Аналитики делают заключение, что целью создания данного ботнета являлась задача тестирования технологии такого метода распространения угрозы. После обнаружения сети общественностью она сразу же была выключена ее оператором. Однако к тому моменту за короткий срок было заражено уже более 100 тыс. устройств.
Первое поколение червя способно было атаковать лишь несколько моделей роутеров, но уже последняя версия - 18 по счету - может внедряться в несколько десятков моделей устройств: более 30 моделей Linksys, 10 Netgear и 15 других. Также червь содержит информацию о 6000 именах пользователей и 12000 паролей к ним, что позволяет легко внедряться в роутеры, а далее получать доступ к проводным и беспроводным сетям.
Сообщается, что угрозе подвержены все роутеры, основанные на процессоре MIPS, которые управляются операционной системой Linux Mipsel, и изделия с операционной системой Vxworks. Пользователям таких устройств рекомендуется сменить пароли на трудноподбираемые варианты. О других моделях пока не сообщается, но это не значит, что они не подвержены риску заражения. Внедрение осуществляется путем входа с типовым логином и паролем на открытый для внешней сети web-интерфейс или SSH/telnet порт, при этом при последовательном введении неправильной комбинации доступ не блокируется. Также известно, что червь способен сканировать уязвимые установки PHPMyAdmin и MySQL. В случае заражения червь блокирует доступ к интерфейсу управления роутером, в таком случае единственным вариантом его удаления является сброс настроек на заводские с очисткой памяти.
Аналитики сообщают, что выявить подобного червя крайне проблематично, так как антивирусы не имеют доступа к роутерам. Единственным возможным вариантом обнаружения угрозы является постоянный мониторинг трафика роутера, но лишь немногие модели оснащаются отдельным портом для подключения к компьютеру и диагностики его состояния и производительности. Как правило, в домашних моделях такие порты не используются с целью экономии средств и снижения цены готового изделия.
На данный момент производители роутеров уведомлены об опасности заражения, потому стоит в скором времени ожидать появления новых прошивок для повышения их уровня безопасности. Также напомним, что ранее была обнаружена уязвимость процессоров Intel, которая позволяет запускать произвольный код, минуя антивирусы.