Historia tego wirusa nadaje się na scenariusz dla Hollywoodzkiego filmu. Linux.Wifatch, bo tak nazywa się wirus, wykryty został po raz pierwszy w 2014 roku, ale dopiero od niedawna informacje znane są publicznie. Wirus ten infekuje urządzenia Internetu Rzeczy (IoT), najpewniej dostając się do nich poprzez otwarty port telnetowy.
Wirus odkryty został zupełnie przypadkiem. Jeden ze specjalistów firmy Symantec zauważył, że jego domowy router zachowuje się nietypowo. Jako osoba zawodowo związana z bezpieczeństwem sieci rozpoczął badanie sytuacji. Okazało się, że został on zainfekowany bardzo nietypowym wirusem. Dlaczego nietypowym? Bo nie robiącym niczego złego. Wręcz przeciwnie.
Nie tak dawno na Elektrodzie opisywany był brak zabezpieczeń sieci IoT. Okazuje się, że istnieją wirusy, które roznoszą się w ten sposób - jak można było się spodziewać.
Wifatch napisany jest w Perlu, jego celem jest kilka różnych architektur systemów. Wraz z samym wirusem instaluje się dedykowany dla niego interpreter Perla dla danej architektury. Wirus, po zainfekowaniu urządzenia, łączy się z innymi urządzeniami, aby przekazać im wirusa. Póki co, to wszystko jest dosyć typowe. To co jest mniej typowe, to zachowanie wirusa. Jego głównym działaniem jest... zabezpieczanie systemu przed atakami innych wirusów! W kodzie wirusa - który nie jest w żaden sposób szyfrowany ani ukrywany - nie zawarto żadnego złośliwego oprogramowania. Sieci peer-to-peer formowane przez wirusa mają za zadanie tylko go rozsiewać, nie wykonują żadnych innych operacji, np. nie wysyłają ataków DDoS - tak przynajmniej wynika z kilkumiesięcznej obserwacji wirusa.
Co jeszcze robi wirus? Po zainstalowaniu się na urządzeniu zabija on demona Telnetu - przez który dostaje się sam do urządzenia i w jego miejscu zostawia pokazaną poniżej wiadomość. Dzięki temu uniemożliwia zarażanie urządzenia kolejnymi wirusami, które mogą już nie być tak 'dobrotliwe'. Wiadomość zachęca użytkownika do... zmiany hasła i zainstalowania nowej wersji oprogramowania.
Kolejną operacją, jaką wykonuje Wifatch jest resetowanie urządzenia co tydzień. Po co? Najpewniej po to, żeby unieszkodliwiać szkodliwe oprogramowanie przed którym nie zdołał ustrzec systemu innymi swoimi działaniami. Po resecie urządzenie jest ponownie 'czyste'.
Oczywiście - nadal jest to wirus komputerowy, który dostał się na nasz system w niepożądany sposób. W wirusie zaimplementowano backdoor, który ma umożliwić dojście do niego twórcy wirusa, ale jest on odpowiednio zabezpieczony, więc sieć nie może zostać przejęta przez kogoś innego.
Specjaliści z firmy Symantec szacują, że zarażonych może być kilkadziesiąt tysięcy urządzeń. Na swojej stronie publikują także analizę zarażonych urządzeń i pewne statystyki. Możemy tam także znaleźć krótki, anonimowy wywiad z twórcą wirusa, który opowiada o motywacji do stworzenia tego programu i tym co zrobić, aby pozostać bezpiecznym w sieci IoT.
Źródło: http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there
Wirus odkryty został zupełnie przypadkiem. Jeden ze specjalistów firmy Symantec zauważył, że jego domowy router zachowuje się nietypowo. Jako osoba zawodowo związana z bezpieczeństwem sieci rozpoczął badanie sytuacji. Okazało się, że został on zainfekowany bardzo nietypowym wirusem. Dlaczego nietypowym? Bo nie robiącym niczego złego. Wręcz przeciwnie.
Nie tak dawno na Elektrodzie opisywany był brak zabezpieczeń sieci IoT. Okazuje się, że istnieją wirusy, które roznoszą się w ten sposób - jak można było się spodziewać.
Wifatch napisany jest w Perlu, jego celem jest kilka różnych architektur systemów. Wraz z samym wirusem instaluje się dedykowany dla niego interpreter Perla dla danej architektury. Wirus, po zainfekowaniu urządzenia, łączy się z innymi urządzeniami, aby przekazać im wirusa. Póki co, to wszystko jest dosyć typowe. To co jest mniej typowe, to zachowanie wirusa. Jego głównym działaniem jest... zabezpieczanie systemu przed atakami innych wirusów! W kodzie wirusa - który nie jest w żaden sposób szyfrowany ani ukrywany - nie zawarto żadnego złośliwego oprogramowania. Sieci peer-to-peer formowane przez wirusa mają za zadanie tylko go rozsiewać, nie wykonują żadnych innych operacji, np. nie wysyłają ataków DDoS - tak przynajmniej wynika z kilkumiesięcznej obserwacji wirusa.
Co jeszcze robi wirus? Po zainstalowaniu się na urządzeniu zabija on demona Telnetu - przez który dostaje się sam do urządzenia i w jego miejscu zostawia pokazaną poniżej wiadomość. Dzięki temu uniemożliwia zarażanie urządzenia kolejnymi wirusami, które mogą już nie być tak 'dobrotliwe'. Wiadomość zachęca użytkownika do... zmiany hasła i zainstalowania nowej wersji oprogramowania.
Kolejną operacją, jaką wykonuje Wifatch jest resetowanie urządzenia co tydzień. Po co? Najpewniej po to, żeby unieszkodliwiać szkodliwe oprogramowanie przed którym nie zdołał ustrzec systemu innymi swoimi działaniami. Po resecie urządzenie jest ponownie 'czyste'.
Oczywiście - nadal jest to wirus komputerowy, który dostał się na nasz system w niepożądany sposób. W wirusie zaimplementowano backdoor, który ma umożliwić dojście do niego twórcy wirusa, ale jest on odpowiednio zabezpieczony, więc sieć nie może zostać przejęta przez kogoś innego.
Specjaliści z firmy Symantec szacują, że zarażonych może być kilkadziesiąt tysięcy urządzeń. Na swojej stronie publikują także analizę zarażonych urządzeń i pewne statystyki. Możemy tam także znaleźć krótki, anonimowy wywiad z twórcą wirusa, który opowiada o motywacji do stworzenia tego programu i tym co zrobić, aby pozostać bezpiecznym w sieci IoT.
Źródło: http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there
Fajne? Ranking DIY
