Вірус Linux.Wifatch захищає маршрутизатори від злому

Матеріал з Вікі ЦДУ
Версія від 11:48, 22 травня 2016; Петріченко Олексій (обговореннявнесок)

(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Системи «розумного» будинку і пристрої «Інтернет речей» з кожним днем ​​стають все популярнішим, причому не тільки у рядових користувачів, але і серед хакерів. І хоча зловмисники навряд чи знайдуть яку небудь корисну інформацію, зламавши ваші смарт-лампочки або холодильник, вони можуть отримати доступ до системи безпеки, електронним замкам та іншим важливим речам. Компанія Symantec, що займається розробкою програмного забезпечення в області інформаційної безпеки та захисту інформації, опублікувала звіт про вельми незвичайному вірусі під назвою Linux.Wifatch. Головна особливість вірусу — ви можете захотіти, щоб він заразив ваш маршрутизатор.

Linux.Wifatch1.jpg

У ході ретельного аналізу Linux.Wifatch фахівці натрапили на складний шматок коду, який суттєво відрізняється від усіх існуючих.У ході докладного вивчення вдалося встановити, що більша частина коду Wifatch написана на мові програмування Perl і включає кілька архітектур, а також статичний перекладач Perl для кожної з них. Після зараження пристрою (найчастіше маршрутизатора) вірус координує свої дії по одноранговой P2P-мережі, яка зазвичай використовується для поширення шкідливого коду.

Насправді при зараженні маршрутизатора та інших пристроїв Linux.Wifatch захищає їх від злому та інших вірусів. Деякі власники заражених цим вірусом роутерів при спробі використовувати функції Telnet отримували повідомлення з рекомендацією змінити пароль і оновити прошивку пристрою, щоб уникнути можливості зараження.

Linux.Wifatch2.png

Крім того, автор Linux.Wifatch залишив у вихідному коді вірусу повідомлення для агентів АНБ і ФБР:

Кожному агенту ФБР і АНБ, який читає це: будь ласка пам’ятайте, що захист Конституції США від усіх ворогів, зовнішніх і внутрішніх, змушує вас наслідувати приклад Сноудена.

Linux.Wifatch3.png

Фахівці відзначають, що виявлення вірусу не складає труднощів. При цьому його творець міг з легкістю приховати його присутність і код Perl при зараженні пристрою, але вирішив не робити цього. Крім того, в коді повно повідомлень, що дозволяють легше його аналізувати, а для видалення вірусу досить просто перезавантажити пристрій.

У звіті компанії Symantec зазначено, що вірус Linux.Wifatch набув найбільшого поширення в Китаї, Бразилії, Мексиці та Індії.

Linux.Wifatch4.png

Що стосується статистики по зараженим пристроям, то 83% з них працює на архітектурі ARM.

Linux.Wifatch5.png

Фахівці відзначають, що Linux.Wifatch не приносить ніякої шкоди користувачам і навіть захищає їх від атак зловмисників, в коді є безліч «потайних ходів», які творець вірусу може використовувати в особистих цілях.