Črva so odkrili pri ponudniki dostopa do interneta v Wyomingu, ker je črv zasedel vse razpoložljive kapacitete in upočasnil njihovo omrežje. Ko črv okuži usmerjevalnik, začne prek vrat 8080 in 80 preverjati, ali so na internetu drugi usmerjevalniki, ki bi jih lahko okužil. Nanje se priključi z zlorabo HNAP (Home Network Administration Protocol), ki je namenjen oddaljenim posodobitvam in konfiguriranju usmerjevlaniku, ki jih izvaja lokalni ponudnik dostopa do interneta. Črv s preverjanjem, na katerih naslovih dobi odgovor na zahtevke po povezavi HNAP, ugotovi, kje so še ostali usmerjevalniki. Nanje se potem poveže prek ranljivosti v eni izmed CGI-skript.

Ko črv okuži usmerjevalnik, za zdaj nima zločestih namenov, čeprav ima nekaj vnosov, ki bi lahko kazali na klicanje krmilno-nadzornih strežnikov. Večino svojega časa preživi v iskanju drugih usmerjevalnikov (išče v 670 omrežjih, ki pripadajo ISP-jem v več državah), ki bi jih še lahko okužil. Sicer pa nastavi DNS-strežnike na 8.8.8.8 in 8.8.4.4. To so IP-ji Googlovih javnih DNS-strežnikov. Zakaj to stori, ni jasno. Ker črv vsebuje nekaj slik iz filma The Moon, se ga je prijelo isto ime. Ponovni zagon usmerjevalnika okužbo odstrani. Raziskovalci si še belijo glavo z vprašanjem, čemu služi ta črv in kaj se z njim preizkuša. Morebiti gre namreč za generalko pred resnim napadom.

Da je vaš usmerjevalnik okužen, lahko spoznate po visokem izhodnem prometu na vratih 8080 in 80 ter nenavadnih vhodnih povezavah na vratih, ki so manjša od 1024. Ranljivost pa lahko preverite s spodnjim ukazom. Če vrne ustrezen odziv v formatu XML, je usmerjevalnik potencialno ranljiv.

sloTech