aktualności

Symantec odkrył robaka, który chroni zainfekowany sprzęt przed innymi wirusami

26
2 października 2015, 16:04 Adrian Kotowski

Firma Symantec odkryła ciekawy przypadek robaka Linux.Wifatch, który infekując routery i inne urządzenia Internetu rzeczy, poprawia ich bezpieczeństwo. Program pierwszy raz wykryto w październiku 2014, a od marca zaczęli mu się przyglądać badacze bezpieczeństwa. Symantec twierdzi, że choć początkowo robak nie wyglądał na nic szczególnego, to po jego analizie stwierdzono, że jest to naprawdę wyrafinowany kawałek kodu.

Większość elementów Linux.Wifatch została stworzona w języku Perl, a twórca postarał się, by całość działała na wielu platformach. Symantec zauważył, że robak łączy się z siecią P2P, dzięki której może pobierać aktualizacje. Badaczy zaciekawiło jednak to, że w kodzie znalazły się elementy sugerujące, że ich autor chciał zwiększyć bezpieczeństwo zainfekowanego przez Wifatch urządzenia.

Telnet

Robak nie jest wykorzystywany do jakichkolwiek szkodliwych działań, takich jak choćby przeprowadzanie ataków DDoS. Wifatch dostaje się na konkretny sprzęt przez chronioną słabym hasłem usługę Telnet. Co ciekawe, wyłącza do niej dostęp i wyświetla monit z prośbą o zmianę danych logowania lub aktualizację oprogramowania. Tym samym uniemożliwia dostęp do sprzętu innym malware. Żeby było jednak jeszcze ciekawiej, Wifatch próbuje usunąć rozpoznane przez siebie szkodliwe oprogramowanie.

Moduły robaka są w stanie dostosowywać się do konkretnego typu sprzętu. W przypadku urządzeń monitoringu Dahua Wifatch zmienia oprogramowanie w taki sposób, by automatycznie zrestartować sprzęt. Dzięki temu robak może ponownie sprawdzić sprzęt pod kątem innych zagrożeń, a następnie je wyeliminować.

Symantec oczywiście zaznacza, że choć Linux.Wifatch robi wiele dobrego, to jest też kawałkiem kodu, który rozprzestrzenia się bez zgody użytkownika sprzętu. Badacze bezpieczeństwa zauważaj też, że robak jest w stanie otworzyć też sporo tzw. „tylnych drzwi”, dzięki którym autor programu mógłby (gdyby chciał) przeprowadzić jakieś szkodliwe działania. Co ciekawe, autor zabezpieczył swój program podpisem kryptograficznym, dzięki któremu aplikacja „wie”, czy wydawane jej komendy pochodzą od jej twórcy. Robak rozprzestrzenił się przede wszystkim w Chinach, Brazylii, Meksyku i Indiach, choć jak widać na wykresie, trafił także do Polski. Zdecydowana większość urządzeń które infekuje bazuje na architekturze ARM.

Wykres

Wykres

Źródło: Symantec
guru43Zobacz profil
Poziom ostrzeżenia: 0%
guru432015.10.02, 16:20
78#1
Takie wirusy to ja mogę mieć. Z drugiej strony, gratulacje dla twórców :)
Dan SlendersZobacz profil
Poziom ostrzeżenia: 0%
Dan Slenders2015.10.02, 16:20
60#2
,, Jedyny wirus, którego chciałbyś złapać '
I reklama gotowa :-D
Bono[UG]Zobacz profil
Poziom ostrzeżenia: 0%
Bono[UG]2015.10.02, 16:25
13#3
Perl rulez :E
KunnorinnoZobacz profil
Poziom ostrzeżenia: 0%
Kunnorinno2015.10.02, 16:49
jest w stanie otworzyć też sporo tzw. „tylnych drzwi”
XD
mozilla007Zobacz profil
Poziom ostrzeżenia: 0%
mozilla0072015.10.02, 17:45
-7#5
Kunnorinno @ 2015.10.02 16:49  Post: 911490
jest w stanie otworzyć też sporo tzw. „tylnych drzwi”
XD

No i juz teorie spiskowe.
Ralf_BoXZobacz profil
Poziom ostrzeżenia: 0%
Ralf_BoX2015.10.02, 18:20
12#6
nie teorie spiskowe a fakty, jest to oprogramowanie króre potrafi się aktualizować, odbierać i wysyłać dane od/do twórcy - jak już masz taki plik na innym kompie to już masz niemal całkowitą władzę nad innym urządzeniem
FaronZobacz profil
Poziom ostrzeżenia: 0%
Faron2015.10.02, 18:25
...rozprzestrzenia się bez zgody urządzenia sprzętu.

Może jeszcze 'maszyny', 'przyrządu', a chodziło chyba o 'właściciela'...
MalesuadusZobacz profil
Poziom ostrzeżenia: 0%
Malesuadus2015.10.02, 20:13
To ja poproszę w wersji anty-adware :)
anemusZobacz profil
Poziom ostrzeżenia: 0%
anemus2015.10.02, 22:32
Obstawiam jakieś służby bezpieczeństwa - charakterystyka jego funkcjonalności idealnie pokrywa się z obszarem zainteresowań takowych.
pirania36Zobacz profil
Poziom ostrzeżenia: 0%
pirania362015.10.02, 23:09
Gdyby tak producenci sprzętu sieciowego dbali o swoje.
Zaloguj się, by móc komentować
1