赛门铁克发现"Linux.Wifatch"一隻立志要当防毒软体的奇怪病毒
赛门铁克发现一隻名为Linux.Wifatch奇怪病毒,在感染路由器或其他物联网装置之后,竟然会保护宿主并帮忙移除其他恶意程式。
赛门铁克研究人员Mario Ballano解释,Wifatch首先发现于2014年,当时独立安全研究人员发现家中的路由器被植入后门,变成一个由感染装置组成的P2P殭尸网路的一部份。
今年四月赛门铁克在研究包括家用路由器在内的嵌入式装置时,利用蜜罐(honeypot)网路蒐集到许多Wifatch样本,却发现和一般嵌入式装置威胁很不同。Wifatch大部份是以Perl语言撰写而成,会瞄准多种晶片架构并注入其静态Perl直译器(interpreter)。它经由Telnet连线入侵弱密码的装置。装置一旦感染后,就会连上P2P网路散佈其软体的更新版。赛门铁克估计它已感染上万装置。
但研究人员越是深入研究越觉奇怪,Wifatch的程式作者似乎想保护受感染的装置,而不是用它来从事恶意行为。首先,Wifatch的程式码并不像一般殭尸网路的控制程式,会酬载恶意活动的相关程式封包,例如用于DDoS攻击等恶意活动的封包,事实上它的程式是用来强化受感染装置的安全性。
经过数个月的追踪,安全人员没有发现以Wifatch为媒介的恶意活动。此外,它不但试图消除Telnet daemon以减少感染扩大,还会提供讯息提醒装置使用者记得变更密码,以及更新韧体。Wifatch的一个模组还会试图移除装置上的其他恶意程式,其中不乏专门瞄准嵌入式装置的知名恶意程式家族。
这个作者还在程式码中引用自由软体教父Richard Stallman的话:「NSA及FBI探员请看这里:你在捍卫美国宪法抵御所有国内外敌人时,请想想是否要以史诺登为榜样。」
Wifatch并未以模糊手法隐藏其Perl程式码,而只是利用压缩以减少程式码的大小,但安全研究人员认为,作者想模糊其程式码绝非难事。此外它还包含除错讯息,方便他人分析,似乎并不担心第三人加以检视。Wifatch还具有一个针对Dahua DVR CCTV监控器的「攻击程式」,会设定装置每周重开机一次,推测作者的设计可是要藉此重置系统以清除其他恶意程式。
虽然有种种「善举」,不过赛门铁克仍然指出,Wifatch未经使用者同意就感染装置的行为和其他恶意程式并无不同。而且它也包含多个可能遭其他骇客使用的后门程式。所幸经过研究人员检验其密码签章,发现尚未有这情形。
以晶片架构来看,83%受感染装置为ARM平台,其次为MIPS(10%)及SH4(7%),PowerPC和X86仅极少量。受感染的装置厂商主要来在中国(32%)、巴西(16%),以及墨西哥及印度(9%)。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平澳门之行 这些瞬间令人难忘 7928670
- 2 突发:美军战斗机被击落 7993973
- 3 湖南卫视声明 7855035
- 4 在澳门 传统文化在指尖绽放 7708976
- 5 不许说日语的App在日本爆火 7633677
- 6 上海地铁列车撞塔吊 车头变形 7546186
- 7 南昌通报李某雪已被送诊 7491985
- 8 护士上门输液却被打成脑震荡 7310905
- 9 考研数学 7210876
- 10 美国女教师强奸12岁男童怀孕获刑 7132372