客服QQ:872490018 服务时间:9:00-21:00

赛门铁克发现”Linux.Wifatch”一隻立志要当防毒软体的奇怪病毒

赛门铁克发现一隻名为Linux.Wifatch奇怪病毒,在感染路由器或其他物联网装置之后,竟然会保护宿主并帮忙移除其他恶意程式。

赛门铁克研究人员Mario Ballano解释,Wifatch首先发现于2014年,当时独立安全研究人员发现家中的路由器被植入后门,变成一个由感染装置组成的P2P殭尸网路的一部份。

今年四月赛门铁克在研究包括家用路由器在内的嵌入式装置时,利用蜜罐(honeypot)网路蒐集到许多Wifatch样本,却发现和一般嵌入式装置威胁很不同。Wifatch大部份是以Perl语言撰写而成,会瞄准多种晶片架构并注入其静态Perl直译器(interpreter)。它经由Telnet连线入侵弱密码的装置。装置一旦感染后,就会连上P2P网路散佈其软体的更新版。赛门铁克估计它已感染上万装置。

但研究人员越是深入研究越觉奇怪,Wifatch的程式作者似乎想保护受感染的装置,而不是用它来从事恶意行为。首先,Wifatch的程式码并不像一般殭尸网路的控制程式,会酬载恶意活动的相关程式封包,例如用于DDoS攻击等恶意活动的封包,事实上它的程式是用来强化受感染装置的安全性。

经过数个月的追踪,安全人员没有发现以Wifatch为媒介的恶意活动。此外,它不但试图消除Telnet daemon以减少感染扩大,还会提供讯息提醒装置使用者记得变更密码,以及更新韧体。Wifatch的一个模组还会试图移除装置上的其他恶意程式,其中不乏专门瞄准嵌入式装置的知名恶意程式家族。

这个作者还在程式码中引用自由软体教父Richard Stallman的话:「NSA及FBI探员请看这里:你在捍卫美国宪法抵御所有国内外敌人时,请想想是否要以史诺登为榜样。」

Wifatch并未以模糊手法隐藏其Perl程式码,而只是利用压缩以减少程式码的大小,但安全研究人员认为,作者想模糊其程式码绝非难事。此外它还包含除错讯息,方便他人分析,似乎并不担心第三人加以检视。Wifatch还具有一个针对Dahua DVR CCTV监控器的「攻击程式」,会设定装置每周重开机一次,推测作者的设计可是要藉此重置系统以清除其他恶意程式。

虽然有种种「善举」,不过赛门铁克仍然指出,Wifatch未经使用者同意就感染装置的行为和其他恶意程式并无不同。而且它也包含多个可能遭其他骇客使用的后门程式。所幸经过研究人员检验其密码签章,发现尚未有这情形。

以晶片架构来看,83%受感染装置为ARM平台,其次为MIPS(10%)及SH4(7%),PowerPC和X86仅极少量。受感染的装置厂商主要来在中国(32%)、巴西(16%),以及墨西哥及印度(9%)。


[广告]赞助链接:


选择AiDeep,让人工智能为你工作:http://www.aideep.com/

成都火锅串串加盟首选:http://www.niupinhui.com/

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/

让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 HackerEye 授权 爱尖刀 发表,并经 爱尖刀 编辑。转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。原文链接 http://www.ijiandao.com/safe/it/16275.html
软文发布
相关文章
Google 公布 Chrome 不信任赛门铁克证书的时间表
Google 公布 Chrome 不信任赛门铁克证书…
赛门铁克将收购以色列安全公司Fireglass
赛门铁克将收购以色列安全公司Fireglass
ARM发布Cortex-A75/A55,亮点却是DynamIQ
ARM发布Cortex-A75/A55,亮点却是DynamIQ
赛门铁克发现Hajime蠕虫软件与Mirai争夺物联网控制权
赛门铁克发现Hajime蠕虫软件与Mirai争夺…
赛门铁克称 CIA 的黑客工具应对多起网络攻击负责
赛门铁克称 CIA 的黑客工具应对多起网络…
赛门铁克抨击 Google
赛门铁克抨击 Google
HackerEye
HackerEye 投稿者
我还没有学会写个人说明!
  • 文章

    793

  • 评论

    0

关注网络尖刀微信公众号
随时掌握互联网精彩

广告赞助