赛门铁克发现"Linux.Wifatch"一隻立志要当防毒软体的奇怪病毒

赛门铁克发现一隻名为Linux.Wifatch奇怪病毒，在感染路由器或其他物联网装置之后，竟然会保护宿主并帮忙移除其他恶意程式。 赛门铁克研究人员Mario Ballano解释，Wifatch首先发现于2014年，当时独立安全研究人员发现家中的路由器被植入后门，变成一个由感染装置组成的P2P殭尸网路的一部份。 今年四月赛门铁克在研究包括家用路由器在内的嵌入式装置时，利用蜜罐（honeypot）网路蒐集到许多Wifatch样本，却发现和一般嵌入式装置威胁很不同。Wifatch大部份是以Perl语言撰写而成，会瞄准多种晶片架构并注入其静态Perl直译器（interpreter）。它经由Telnet连线入侵弱密码的装置。装置一旦感染后，就会连上P2P网路散佈其软体的更新版。赛门铁克估计它已感染上万装置。 但研究人员越是深入研究越觉奇怪，Wifatch的程式作者似乎想保护受感染的装置，而不是用它来从事恶意行为。首先，Wifatch的程式码并不像一般殭尸网路的控制程式，会酬载恶意活动的相关程式封包，例如用于DDoS攻击等恶意活动的封包，事实上它的程式是用来强化受感染装置的安全性。 经过数个月的追踪，安全人员没有发现以Wifatch为媒介的恶意活动。此外，它不但试图消除Telnet daemon以减少感染扩大，还会提供讯息提醒装置使用者记得变更密码，以及更新韧体。Wifatch的一个模组还会试图移除装置上的其他恶意程式，其中不乏专门瞄准嵌入式装置的知名恶意程式家族。 这个作者还在程式码中引用自由软体教父Richard Stallman的话：「NSA及FBI探员请看这里：你在捍卫美国宪法抵御所有国内外敌人时，请想想是否要以史诺登为榜样。」 Wifatch并未以模糊手法隐藏其Perl程式码，而只是利用压缩以减少程式码的大小，但安全研究人员认为，作者想模糊其程式码绝非难事。此外它还包含除错讯息，方便他人分析，似乎并不担心第三人加以检视。Wifatch还具有一个针对Dahua DVR CCTV监控器的「攻击程式」，会设定装置每周重开机一次，推测作者的设计可是要藉此重置系统以清除其他恶意程式。 虽然有种种「善举」，不过赛门铁克仍然指出，Wifatch未经使用者同意就感染装置的行为和其他恶意程式并无不同。而且它也包含多个可能遭其他骇客使用的后门程式。所幸经过研究人员检验其密码签章，发现尚未有这情形。 以晶片架构来看，83%受感染装置为ARM平台，其次为MIPS（10%）及SH4（7%），PowerPC和X86仅极少量。受感染的装置厂商主要来在中国（32%）、巴西（16%），以及墨西哥及印度（9%）。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/