Троян с благими намерениями заразил десятки тысяч устройств на Linux
06.10.2015, ВТ, 13:02, Мск, Текст: Сергей Попсулин
Специалисты обнаружили Linux-троян, заразивший десятки тысяч роутеров. Примечательно, что его автор, по всей видимости, имел благие намерения. Троян не проявляет никакой вредоносной активности и помогает защитить устройство.
Новый троян для Linux-роутеров
Специалисты из компании Symantec сообщили об обнаружении трояна Linux.Wifatch, заражающего сетевые устройства под управлением прошивок с ядром Linux.
Троян был найден независимым исследователем. Он обнаружил на своем роутере запущенные процессы, которые не были похожи на легитимные, и решил изучить их. В процессе анализа исследователь нашел на роутере сложный код, который подключил его роутер к P2P-сети аналогичных зараженных зомби-устройств. Эксперты из Symantec тоже проанализировали код и пришли к выводу, что он сложнее тех вредоносных приложений, которые встречались ранее.
Код трояна
Основная часть кода написана на Perl, он рассчитан на несколько микропроцессорных архитектур и идет с собственным статичным интерпретатором Perl для каждой архитектуры. После того как устройство заражается Wifatch, оно подключается к P2P-сети, используемой для дистрибуции обновлений для Wifatch.
Необычная цель создателя
Продолжив анализ троян, исследователи из Symantec сделали неожиданное открытие — судя по всему, создатель Wifatch преследовал цель защитить заражаемые устройства, а не использовать их в корыстных целях, например, для организации DDoS-атак (распределенных атак типа «отказ в обслуживании»).
Код Wifatch не загружает в память роутера какие-либо модули для вредоносной активности. Аналитики следили за работой P2P-сети зараженных устройств в течение трех месяцев и не зарегистрировали ни единого случая вредоносной активности.
Троян рекомендует сменить пароль и обновить прошивку
Благие намерения
Более того, Wifatch пытался защитить роутеры, закрывая процесс агента Telnet, позволяющего получить к системе более глубокий доступ. А также рекомендовал пользователю в консоли сменить пароль для доступа по протоколу Telnet и установить обновление прошивки, если таковое имеется.
Наконец, Wifatch имеет модуль для удаления вредоносного кода. Аналитики выяснили, что этот модуль способен удалять с зараженного устройства хорошо известные вирусы и трояны.
По словам исследователей, создатель Wifatch не применял тактику запутывания кода. Были использованы лишь сжатие данных и мини-версии исходного кода. Для автора задача запутывания Perl-кода была несложной, тем не менее, он не стал прибегать к этому приему.
География заражения
Так или иначе, но Wifatch содержит ряд стандартных бэкдоров и, при необходимости, может быть использован для атаки. Кроме того, помещение этого троян в роутеры происходит без согласия и уведомления пользователей, подчеркнули в Symantec, указав, что такое поведение в большей степени похоже на вредоносное.
Потратив несколько месяцев на изучение созданной Wifatch пассивной зомби-сети, исследователи нашли десятки тысяч зараженных трояном устройств. Большая часть из них находится в Китае (32%), затем идут Бразилия (16%), Мексика (9%), Индия (9%), Вьетнам (7%), Италия (7%), Турция (7%), Южная Корея (5%), США (5%) и Польша (3%).
Больше всего заражений приходится на архитектуру ARM — 83%. На архитектуру MIPS приходится 10% заражений, а на SH4 — 7%. На PowerPC и x86 вместе приходится 0,1% заражений.
http://www.cnews.ru/news/top/2015-10-06_troyan_s_blagimi_namereniyami_zarazil_desyatki_tysyach
