Ботнет Linux.Wifatch исправляет уязвимости в домашних маршрутизаторах


SymantecИсследователь безопасности компании Symantec Марио Баллано (Mario Ballano) обнаружил новый ботнет, работающий по совершенно новому принципу. Ботнет не использует зараженные устройства для осуществления атак, с его помощью киберпреступники исправляют найденные в них бреши и удаляют вредоносное ПО.

Новый ботнет получил название Linux.Wifatch. В процессе своей работы он:

  • завершает процессы уязвимых служб Telnet;
  • уничтожает известные виды вредоносного ПО для домашних сетевых устройств;
  • уведомляет администратора о необходимости сменить пароль и обновить прошивку устройства.


Другими словами, автор пытается обезопасить инфицированные устройства вместо того, чтобы использовать их во вредоносных целях. Кроме того, проанализировав коде Linux.Wifatch, эксперты не обнаружили никаких вредоносных элементов. Помимо прочего, Wifatch пытается увеличить безопасность скомпрометированных устройств. Понаблюдав в течение нескольких месяцев за активностью сети эксперт так и не обнаружил ни единой попытки использовать входящие в нее устройства во вредоносных целях.

В Wifatch содержится эксплоит, который еженедельно перезагружает устройства в целях защиты от непостоянных инфекций. И самое интересное, автор не пытался обфусцировать код – более того, он снабдил экспертов инструкцией по его отладке.

Эксперты Symantec считают, что создатель Wifatch вдохновлялся принципами Эдварда Сноудена и Ричарда Столлмана. Такое заключение они сделали после того, как обнаружили в коде ботнета оставленное послание, авторство которого приписывается Столлману:

  • "Дорогие агенты ФБР и АНБ, читающие это сообщение! Подумайте о том, что защита государства от внешних и внутренних врагов требует от вас следовать примеру Сноудена".

Обновлено (02.10.2015 15:07)