Si tratta di un virus forse di matrice italiana (ma potrebbe anche trattarsi di un maldestro depistaggio, dato che il numero maggiore di macchine infettate sembra essere in Sud America e Asia) che si sta diffondendo rapidamente in tutto il mondo creando una botnet ed ha come obbiettivi i router su cui non è stata cambiata la password di default "admin".
Secondo gli esperti "Chuck Norris è insolito perché infetta modem DSL e router anziché PC", riporta ComputerWorld (http://www.computerworld.com/s/article/9159758/Chuck_Norris_botnet_karate_chops_routers_hard?taxonomyId=12&pageNumber=1). I ricercatori, inoltre, sottolineano che è in grado di sfruttare anche una vulnerabilità nota dei prodotti D-Link. Al momento non si conosce la grandezza della botnet, che ha già colpito in Europa, Sud America e Asia.
A D-Link spokesman said he was not aware of the botnet, and the company did not immediately have any comment on the issue. Ma è dell'ultima ora il comunicato secondo cui D-Link sta prendendo molto seriamente il problema e proporrà nei prossimi giorni una soluzione definitiva per quanto la riguarda.
Il virus blocca le porte di comunicazione remote e tenta di propagarsi, vengono inoltre modificati i DNS in modo da far puntare la navigazione dell'utente su siti pieni zeppi di virus e trjan horse in grado di infettare il computer del malcapitato.
La cura consiste nello spegnere e riaccendere il router, dato che il virus non è in grado di installarsi nella flash eprom del router, e nel cambiare la password di accesso mettendone una robusta. Aiuta di certo disabilitare l'amministrazione del router dalla WAN.
Il discorso vale in primo luogo per chi lascia il router acceso 24h su 24.
Ma è stupendo!!! ;D ;D ;D ;D
Tuttavia mi chiedo un paio di cose.
Affinchè tutto questo avvenga occorre che:
- la password di default non sia stata cambiata;
- la gestione remota sia abilitata (e di default è disattivata)
- sia colpita una certa classe di dispositivi con una certa interfaccia(hardware diversi hanno interfacce diverse)
La prima vulnerabilità che mi viene in mente è un accesso telnet (anche se non gestibile dall'interfaccia web) abilitato di default anche sulla wan su una certa classe di dispositivi su cui non sia stata cambiata la password.
Oppure più probabilmente questo:
"I router si impallano al solo sguardo di Chuck Norris e sul tuo pc non potrai che ascoltare il principe che canta"
Un virus eseguito in lan con un'estensione linux può penetrare sia tramite l'interfaccia telnet, sia tramite una terza interfaccia nascosta e sempre attiva che poi è quella che usa il CD di configurazione per accedere al router. E' soprattutto quest'ultimo il bug che si imputa maggiormente a D-Link.
D-Link, a partire da maggio 2009, pare abbia inserito la protezione CAPTCHA (http://it.wikipedia.org/wiki/CAPTCHA) nei propri router.
Fonte D-Link Italia (http://www.dlink.it/cs/Satellite?c=Press_C&childpagename=DLinkEurope-IT%2FDLPressRelease&cid=1197384355771&p=1197318958276&packedargs=locale%3D1195806717957&pagename=DLinkEurope-IT%2FDLWrapper)
CitazioneIn questo modo D-Link ha ridotto al minimo le possibilità di attacchi alla rete domestica da parte di spyware, malware e botnet, come il recente attacco denominato "Chuck Norris", facilmente arginabile con il semplice riavvio e il cambio della password di default sul router e sui dispositivi Digital Home, scelta da sempre consigliata dall'azienda.
Sembra però che neanche il CAPTCHA sia servito a qualcosa.
E' stato scoperto infatti un bug (http://www.sourcesec.com/Lab/dlink_hnap_captcha.pdf) in tutti i router che usano HNAP (Home Network Administration Protocol), quelli confermati sono:
1) DI-524 hardware version C1, firmware version 3.23
2) DIR-628 hardware version B2, firmware versions 1.20NA and 1.22NA
3) DIR-655 hardware version A1, firmware version 1.30EA
Per il DIR-655 il bug di HNAP è stato risolto dal firmware 1.31B02_EU multilingual e dal 1.33NA eng.
Risolto anche nel DIR-300 :)
Info (https://www.dlink-forum.it/index.php?topic=5.0)