Psyb0t is sinds januari actief te zijn, en heeft volgens onderzoekers van IP-watcher DroneBL al 100.000 apparaten besmet. Opvallend is dat de malware zich op routers richt, om precies te zijn op Linux Mipsel-apparaten. Deze routertjes zijn gebaseerd op de AR7 chipset van Texas Instruments, met daarop een Linux distributie die losjes is gebaseerd op een ooit vrij downloadbare versie van de MontaVista Linux distributie. Door een dictionary-aanval uit te voeren op bepaalde beheerinterfaces nestelt de worm zich in het apparaat, van waaruit het rekenkracht en bandbreedte doorsluist voor DDoS-aanvallen.

Kwetsbaar zijn routers die naast Mipsel een beheerinterface draaien op basis van Telnet, SHH of het web. De onderzoekers wijten de vele besmettingen vooral aan het gebruik van zwakke wachtwoorden en lekke daemons in de firmware.

Besmette apparaten kun je herkennen doordat poorten 22, 23 en 80 tijdens het besmettingsproces worden afgedicht. DroneBL adviseert om in zo'n geval om een powercycle uit te voeren. Een harde reset, firmware-upgrade en nieuwe wachtwoorden moet de rootkit volledig van het apparaat verwijderen.

Overigens lijkt het botnet zelf ondertussen stilgelegd, zo meldt DroneBL, maar daar is geen bevestiging van. Bron: Techworld