Linux.Wifatch, le malware qui s'attaque à des routeurs sous Linux
Pour les protéger contre d'autres virus néfastes
Le 2015-10-03 18:29:03, par Malick, Community Manager
Linux.Wifatch aurait été découvert pour la première fois en 2014 et aurait réussi à infecter plusieurs dizaines de routeurs tournant sous Linux. En effet, c’est grâce à des analyses menées par un chercheur en sécurité que ledit malware a été découvert, cela après avoir remarqué que des choses inhabituelles étaient en train de se passer sur son routeur de maison.
Selon Symantec, la plupart du code de Linux.Wifatch est écrit dans le langage Perl et il cible plusieurs architectures ; c’est la raison pour laquelle son analyse s’est facilement déroulée. À l’issue de son analyse, Symantec affirme avoir découvert plusieurs secrets de Linux.Wifatch dont son mode opératoire pour arriver à ses fins.
Pour Symantec, Linux.Wifatch infecte les routeurs grâce à des connexions Telnet utilisant pour l’essentiel des identifiants faibles. Une fois que le routeur est infecté, une connexion à un réseau peer-to-peer (P2P) est créée ; ce dernier est utilisé pour distribuer des mises à jour de la menace. Symantec affirme avoir surveillé ce réseau P2P durant plusieurs mois sans qu'une quelconque activité malveillante ne soit décelée, en l’occurence celle relative aux attaques DDoS généralement identifiées.
Wifatch non seulement tente d'empêcher davantage l'accès au routeur en tuant le démon Telnet légitime, mais il laisse aussi un message aux propriétaires d'appareils les incitant à changer leur mot de passe et à mettre à jour le firmware.
Symantec souligne que Wifatch dispose d'un module qui tente de faire face à d'autres infections de logiciels malveillants déjà présents sur le dispositif concerné. Certaines des menaces qu’il tente de supprimer sont bien connues parmi les logiciels malveillants ciblant les appareils embarqués.
Les tableaux suivants montrent la répartition des pays touchés par cette infection et les architectures des dispositifs infectés.
Source : Symantec
Et vous ?
Voir aussi :
-
BufferBobExpert éminentaucun
c'est marrant moi c'est l'inverse, autant la démarche me parle complètement, autant se poser la question sur fond de "y'a forcément un vice caché, un but inavoué" ça m'interloque toujours ^^
sans chercher à me substituer au créateur de ladite bestiole, la démarche me parle parceque -comme je le ressens- :
- "je l'ai fait parceque je pouvais le faire"
- parceque c'est utile, tout simplement
- parcequ'y a là dedans presque une démarche artistique, une façon de bousculer les idées reçues, forcer les esprits à s'ouvrir au pied de biche
pour le moins ce qu'on peut dire c'est que justement, se contenter de publier l'outil n'aurait pas le même impact, déjà on peut assez facilement supposer que les gens/entreprises dont le routeur a un telnet ouvert avec un mot de passe faible, y'a peu de chances pour qu'il y ait un admin qui fasse de la veille sécu derrière, donc sans le malware il y a fort à parier que les routeurs seraient restés vulnérables encore un bon momentle 04/10/2015 à 2:06 -
laerneMembre éprouvéProbablement des white hats qui en avait marre de publier des outils ignoré par trop de webmasters, laissant des failles béantes dans la toile.le 04/10/2015 à 1:50
-
N_BaHModérateurun poison qui fait du bien, c'est un médicament !
pourquoi appellent-ils ça un malware ?le 03/10/2015 à 21:06 -
CafeinomanMembre éprouvéEh bien merci messieurs. A quand le cheval de Troie qui fait des aptitude update sur les serveurs?le 04/10/2015 à 10:46
-
earhaterMembre éprouvéça s'appelle malware dans le sens où il s'installe de manière non désirée sur le routeurle 03/10/2015 à 21:33
-
curtMembre émériteSans être spécialiste, il me semble que les box, notamment LiveBox (orange) tournent sous Linux...
Quel est l'impact sur nos box ???
Curtle 03/10/2015 à 21:38 -
Max LothaireMembre confirméSi je comprend bien, si le routeur n'utilise pas telnet ce truc ne nous infecte pas ?
Par contre je comprend pas l’intérêt de faire un malware « gentil ». Si le but est d’améliorer la sécurité de ces routeurs, pourquoi ne pas tout simplement publier l'outil ?
S'il s'installe en douce, ça doit bien être à dessein, mais lequel ?le 03/10/2015 à 22:06 -
TiranusKBXExpert confirméun aiti-virus pour routeur, comme c'est gentil de leur partle 04/10/2015 à 13:11
-
CoderInTheDarkMembre émériteCa peut aider à combattre les réseaux de bot net ?le 06/10/2015 à 8:02
-
SurferIXMembre chevronnéWikipedia : Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est infecté.
Dans le but de nuire. La il ne nuit pas. Ce n'est donc pas un malware.le 10/10/2015 à 18:34