Home

AidraCheck v1.0 - Detección Malware Aidra

darkmantk

darkmantk

OpenSpa Team
Miembro del equipo
26 Ago 2009
8.533
2.650
0
aidracheck.jpg
Este plugin permite comprobar si nuestro receptor está infectado o posiblemente infectado por el gusano Aidra que es multiarquitectura y da igual el tipo de procesador tenga el dispositivo para ser infectado (x86, mipsel, sh4, arm, ...).

Este gusano la finalidad que tiene es la de infectar routers y crear un proceso que corra en este para formar parte de una botnet (red zombie) para realizar ataques DOS o ataques de SPAM entre otras cosas sin que los usuarios se percaten.

Como digo al ser multiarquitectura aunque su principal objetivo son los routers tambien pueden ser infectados otros dispositivos como moviles, tablets, ordenadores, receptores de satelite, raspberry pi, etc...

Es posible que este plugin no elimine el malware con eficacia ya que no se ha podido probar con un dispositivo infectado, pero aun así servirá para que el usuario esté informado si puede estar infectado o no.

Por ahora solo es para receptores mipsel, pero próximamente lo haremos para sh4 tambien que son los receptores que tocamos.

La licencia del plugin es GPL v2 por lo que van incluidos los .py con todo el código que se puede modificar para mejorar la función del plugin, eso si toda modificación el código se ha de publicar también.
 

Adjuntos

  • enigma2-plugin-extensions-aidracheck_1.0_mips32el.ipk
    215 KB · Visitas: 6
Última edición:
  • Me gusta
Reactions: vayahoras, rusoalicia, Clemente y otros 2
rusoalicia

rusoalicia

Super Mod
Vip OpenSPA
16 Sep 2009
4.957
432
0
Como ya he dicho otras veces tengo un colega con un e3hd y el otro día me dice que no podía instalar la nueva versión del TVweb desde el panel de descargas enviándome una foto del error. Hoy he tenido un hueco y me he puesto a averiguar que podía ser he realizado un opkg update y me daba errores que ya comente en este hilo:

http://openspa.info/threads/¿openspa-4-0-para-gbquadplus.32062/page-2#post-264866

Es este:
Código: 
root@e3hd:~# opkg update
Downloading http://downloads.openspa.info/feeds/3.0/e3hd/all/Packages.gz.
Downloading http://downloads.openspa.info/feeds/3.0/e3hd/e3hd/Packages.gz.
Downloading http://downloads.openspa.info/feeds/3.0/e3hd/mips32el/Packages.gz.
Collected errors:
* opkg_download: Failed to download http://downloads.openspa.info/feeds/3.0/e3hd/all/Packages.gz, wget returned 255.
* opkg_download: Failed to download http://downloads.openspa.info/feeds/3.0/e3hd/e3hd/Packages.gz, wget returned 255.
* opkg_download: Failed to download http://downloads.openspa.info/feeds/3.0/e3hd/mips32el/Packages.gz, wget returned 255.
root@e3hd:~#

Entonces me he acordado de que el otro día en el foro se hablaba del virus Aidra que renombraba el wget, he entrado a /usr/bin y el wget estaba como wget.wget lo he renombrado dejándolo solo como wget y entonces ha funcionado el opkg update. Le he enviado un whtasapp a mi colega para que probara a instalarlo ahora y lo ha podido instalar sin problema.

Le he instalado este plugin (AidraCheck) por telnet y lo ha ejecutado, diciéndole que estaba limpio, asi que he renombrado el wget a wget.wget como estaba y le he dicho que vuelva a ejecutar el plugin y ahora le da pantallazo verde y se reinicia. Lo ha intentado 2 veces con el mismo resultado por lo que tengo 2 crashlog los cuales adjunto. He vuelto a renombrar el archivo como wget solo y de momento se queda así.

También envío foto del momento del pantallazo.

Espero os sirva de ayuda.
 

Adjuntos

  • Crashlog AidraCheck.rar
    9 KB · Visitas: 1
  • IMG_1540.JPG
    IMG_1540.JPG
    155,3 KB · Visitas: 14
rusoalicia

rusoalicia

Super Mod
Vip OpenSPA
16 Sep 2009
4.957
432
0
Hoy me comenta mi amigo que a vuelto a pasar el check y otra vez pantallazo verde. Ayer le deje el wget bien por lo que no debería hacerlo si todo estuviera bien.

Esta noche he entrado por ftp a /usr/bin/ y ya no aparece el wget, ha desparecido.

¿Habéis podido ver algo de esto?
 
darkmantk

darkmantk

OpenSpa Team
Miembro del equipo
26 Ago 2009
8.533
2.650
0
Por algún motivo parece ser que no copia el wget a la ruta /usr/bin/ y claro cuando intenta hacer el chmod al no encontrar el archivo pues da el pantallazo.

Ahora le meteré un try para que si no puede hacer el chmod no de el pantallazo.

De todas formas te explico.

El binario real se llama wget.wget lo que pasa que el sistema crea un enlace simbolico como wget que cuando tu pones wget archivo_a_descargar pues llama al binario real.

Por lo que veo a tu amigo no es que le haya desaparecido el wget al principio, sino que le desapareció el enlace simbolico.

Y ahora parece que por lo que cuentas le ha desaparecido ya el binario al renombrarlo a wget solo. Lo que no entiendo es que si ya no tiene el binario porque no lo copia, yo hice pruebas en mi deco quitando el wget y me lo copiaba sin problemas.
 
Debes estar conectado o registrado para responder aquí.
Arriba Pie