查看完整版本: 赛门铁克发现一只立志要当防病毒软件的奇怪病毒[4P]

赛门铁克发现一只立志要当防病毒软件的奇怪病毒[4P]

[img]http://img.ithome.com/newsuploadfiles/2015/10/20151002_140648_629.jpeg[/img]
赛门铁克发现一只名为Linux.Wifatch奇怪病毒，在感染路由器或其他物联网装置之后，竟然会保护宿主并帮忙移除其他恶意软件。

赛门铁克研究人员Mario Ballano解释，Wifatch首先发现于2014年，当时独立安全研究人员发现家中的路由器被植入后门，变成一个由感染装置组成的P2P殭尸网络的一部份。

今年四月赛门铁克在研究包括家用路由器在内的嵌入式装置时，利用蜜罐（honeypot）网络搜集到许多Wifatch样本，却发现和一般嵌入式装置威胁很不同。Wifatch大部份是以Perl语言撰写而成，会瞄准多种芯片架构并注入其静态Perl直译器（interpreter）。它经由Telnet联机入侵弱密码的装置。装置一旦感染后，就会连上P2P网络散布其软件的更新版。赛门铁克估计它已感染上万装置。
[img]http://img.ithome.com/newsuploadfiles/2015/10/20151002_140648_780.jpeg[/img]
但研究人员越是深入研究越觉奇怪，Wifatch的程序作者似乎想保护受感染的装置，而不是用它来从事恶意行为。首先，Wifatch的程序代码并不像一般殭尸网络的控制程序，会酬载恶意活动的相关程序封包，例如用于DDoS攻击等恶意活动的封包，事实上它的程序是用来强化受感染装置的安全性。

经过数个月的追踪，安全人员没有发现以Wifatch为媒介的恶意活动。此外，它不但试图消除Telnet daemon以减少感染扩大，还会提供讯息提醒装置用户记得变更密码，以及更新韧体。Wifatch的一个模块还会试图移除装置上的其他恶意软件，其中不乏专门瞄准嵌入式装置的知名恶意软件家族。

这个作者还在程序代码中引用自由软件教父Richard Stallman的话：「NSA及FBI探员请看这里：你在捍卫美国宪法抵御所有国内外敌人时，请想想是否要以史诺登为榜样。」

Wifatch并未以模糊手法隐藏其Perl程序代码，而只是利用压缩以减少程序代码的大小，但安全研究人员认为，作者想模糊其程序代码绝非难事。此外它还包含除错讯息，方便他人分析，似乎并不担心第三人加以检视。Wifatch还具有一个针对Dahua DVR CCTV监控器的「攻击程序」，会设定装置每周重开机一次，推测作者的设计可是要藉此重置系统以清除其他恶意软件。

虽然有种种「善举」，不过赛门铁克仍然指出，Wifatch未经用户同意就感染装置的行为和其他恶意软件并无不同。而且它也包含多个可能遭其他黑客使用的后门程序。所幸经过研究人员检验其密码签章，发现尚未有这情形。

以芯片架构来看，83%受感染装置为ARM平台，其次为MIPS（10%）及SH4（7%），PowerPC和X86仅极少量。
[img]http://img.ithome.com/newsuploadfiles/2015/10/20151002_140648_740.jpeg[/img]
受感染的装置厂商主要来在中国（32%）、巴西（16%），以及墨西哥及印度（9%）。
[img]http://img.ithome.com/newsuploadfiles/2015/10/20151002_140648_703.jpeg[/img]

英雄斯诺登的效法者啊，向他致敬！可惜这又能改变多少呢？

本来就没有安全隐秘一说，不说美国，光咱移动电信都是，只要你开机，无时无刻你的手机和基站之间来回发送着确认信息，无时无刻不在跟踪着你。

这难道是某个白帽搞的行为艺术么
黑客圈子与其他圈子不一样，好多人的做法没法按照常人理解
虽然初衷是好的，但是这东西也有安全隐患

难道这是派到老鼠中的卧底猫，有点脱线的感觉了

这都不是问题，问题是万一哪天这个病毒翻脸了怎么办？
人模狗样混到上位之后立即原形毕露的事情我见得太多了。
这就是超能力者和外星人都不受各国待见的原因：不可控。

[[i] 本帖最后由 snow006 于 2015-10-8 20:46 编辑 [/i]]

这真的是个有理想的病毒，不想做安全防护的不是好病毒，

看上去不像病毒啊，真的是很不错的东西，有点红客的意思。