Discussion :

[Malick]

Linux.Wifatch, un malware qui s’attaque à des routeurs sous Linux
Cela afin de les protéger contre d'autres virus néfastes

Selon Symantec, un malware dénommé Linux.Wifatch est en train d'infecter les routeurs tournant sous Linux, cela afin de leur apporter une protection contre les attaques de virus potentiellement néfastes.

Linux.Wifatch aurait été découvert pour la première fois en 2014 et aurait réussi à infecter plusieurs dizaines de routeurs tournant sous Linux. En effet, c’est grâce à des analyses menées par un chercheur en sécurité que ledit malware a été découvert, cela après avoir remarqué que des choses inhabituelles étaient en train de se passer sur son routeur de maison.

Selon Symantec, la plupart du code de Linux.Wifatch est écrit dans le langage Perl et il cible plusieurs architectures ; c’est la raison pour laquelle son analyse s’est facilement déroulée. À l’issue de son analyse, Symantec affirme avoir découvert plusieurs secrets de Linux.Wifatch dont son mode opératoire pour arriver à ses fins.

Pour Symantec, Linux.Wifatch infecte les routeurs grâce à des connexions Telnet utilisant pour l’essentiel des identifiants faibles. Une fois que le routeur est infecté, une connexion à un réseau peer-to-peer (P2P) est créée ; ce dernier est utilisé pour distribuer des mises à jour de la menace. Symantec affirme avoir surveillé ce réseau P2P durant plusieurs mois sans qu'une quelconque activité malveillante ne soit décelée, en l’occurence celle relative aux attaques DDoS généralement identifiées.

Wifatch non seulement tente d'empêcher davantage l'accès au routeur en tuant le démon Telnet légitime, mais il laisse aussi un message aux propriétaires d'appareils les incitant à changer leur mot de passe et à mettre à jour le firmware.

Symantec souligne que Wifatch dispose d'un module qui tente de faire face à d'autres infections de logiciels malveillants déjà présents sur le dispositif concerné. Certaines des menaces qu’il tente de supprimer sont bien connues parmi les logiciels malveillants ciblant les appareils embarqués.

Les tableaux suivants montrent la répartition des pays touchés par cette infection et les architectures des dispositifs infectés.

Figure 1. Répartition des pays infectés

Figure 2. Répartition des architectures infectées

Source : Symantec

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

le Forum Linux

la Rubrique Linux (Cours, Tutoriels, FAQ, etc.)

[N_BaH]

un poison qui fait du bien, c'est un médicament !

pourquoi appellent-ils ça un malware ?

[earhater]

ça s'appelle malware dans le sens où il s'installe de manière non désirée sur le routeur

[curt]

Sans être spécialiste, il me semble que les box, notamment LiveBox (orange) tournent sous Linux...
Quel est l'impact sur nos box ???

Curt

[Max Lothaire]

Si je comprend bien, si le routeur n'utilise pas telnet ce truc ne nous infecte pas ?

Par contre je comprend pas l’intérêt de faire un malware « gentil ». Si le but est d’améliorer la sécurité de ces routeurs, pourquoi ne pas tout simplement publier l'outil ?
S'il s'installe en douce, ça doit bien être à dessein, mais lequel ?

[laerne]

Probablement des white hats qui en avait marre de publier des outils ignoré par trop de webmasters, laissant des failles béantes dans la toile.

[BufferBob]

Quel est l'impact sur nos box ???

aucun

Par contre je comprend pas l’intérêt de faire un malware « gentil ».

c'est marrant moi c'est l'inverse, autant la démarche me parle complètement, autant se poser la question sur fond de "y'a forcément un vice caché, un but inavoué" ça m'interloque toujours ^^
sans chercher à me substituer au créateur de ladite bestiole, la démarche me parle parceque -comme je le ressens- :

• "je l'ai fait parceque je pouvais le faire"
• parceque c'est utile, tout simplement
• parcequ'y a là dedans presque une démarche artistique, une façon de bousculer les idées reçues, forcer les esprits à s'ouvrir au pied de biche

pour le moins ce qu'on peut dire c'est que justement, se contenter de publier l'outil n'aurait pas le même impact, déjà on peut assez facilement supposer que les gens/entreprises dont le routeur a un telnet ouvert avec un mot de passe faible, y'a peu de chances pour qu'il y ait un admin qui fasse de la veille sécu derrière, donc sans le malware il y a fort à parier que les routeurs seraient restés vulnérables encore un bon moment

[Artemus24]

Salut à tous.

Peux-on détailler ce que représente ces architectures ? Mips, sh4 et arm ?

Quel est l'impact sur nos box ???

aucun

Dois-je comprendre que l'on ne peut pas modifier une box par 'telnet' ?

Or, je sais que les routeurs professionnels se modifient par 'telnet' (enfin je crois) ?
Est-ce qu'ils sont plus vulnérables que les autres ?
Je n'arrive pas bien à comprendre qui sont ces routeurs vulnérables.

@+

[Cafeinoman]

Eh bien merci messieurs. A quand le cheval de Troie qui fait des aptitude update sur les serveurs?

[TiranusKBX]

un aiti-virus pour routeur, comme c'est gentil de leur part

[CoderInTheDark]

Ca peut aider à combattre les réseaux de bot net ?

[SurferIX]

ça s'appelle malware dans le sens où il s'installe de manière non désirée sur le routeur

Wikipedia : Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est infecté.

Dans le but de nuire. La il ne nuit pas. Ce n'est donc pas un malware.

[Nerothos]

Eh bien merci messieurs. A quand le cheval de Troie qui fait des aptitude update sur les serveurs?

S'il fait un dist-upgrade, cela pourrait être plus dangereux qu'un virus xD