» 遊客:  加入 | 登入 (帳號有問題請連絡TWed2k@gmail.com)


 


 TWed2k » 轉貼文字區 » [轉貼]賽門鐵克發現一隻立志要當防毒軟體的奇怪病毒 RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 

 
主題: [新聞] [轉貼]賽門鐵克發現一隻立志要當防毒軟體的奇怪病毒   字型大小:||| 
ROACH
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
減肥中!請勿餵食

十週年紀念徽章(四級)  

 . 積分: 15118
 . 精華: 14
 . 文章: 11766
 . 收花: 140844 支
 . 送花: 6005 支
 . 比例: 0.04
 . 在線: 8869 小時
 . 瀏覽: 85616 頁
 . 註冊: 8000
 . 失蹤: 0
 . 鄉下地方
#1 : 2015-10-5 09:42 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (31) 引言回覆
http://www.ithome.com.tw/news/99107


賽門鐵克發現一隻名為Linux.Wifatch奇怪病毒,在感染路由器或其他物聯網裝置之後,竟然會保護宿主並幫忙移除其他惡意程式。

賽門鐵克研究人員Mario Ballano解釋,Wifatch首先發現於2014年,當時獨立安全研究人員發現家中的路由器被植入後門,變成一個由感染裝置組成的P2P殭屍網路的一部份。

今年四月賽門鐵克在研究包括家用路由器在內的嵌入式裝置時,利用蜜罐(honeypot)網路蒐集到許多Wifatch樣本,卻發現和一般嵌入式裝置威脅很不同。Wifatch大部份是以Perl語言撰寫而成,會瞄準多種晶片架構並注入其靜態Perl直譯器(interpreter)。它經由Telnet連線入侵弱密碼的裝置。裝置一旦感染後,就會連上P2P網路散佈其軟體的更新版。賽門鐵克估計它已感染上萬裝置。

但研究人員越是深入研究越覺奇怪,Wifatch的程式作者似乎想保護受感染的裝置,而不是用它來從事惡意行為。首先,Wifatch的程式碼並不像一般殭屍網路的控制程式,會酬載惡意活動的相關程式封包,例如用於DDoS攻擊等惡意活動的封包,事實上它的程式是用來強化受感染裝置的安全性。

經過數個月的追蹤,安全人員沒有發現以Wifatch為媒介的惡意活動。此外,它不但試圖消除Telnet daemon以減少感染擴大,還會提供訊息提醒裝置使用者記得變更密碼,以及更新韌體。Wifatch的一個模組還會試圖移除裝置上的其他惡意程式,其中不乏專門瞄準嵌入式裝置的知名惡意程式家族。

這個作者還在程式碼中引用自由軟體教父Richard Stallman的話:「NSA及FBI探員請看這裏:你在捍衛美國憲法抵禦所有國內外敵人時,請想想是否要以史諾登為榜樣。」

Wifatch並未以模糊手法隱藏其Perl程式碼,而只是利用壓縮以減少程式碼的大小,但安全研究人員認為,作者想模糊其程式碼絕非難事。此外它還包含除錯訊息,方便他人分析,似乎並不擔心第三人加以檢視。Wifatch還具有一個針對Dahua DVR CCTV監控器的「攻擊程式」,會設定裝置每周重開機一次,推測作者的設計可是要藉此重置系統以清除其他惡意程式。

雖然有種種「善舉」,不過賽門鐵克仍然指出,Wifatch未經使用者同意就感染裝置的行為和其他惡意程式並無不同。而且它也包含多個可能遭其他駭客使用的後門程式。所幸經過研究人員檢驗其密碼簽章,發現尚未有這情形。

以晶片架構來看,83%受感染裝置為ARM平台,其次為MIPS(10%)及SH4(7%),PowerPC和X86僅極少量。受感染的裝置廠商主要來在中國(32%)、巴西(16%),以及墨西哥及印度(9%)。(編譯/林妍溱)


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  新增/修改 爬文標記
cys070
至尊驢友
等級: 28等級: 28等級: 28等級: 28等級: 28等級: 28等級: 28


十週年紀念徽章(四級)  

 . 積分: 52090
 . 精華: 3
 . 文章: 18478
 . 收花: 463012 支
 . 送花: 46280 支
 . 比例: 0.1
 . 在線: 28375 小時
 . 瀏覽: 625826 頁
 . 註冊: 7206
 . 失蹤: 0
 . 自我分流~p2p精神
#2 : 2015-10-5 09:55 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
會做這種事的本來就是怪咖或是天才

搞不好改天就是那家防毒公司任職


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
Observer
論壇第一龜毛
等級: 21等級: 21等級: 21等級: 21等級: 21等級: 21
藏雲

 . 積分: 4858
 . 精華: 5
 . 文章: 9343
 . 收花: 41831 支
 . 送花: 9842 支
 . 比例: 0.24
 . 在線: 8089 小時
 . 瀏覽: 111880 頁
 . 註冊: 7978
 . 失蹤: 5
 . 單身宿舍
#3 : 2015-10-6 12:57 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (12) 引言回覆
其實是天網


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
Monkz
銅驢友〔中級〕
等級: 9等級: 9等級: 9


今日心情

 . 積分: 131
 . 文章: 265
 . 收花: 1146 支
 . 送花: 1960 支
 . 比例: 1.71
 . 在線: 578 小時
 . 瀏覽: 2580 頁
 . 註冊: 7191
 . 失蹤: 1843
 . 中壢
#4 : 2015-10-6 01:19 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
搞不好他只是先把其他病毒移除
然後哪一天他需要了再做壞事這樣
恩,我只是在亂猜


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
richman1016
銀驢友〔初級〕
等級: 12等級: 12等級: 12
吝嗇不送花,送花不吝嗇~

今日心情

 . 積分: 504
 . 文章: 842
 . 收花: 3625 支
 . 送花: 10628 支
 . 比例: 2.93
 . 在線: 4632 小時
 . 瀏覽: 110475 頁
 . 註冊: 7113
 . 失蹤: 5
#5 : 2015-10-7 09:32 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
天網+1


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
jimshow2001
鍛鐵驢友
等級: 7等級: 7等級: 7


今日心情

 . 積分: 85
 . 文章: 333
 . 收花: 636 支
 . 送花: 247 支
 . 比例: 0.39
 . 在線: 900 小時
 . 瀏覽: 8840 頁
 . 註冊: 6094
 . 失蹤: 12
#6 : 2015-10-7 10:39 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
其實加上最近的intel新的安全性規則
感覺上有種想把他自己植入不能被刪除的記憶體區域
然後再開開心心的傳播XD


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記

   



 



所在時區為 GMT+8, 現在時間是 2024-4-25 07:52 AM		 清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025209 second(s), 7 queries , Qzip disabled