超級英雄惡意軟件Wifatch開發(fā)團(tuán)隊公布了該項(xiàng)目源代碼。

上周，在布拉格舉行的病毒公告牌(Virus Bulletin：世界三大著名殺毒軟件測試機(jī)構(gòu))大會上，賽門鐵克研究員馬里奧·巴拉諾詳細(xì)說明了一款神秘的惡意軟件，該惡意軟件感染了成千上萬臺路由器、網(wǎng)絡(luò)監(jiān)控攝像頭和其他設(shè)備，表面上好像是為了保護(hù)這些設(shè)備。

[[151564]]

Linux.Wifatch——這款至少2014年11月就出現(xiàn)的惡意軟件，利用遠(yuǎn)程登錄(Telnet)和其他協(xié)議黑進(jìn)設(shè)置了弱密碼或直接保留默認(rèn)密碼的設(shè)備中。一旦感染設(shè)備，Wifatch就開始掃描其他已知惡意軟件并禁用Telnet以將其他惡意軟件隔絕在外。

盡管像Wifatch這樣的威脅可以被用于一系列惡意活動，包括分布式拒絕服務(wù)(DDoS)攻擊和域名服務(wù)器中毒(DNS poisoning)攻擊，該惡意軟件尚未進(jìn)行過此類惡意活動的事實(shí)卻讓專家們相信，Wifatch的操作者是抱著維護(hù)易遭攻擊設(shè)備安全的目的的“物聯(lián)網(wǎng)義務(wù)警員”。

當(dāng)一個自稱“白色團(tuán)隊(The White Team)”的組織公布了Linux.Wifatch源代碼的時候，事情似乎就是如此。巴拉諾已向SecurityWeek網(wǎng)站確認(rèn)，該源代碼是真實(shí)可信的。巴拉諾稱，Wifatch的開發(fā)者們聯(lián)系了賽門鐵克，讓這個安全公司獲悉他們想披露源文件的意圖。

Wifatch開發(fā)團(tuán)隊宣稱開放這款惡意軟件只是為了學(xué)習(xí)、理解、娛樂，以及保護(hù)用戶的安全。

除了學(xué)習(xí)病毒編寫經(jīng)驗(yàn)，這還是一個真正的利他主義項(xiàng)目，沒有任何惡意行動的意圖(感謝賽門鐵克對它的關(guān)注)。開發(fā)者們表示，該項(xiàng)目從未想過秘而不宣，他們早先將其存在隱而不發(fā)是為了避免不必要的關(guān)注，尤其是來自于惡意軟件制造者們的關(guān)注。不過，既然現(xiàn)在大家都知道了Wifatch的存在，他們決定在GNU通用公共許可證下公布源代碼。

Wifatch開發(fā)者們沒有暴露他們的真實(shí)身份，只說自己是“名不見經(jīng)傳的小人物”。他們稱自己為濫用了受感染用戶的資源而感到抱歉，但他們相信自身行動所帶來的好處是比潛在的負(fù)面影響要大的。

“清除掉其他惡意掃描軟件節(jié)省下來帶寬，殺死非法比特幣挖礦進(jìn)程盈余下來電力，防止設(shè)備過熱造成不斷重啟和服務(wù)中斷，避免憑證和金錢被盜……所有這些應(yīng)該都大大蓋過那一點(diǎn)點(diǎn)感染之害了。我們只是(小規(guī)模地)征用了你的設(shè)備去幫助大眾。”Wifatch開發(fā)者如是說道。

Wifatch僵尸網(wǎng)絡(luò)采用點(diǎn)對點(diǎn)(P2P)架構(gòu)防止被一鍋端，所有發(fā)送給僵尸機(jī)器的命令都經(jīng)過橢圓曲線數(shù)字簽名算法私鑰簽名。

為了避免被濫用，公開的源代碼并未含有該私鑰、感染代碼及命令與控制代碼的某些部分，編譯腳本也缺失了，但這些部分和其他組件或許過段時間會公布。

然而，白色團(tuán)隊警告道：由于該私鑰有可能被盜或者代碼中存在可被利用的漏洞，用戶還是應(yīng)該注意防范此類攻擊。

賽門鐵克也公開了在Wifatch源代碼中發(fā)現(xiàn)的引用自軟件自由運(yùn)動家理查德·斯托爾曼的話：“致看到此消息的NSA和FBI特工：請考慮捍衛(wèi)美國憲法免遭無論國內(nèi)還是國外所有敵人的破壞是否需要你跟隨斯諾登的例子。”

白色團(tuán)隊稱此段內(nèi)容最初曾被用于受感染設(shè)備顯示的Telnet消息中，但很短的一段時間后便被移除了——因?yàn)閳F(tuán)隊認(rèn)為這話顯得“有點(diǎn)點(diǎn)傻”。

巴拉諾告訴SecurityWeek：受感染設(shè)備上顯示的Telnet消息已經(jīng)更新為澄清改項(xiàng)目的意圖和目的了。他還稱，雖然Wifatch開發(fā)團(tuán)隊似乎是處于好意，賽門鐵克仍將繼續(xù)監(jiān)視他們的行動。