近日,赛门铁克发现一个新的恶意软件,叫Linux.Wifatch。据称,目前至少1万Linux-routers受到感染。而根据分析,该恶意软件跟其他恶意软件有些不同,Wifatch却是可以“保护”路由器不受其他恶意软件的入侵。
著名安全厂商赛门铁克,目前发现一个“保护”路由器安全的恶意软件,该恶意软件的行为跟大部分的恶意软件相同,都是感染用户脆弱的路由设备,同时通过p2p网络进行升级,来隐藏自己。
该恶意软件被称为Linux.Wifatch,该恶意软件并不以破坏路由以及网络上的电脑为目的,而是“保护”着路由器不受其他恶意软件的感染。
Linux.Wifatch 第一次被发现是在去年。据悉,截至到目前为止,已经有超过1万台路由器受到感染,主要分布地点是在中国和巴西。而随着深入观察研究发现,Wifatch 是通过p2p网络来完成自身的升级,同时阻塞其他常见主流的恶意软件感染渠道,并对路由器上已经感染的恶意软件进行删除。Wifatch 有一个模块,专门用以升级,并移除常见的恶意软件。
赛门铁克的安全专家Mario Ballano声称,经过分析,由恶意软件代码中留下的注释中可以知道,该恶意软件很可能是有黑客在背后进行实时操纵。其中的注释也包含了一个被免费软件支持者 Richard Stallman所用的邮件签名。
致阅读该邮件的NSA及FBI特工:
请你们仔细考虑是否遵循美国宪法来保护人民不受所有敌人(包含国内和国外)的侵犯,在此之前,也请参考下斯诺登的例子。
在其他类型的恶意软件中,往往会利用感染机器,来开展攻击行动,如DDOS攻击或者采集用户数据等,而Wifatch却并不是以此为目的。
从其意图及行为分析表明,该恶意软件的创作者更像是为了保护路由器的安全而开发该恶意软件的。
甚至,当发现有Telnet行为时,Wifatch甚至会提醒用户对其固件进行升级。
而赛门铁克的安全专家也发现,对路由器恢复出厂设置及重新启动之后,可以移除该恶意软件。但是接下来,该设备很可能被重新感染。所以安全专家也建议用户,对其路由器设备的软件和固件进行升级。
赛门铁克安全专家Ballano提到,
Wifatch无疑是个有趣的恶意软件,而该恶意软件作者的意图目前也不明朗,是在保护路由器的安全,还是另有图谋,我们还在保持观察。
* 参考来源: hacked 编译/troy 转载请注明来自黑客与极客(FreeBuf.com)