Symantec hat eine Schädling analysiert, welcher Router und andere sogenannte Internet-of-things-Geräte kompromittiert. Ziel ist es aber scheinbar nicht, ein Botnet aufzubauen mit dem dann beispielsweise DDos-Attacken ausgeführt werden.
Wifatch, so der Name des Programms, macht im Grunde genau das Gegenteil in dem es die befallenen Geräte absichert. So wird beispielsweise der als unsicher anzusehende Telnet-Zugang des Geräts deaktiviert, welcher wohl auch das Einfallstor darstellt. Weiterhin verbindet sich Wifatch mit einem P2P-Netzwerk und bezieht von dort, wie bei einem Virenscanner, Updates um z. B. bereits durch andere Schädlinge kompromittierte Geräte zu säubern. Symantec hat diese P2P-Netzwerk über mehrere Monate beobachtet und keinerlei anderen, schädlichen Vorgänge gefunden.
Wifatch wurde in Perl geschrieben. Der Sourcecode, welcher sogar Debug-Nachrichten enthält, wurde lediglich komprimiert sowie minified (https://en.wikipedia.org/wiki/Minification_(programming)). Dem Entwickler hat somit keine Maßnahmen unternommen um den Code vor einer Analyse zu Schützen.
Da der für Wifatch Verantwortliche aber jederzeit schädlichen Code nachladen kann, ist ein entfernen des Schädlings bzw. ein Neuinstallation der Firmware sowie eine Absicherung des Gerätes anzuraten. Da der Schädling nur Befehle nach Überprüfung einer Signatur annimmt ist ein Übernahme der befallenen Geräte durch Dritte zumindest sehr schwierig.
Quelle: symantec.com
Wifatch, so der Name des Programms, macht im Grunde genau das Gegenteil in dem es die befallenen Geräte absichert. So wird beispielsweise der als unsicher anzusehende Telnet-Zugang des Geräts deaktiviert, welcher wohl auch das Einfallstor darstellt. Weiterhin verbindet sich Wifatch mit einem P2P-Netzwerk und bezieht von dort, wie bei einem Virenscanner, Updates um z. B. bereits durch andere Schädlinge kompromittierte Geräte zu säubern. Symantec hat diese P2P-Netzwerk über mehrere Monate beobachtet und keinerlei anderen, schädlichen Vorgänge gefunden.
Wifatch wurde in Perl geschrieben. Der Sourcecode, welcher sogar Debug-Nachrichten enthält, wurde lediglich komprimiert sowie minified (https://en.wikipedia.org/wiki/Minification_(programming)). Dem Entwickler hat somit keine Maßnahmen unternommen um den Code vor einer Analyse zu Schützen.
Da der für Wifatch Verantwortliche aber jederzeit schädlichen Code nachladen kann, ist ein entfernen des Schädlings bzw. ein Neuinstallation der Firmware sowie eine Absicherung des Gerätes anzuraten. Da der Schädling nur Befehle nach Überprüfung einer Signatur annimmt ist ein Übernahme der befallenen Geräte durch Dritte zumindest sehr schwierig.
Quelle: symantec.com
Zuletzt bearbeitet: