Es un terrible malware que afecta a los routers, este “pequeño” malware nos puede destrozar completamente la vida ya que es muy sofisticado, tanto que el FBI a pedido a ESCALA MUNDIAL que reiniciemos nuestros routers (Explico en el funcionamiento porque) y la gran compañia cisco nos recomienda que restablezcamos nuestro router a valores de fábrica y reinstalemos el último firmware.

Es muy sofisticado debido a que es muy silencioso en su primera etapa, es muy difícil saber si estas infectado o no, en su segunda etapa se han encontrado tres módulos, uno un sniffer, otro que busca de componentes SCADA, y  lo peor de todo es que el tercer módulo de este malware puede escribir una cantidad de bits dejando tu dispositivo inutilizable, este módulo es un limpiador de firmware
 
Por ahora se a descubierto que afecta al siguiente listado de routers:
-Linksys E1200
-Linksys E2500
-Linksys WRVS4400N
-Mikrotik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
-Netgear DGN2200
-Netgear R6400
-Netgear R7000
-Netgear R8000
-Netgear WNR1000
-Netgear WNR2000
-QNAP TS251
-QNAP TS439 Pro
-Otros dispositivos QNAP NAS que ejecutan el software QTS
-TP-Link R600VPN
No obstante no se descarta la posibilidad de que otros routers puedan ser infectados

El malware consta de tres Etapas:

El bot Stage One
───────────────
Es el más liviano y simple, ya que su única función es infectar el dispositivo y obtener la persistencia de arranque.

Etapa 2
───────────────
Es admitir una arquitectura de complemento para los complementos del Estado Tres

Etapa 3
───────────────
Cisco dice que hasta ahora ha detectado complementos de Stage Three que pueden:
Hacer sniff de paquetes de red y tráfico de interceptación
Controlar la presencia de protocolos Modbus SCADA
Comunicarse con los servidores de C & C a través de la red Tor

Este malware puede ser utilizado de muchas formas:

-Como botner (Ya que se utilizan los routers para infectar a otros, es decir, este malware se propaga)
-Para espiar el tráfico de red
-Paralizar enrutadores, dejando inutilizable una parte de la infraestructura de internet

Cisco dice que este malware puede tener aun más módulos que no se han detectado.
Como a dicho el fbi reiniciando el router la etapa 2 desaparece, pero por mala suerte la etapa 1 del malware no, es decir, podría volverse a poner en funcionamiento en cualquier momento
Lo más seguro es restablecer el router a configuración de fábrica, cambiar la contraseña por defecto e instalar el último firmware y rezar XD
 
El fbi ya se está encargando de solucionar este problema con lo cual no tardaran mucho en sacar parches.
 
Muchas gracias a todos, se que este post a sido tremendamente largo pero creo que esta bastante bien explicado