parece que a UBNT perdeu a guerra la, voltou a tona a guerra dos clones (assistam starwars que vão entender isso, uahahaha)....

Não posso divulgar o site que está com os clones, mas, é o mesmo local na china que o Robert foi visitar, se clonaram o NS5 quanto tempo até o NSM5???

uhahahaa, isso vai ser foda...

o duro que o pessoal usa a propria propaganda do NS5, uhahaha

[filzek]

pessoal dia 16 de janeiro sai na forbes a reportagem do robert, muito legal, parabens!!!

[sergio]

Tem essa matéria aqui. Só nos EUA mesmo... Se fosse no Brasil seria tanta propina para pagar e impostos que seria bilionário daqui uns 100 anos... isto é, trabalhando honestamente.

pessoal dia 16 de janeiro sai na forbes a reportagem do robert, muito legal, parabens!!!

[filzek]

Essa mesmo ai Sergião, o cara é xou de bola, ta com tudo mesmo, veja que ele sabe que não foi ele quem inventou o conceito que ele TAMBÉM COPIOU dos CANOPY e do que o grande Maia chama de os AP's de Plástico, hehehe, e fez a coisa do jeito certo, o que abriu as portas para ele foi a abertura da apple e da pacific wireless junto do Ben que então alavancou as vendas... e se eu falasse que fui um dos primeiros doidos que botou um pedido de 200 XR5 e 2000 NS2 na epoca que ele inventou a Nano??? pra ver como eu nunca fui um pé de breque nisso...

[filzek]

ah, foi a invoice numero 42 emitida pela Ubiquiti, heheh.... um dos primeiros mesmo, literalmente...

[naldo864]

hummm na china eles copiam ate praistation 3 quanto mas ubiquiti ,para os china o que importa e glana ne....

[filzek]

ou, acabei de achar a empresa que o UBNT copiou o design do futuro lançamento da Powerstation M5 3x3
http://tkld.pl/anteny%20SHD/dual%20p...ualantena2.jpg

Mais uma vez a polonia DETONANDO no conceito das antenas, porra, os caras são fodas...

[filzek]

fala jorge,

é o refletor dos dipolos em histories, ou seja, em andares, e ptfe/carbom ou inves de fr4.

[tioruan]

Gostaria de saber , o que muda , em relacao aos meu 50 airgrid q tao parado aqui , que nao associa , será , que vai mudar alguma coisa eles vao voltar a funcionar , o esse worm nao interfere em nada desse tipo ?