ESET在此处发布了有关该漏洞的报告。他们的主要发现是：

• Linux/Moose 针对消费者路由器和调制解调器，包括互联网服务提供商 (ISP) 向消费者提供的硬件
• 该威胁是为通过防火墙传播的深度网络渗透而构建的
• 它可以窃听与受感染路由器后面连接的设备的通信，包括台式机、笔记本电脑和手机
• Moose 运行综合代理服务（SOCKS 和 HTTP），只能通过特定的 IP 地址列表访问
• 运营商使用受感染的设备在 Twitter、Facebook、Instagram、Youtube 等平台上进行社交网络欺诈
• Moose 可以配置为重新路由路由器 DNS 流量，从而实现来自 Internet 的中间人攻击
• 它会影响在 MIPS 和 ARM 架构上运行的基于 Linux 的嵌入式设备

如果我们看看它是如何传播一个声明的，那么这里非常重要：

最后但并非最不重要的一点是，这种威胁仅通过破坏具有弱或默认凭据的系统来传播。恶意软件没有利用任何漏洞。尽管被系统管理员轻描淡写，但这种攻击媒介已经有效地破坏了许多连接互联网的系统。正如 FireEye 最近所说：“暴力破解凭证仍然是组织首次遭到破坏的十大最常见方式之一。

他们列出了一些可能受到影响的设备：

网络设备供应商

3Com、阿尔卡特朗讯、Allied Telesis、Avaya、Belkin、Brocade、Buffalo、Celerity、Cisco、D-link、Enterasys、惠普、华为、Linksys、Mikrotik、Netgear、Meridian、北电、SpeedStream、汤姆森、TP-Link , 中能, ZyXEL

电器供应商

APC、兄弟、柯尼卡/美能达、京瓷、Microplex、理光、东芝、施乐

物联网供应商

海康视觉、立维腾

妥协指标

如果凭据可以通过 Telnet 登录，如果 Telnet 默认启用，并且可以通过在设备提示符中键入 sh 来获得 shell 访问权限，那么这些都是非常好的指标，表明设备可能被 Linux/Moose 感染。

预防

更改网络设备的默认密码，即使无法从 Internet 访问。尽可能禁用 Telnet 登录并使用 SSH。确保您的路由器无法通过端口 22 (SSH)、23 (Telnet)、80 (HTTP) 和 443 (HTTPS) 从 Internet 访问。如果您不确定如何执行此测试，当您在家时，请使用 GRC.com 的 ShieldsUP 服务中的“公共端口”扫描。确保上述端口收到隐身或关闭状态。还建议运行嵌入式设备供应商提供的最新固件。