[Netzwelt] Schädling Wifatch will die Sicherheit der befallenen Geräte verbessern

Symantec hat eine Schädling analysiert, welcher Router und andere sogenannte Internet-of-things-Geräte kompromittiert. Ziel ist es aber scheinbar nicht, ein Botnet aufzubauen mit dem dann beispielsweise DDos-Attacken ausgeführt werden.

Wifatch, so der Name des Programms, macht im Grunde genau das Gegenteil in dem es die befallenen Geräte absichert. So wird beispielsweise der als unsicher anzusehende Telnet-Zugang des Geräts deaktiviert, welcher wohl auch das Einfallstor darstellt. Weiterhin verbindet sich Wifatch mit einem P2P-Netzwerk und bezieht von dort, wie bei einem Virenscanner, Updates um z. B. bereits durch andere Schädlinge kompromittierte Geräte zu säubern. Symantec hat diese P2P-Netzwerk über mehrere Monate beobachtet und keinerlei anderen, schädlichen Vorgänge gefunden.

Wifatch wurde in Perl geschrieben. Der Sourcecode, welcher sogar Debug-Nachrichten enthält, wurde lediglich komprimiert sowie minified (

You do not have permission to view link please Anmelden or Registrieren

). Dem Entwickler hat somit keine Maßnahmen unternommen um den Code vor einer Analyse zu Schützen.

Da der für Wifatch Verantwortliche aber jederzeit schädlichen Code nachladen kann, ist ein entfernen des Schädlings bzw. ein Neuinstallation der Firmware sowie eine Absicherung des Gerätes anzuraten. Da der Schädling nur Befehle nach Überprüfung einer Signatur annimmt ist ein Übernahme der befallenen Geräte durch Dritte zumindest sehr schwierig.

Quelle:

You do not have permission to view link please Anmelden or Registrieren

 

[Abul]

Ganz schön abgefahren

 

[cokeZ]

Ich liebe diese White-Hats

Lustige Vorstellung wie so ein Wurm durch die Router wuselt und alles absichert

 

[electric.larry]

Interessante Idee, wenn man überlegt welche indirekte Gefahr von langfristig ungepatchten Systemen ausgeht. Wenn soetwas Schule machen würde, wär das irgendwie Vergleichbar mit einem P2P Internet-Immunsystem: Ein Wurm der über einen Expoit eindringt und die betroffenen Pakete aktualisiert.

Kann halt auch heftig nach hinten losgehen, wenn einer der C&C Server oder die Source für die nachgeladenen Pakete kompromittiert werden würde. Aber z. B. bei Linux Paketverwaltungen funktioniert der Mischmasch aus zentralen und dezentralen Quellen ja auch ziemlich gut und man hört nicht ständig davon, dass irgendwelche Repositories Malware verschleudern.

 

[JinRoh3181]

Intersant an der Sache wäre: Wen dieser sich erstmal Melden würde. "Ich will mich da mal Installieren weil ich dies und das zu Ihrem Schutz beitragen kann." So ist es doch noch mehr einen bitterer Beigeschmack. Na mal sehen was da noch so alles kommt.

 

[Novgorod]

mensch, selbst die viren sind unter linux freundlicher ...

 

[Larius]

You do not have permission to view link please Anmelden or Registrieren

Woraufhin 10000 andere Viren genau das Gleiche machen würden. Von daher ist es zu verstehen.

Wschl gibts dann eh ein Logfile ala "Killroy was here". Nur in dem Fall würde ich vermuten das dann sowas wie "Kugelfisch was here" zu lesen wäre

 

[sia]

You do not have permission to view link please Anmelden or Registrieren

wäre es Kugelfisch gewesen, würde man noch Snake auf der Kommandozeile spielen können

@cokeZ: Grey-, nicht Whitehat.

 

[Larius]

You do not have permission to view link please Anmelden or Registrieren

Da würde das Blinken der LEDs bei Netzwerkaktivität in Wirklichkeit ein Morsecode sein der verrät, wie man Snake auf der CLI spielen kann

 

[mathmos]

Intersant an der Sache wäre: Wen dieser sich erstmal Melden würde. "Ich will mich da mal Installieren weil ich dies und das zu Ihrem Schutz beitragen kann."

Dann würde ein Großteil der breiten Masse auf "Fortfahren" klicken. Fragt mann dann diese Leute dann 10 Minuten später, was dort genau stand bekommt man "Irgendetwas mit Sicherheit oder so" zu hören.