赛门铁克发现"Linux.Wifatch"一隻立志要当防毒软体的奇怪病毒

业界 作者:HackerEye 2015-10-06 04:41:58 阅读:336
赛门铁克发现一隻名为Linux.Wifatch奇怪病毒,在感染路由器或其他物联网装置之后,竟然会保护宿主并帮忙移除其他恶意程式。 赛门铁克研究人员Mario Ballano解释,Wifatch首先发现于2014年,当时独立安全研究人员发现家中的路由器被植入后门,变成一个由感染装置组成的P2P殭尸网路的一部份。 今年四月赛门铁克在研究包括家用路由器在内的嵌入式装置时,利用蜜罐(honeypot)网路蒐集到许多Wifatch样本,却发现和一般嵌入式装置威胁很不同。Wifatch大部份是以Perl语言撰写而成,会瞄准多种晶片架构并注入其静态Perl直译器(interpreter)。它经由Telnet连线入侵弱密码的装置。装置一旦感染后,就会连上P2P网路散佈其软体的更新版。赛门铁克估计它已感染上万装置。 但研究人员越是深入研究越觉奇怪,Wifatch的程式作者似乎想保护受感染的装置,而不是用它来从事恶意行为。首先,Wifatch的程式码并不像一般殭尸网路的控制程式,会酬载恶意活动的相关程式封包,例如用于DDoS攻击等恶意活动的封包,事实上它的程式是用来强化受感染装置的安全性。 经过数个月的追踪,安全人员没有发现以Wifatch为媒介的恶意活动。此外,它不但试图消除Telnet daemon以减少感染扩大,还会提供讯息提醒装置使用者记得变更密码,以及更新韧体。Wifatch的一个模组还会试图移除装置上的其他恶意程式,其中不乏专门瞄准嵌入式装置的知名恶意程式家族。 这个作者还在程式码中引用自由软体教父Richard Stallman的话:「NSA及FBI探员请看这里:你在捍卫美国宪法抵御所有国内外敌人时,请想想是否要以史诺登为榜样。」 Wifatch并未以模糊手法隐藏其Perl程式码,而只是利用压缩以减少程式码的大小,但安全研究人员认为,作者想模糊其程式码绝非难事。此外它还包含除错讯息,方便他人分析,似乎并不担心第三人加以检视。Wifatch还具有一个针对Dahua DVR CCTV监控器的「攻击程式」,会设定装置每周重开机一次,推测作者的设计可是要藉此重置系统以清除其他恶意程式。 虽然有种种「善举」,不过赛门铁克仍然指出,Wifatch未经使用者同意就感染装置的行为和其他恶意程式并无不同。而且它也包含多个可能遭其他骇客使用的后门程式。所幸经过研究人员检验其密码签章,发现尚未有这情形。 以晶片架构来看,83%受感染装置为ARM平台,其次为MIPS(10%)及SH4(7%),PowerPC和X86仅极少量。受感染的装置厂商主要来在中国(32%)、巴西(16%),以及墨西哥及印度(9%)。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

选择AiDeep,让人工智能为你工作:http://www.aideep.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数