"Linux.Wifatch" infiziert Router und mit dem Internet verbundene Geräte, bindet sie in ein Botnetz ein, entfernt Malware und stärkt sie gegen weiterere Infektion. Handelt es sich um einen hinterlistigen Schad-Code oder um einen Superhelden in Software-Form? Der Symantec-Mitarbeiter Mario Ballano berichtet im Firmen-eigenen Blog über den Linux.Wifatch. Dieser Code befällt Router und andere IoT-Geräte (Internet of Things) und verbindet sie über ein Peer-to-peer-Netz.
Entdeckt wurde Wifatch 2014 von einem unabhängigen Experten, der auf seinem Heim-Router Prozesse bemerkte, die nicht zur eigentlichen Router-Software gehörten. Dabei stieß er auf einen raffinierten Code, der seinen Router in einen Botnet-Zombie verwandelt hatte.
IoT-Geräte leicht zu kontrollieren
Router und IoT-Geräte sind bei Botnetz-Betreibern beliebt. Sie enthalten zwar wenig interessante Daten, lassen sich aber leicht kontrollieren und beispielsweise für DDoS-Attacken einsetzen. Da sich die Infektion solcher Geräte von den Besitzern nicht so schnell entdecken lässt, bleiben die Zombies lange unbemerkt.Als Symantec-Spezialisten sich bei der Überwachung solcher Botnetze auch Wifatch genauer anschauten, stießen sie auf ein ungewöhnlich ausgefeiltes Stück Software: WiFatch ist in Perl geschrieben und bringt für die verschiedenen Plattformen den jeweils passenden Interpreter mit. Über das Peer-to-peer-Netz werden Informationen und Updates verteilt, die die Geräte bei neuen Exploits gegen aktuellen Schadcode immunisieren sollen. Ein Modul versucht, vorhandene Malware aus dem infizierten System zu beseitigen. Was die Experten überraschte: Sie konnten keinerlei böswillige Aktivitäten wie DDoS-Attacken oder Spam-Versand beobachten.
Code deaktiviert Telnet-Prozess
Dass Viren die von ihnen infizierten Rechner und Geräte gegen konkurrierenden Schadcode absichern und gegnerische Schädlinge sogar deaktivieren, ist nicht unüblich. Bei Wifatch gibt es jedoch mehrere Unterschiede, die aufhorchen lassen: So deaktiviert der Code den oft als Einfallstor genutzten Telnet-Prozess. Nutzer, die sich via Telnet einloggen wollen, erhalten eine Nachricht, Telnet sei geschlossen worden, um weitere Infektionen zu verhindern. Man solle den Dienst bitte abschalten, das Telnet-Passwort ändern und die Firmware aktualisieren.Ein weiterer Hinweis: Wifatch tarnt sich nicht, wie bei Malware durchaus üblich. Der Perl-Source-Code ist lediglich komprimiert. In ihm fanden die Symantec-Mitarbeiter sogar einen Kommentar, der die E-Mail-Signatur von Richard Stallmann, Software-Aktivist und Mitgründer des GNU-Projekts und der Free Software Foundation zitiert: "An alle NSA- und FBI-Agenten, die dies lesen: Bitte bedenken Sie, dass die Verteidigung der US-Verfassung gegen alle Feinde, ob ausländisch oder inländisch, erfordert, dass Sie dem Beispiel Snowdens folgen."
Einige Geräte wie die Dahua DVR-CCTV-Systeme (Video-Überwachungs-Systeme) werden von Wifatch wöchentlich rebooted. Das entfernt laufende Malware zuverlässig. Symantec selbst empfiehlt Reboots und das Aufspielen aktueller – und sauberer – Firmware-Versionen.