Троян с благими намерениями заразил десятки тысяч устройств на Linux

Специалисты из компании Symantec сообщили об обнаружении трояна Linux.Wifatch, заражающего сетевые устройства под управлением прошивок с ядром Linux. 

Троян был найден независимым исследователем. Он обнаружил на своем роутере запущенные процессы, которые не были похожи на легитимные, и решил изучить их. В процессе анализа исследователь нашел на роутере сложный код, который подключил его роутер к P2P-сети аналогичных зараженных зомби-устройств. Эксперты из Symantec тоже проанализировали код и пришли к выводу, что он сложнее тех вредоносных приложений, которые встречались ранее.

Основная часть кода написана на Perl, он рассчитан на несколько микропроцессорных архитектур и идет с собственным статичным интерпретатором Perl для каждой архитектуры. После того как устройство заражается Wifatch, оно подключается к P2P-сети, используемой для дистрибуции обновлений для Wifatch.

Продолжив анализ троян, исследователи из Symantec сделали неожиданное открытие — судя по всему, создатель Wifatch преследовал цель защитить заражаемые устройства, а не использовать их в корыстных целях, например, для организации DDoS-атак (распределенных атак типа «отказ в обслуживании»).

Код Wifatch не загружает в память роутера какие-либо модули для вредоносной активности. Аналитики следили за работой P2P-сети зараженных устройств в течение трех месяцев и не зарегистрировали ни единого случая вредоносной активности. 

Более того, Wifatch пытался защитить роутеры, закрывая процесс агента Telnet, позволяющего получить к системе более глубокий доступ. А также рекомендовал пользователю в консоли сменить пароль для доступа по протоколу Telnet и установить обновление прошивки, если таковое имеется.

Наконец, Wifatch имеет модуль для удаления вредоносного кода. Аналитики выяснили, что этот модуль способен удалять с зараженного устройства хорошо известные вирусы и трояны. 

По словам исследователей, создатель Wifatch не применял тактику запутывания кода. Были использованы лишь сжатие данных и мини-версии исходного кода. Для автора задача запутывания Perl-кода была несложной, тем не менее, он не стал прибегать к этому приему. 

Так или иначе, но Wifatch содержит ряд стандартных бэкдоров и, при необходимости, может быть использован для атаки. Кроме того,  помещение этого троян в роутеры происходит без согласия и уведомления пользователей, подчеркнули в Symantec, указав, что такое поведение в большей степени похоже на вредоносное.

Потратив несколько месяцев на изучение созданной Wifatch пассивной зомби-сети, исследователи нашли десятки тысяч зараженных трояном устройств. Большая часть из них находится в Китае (32%), затем идут Бразилия (16%), Мексика (9%), Индия (9%), Вьетнам (7%), Италия (7%), Турция (7%), Южная Корея (5%), США (5%) и Польша (3%). 

Больше всего заражений приходится на архитектуру ARM — 83%. На архитектуру MIPS приходится 10% заражений, а на SH4 — 7%. На PowerPC и x86 вместе приходится 0,1% заражений.