Bildschirmfoto 2015-10-05 um 12.33.55Glauben kann man das jetzt nicht, auf jeden Fall spürt man einen faden Beigeschmack. Experten von Symantec berichten im eigenen Blog über die Existenz eines Schadcodes, der bereits mehrere zehntausend Router und IoT-Geräte (Geräte die mit dem Internet verbunden sind) infiziert und in ein Botnetz eingebunden hat, aber nicht schädlich sein soll und darüber hinaus sogar Geräte vor weiterer Infizierung schützt!
Wurde der Router mit dem Schadcode namens “Linux.Wifatch” infiziert, verbindet sich dieser auch auch gleich mit seinem Botnetz und tauscht diverse Daten aus. Aber anders als erwartet, agiert dieser nicht bösartig, sondert dichtet sogar vorhandene Sicherheitslücken im Router ab.
Die Experten tun sich schwer bei der Kategorisierung dieser Infektion, denn anders als üblich haben sich die Programmierer nichtmal die Mühe gegeben, den in Perl entwickelte Code innerhalb des Programm zu verstecken. So fanden Experten bei dessen Analysen auch keinerlei bösartige Routinen, darüber hinaus zeigt “Wifatch” weder Anzeichen das kompromittierte Gerät zu übernehmen, noch Spam-Mails oder DDoS-Attacken zu starten. Der Benutzer wird sogar über Informationen darauf hingewiesen, offene Ports zu schliessen bzw. aktuelle Firmware zu installieren.

Bildschirmfoto 2015-10-05 um 14.07.42

Die Infektion benachrichtig den Benutzer

Weiterhin sind die Programmierer im Quelltext sehr mitteilsam, so fordert der Internet-Aktivisten Richard Stallman in einem Kommentar die NSA und das FBI auf, dem Beispiel von Edward Snowden zu folgen.
Erstmals wurde “Wifatch” 2014 von unabhängigen Sicherheitsexperten entdeckt, über Monate beobachtet und neuste Analysen der Symatec-Forscher zeigen, dass sich die Infektion weltweit hauptsächlich in den Räumen China, Brasilien, Mexiko und Indien verdichtet.
Gut oder nicht gut?
In IT-Sicherheitskreisen wird über Jahre hinweg schon über “gutartige” – Infektionen diskutiert. Malware die andere Schadprogramme eliminieret ist an sich nichts unbekanntes. Auch wenn “Wifatch” offensichtlich zur Zeit nichts böses im Sinn hat und zudem Sicherheitslücken erkennt und schließt, ist die Malware doch ohne Wissen des Besitzers in den Router bzw. das Gerät eingedrungen und lässt sich weder beeinflussen noch kontrollieren – Jederzeit können kompromittierte Geräte zum Angriff befehligt werden!
Bild: freedigitalphotos.net; symantec.com