Nein, ich war gestern gestern nicht auf einer Party, wo der Alkohol in Strömen floss oder dicke Zigaretten rumgingen. So eine Infektion kann inzwischen durchaus passieren und kommt durch das im letzten Jahr entdeckten Programm Linux.Wifatch auch schon in der Praxis vor.
Engel oder Bengel?
Manche nennen es ein „freundliches Virus“, andere einfach nur eine Malware. Was es wirklich ist, ist schwer zu sagen. Linux.Wifatch bindet zwar befallene Geräte in ein Botnetz ein, erhöht aber so die IT-Sicherheit der von ihm befallenen Router oder IoT-Geräte.
Was ziemlich absurd klingt, ist aber nach Angaben der Sicherheitsfirma Symantec Realität. Die Malware wurde erstmals von einem unabhängigen Sicherheitsforscher auf seinem eigenen Router entdeckt.
Was macht Wifatch?
Eine differenziertere Analyse des (Un-)Schädlings durch die Virenschützer von Symantec brachte jetzt eine Reihe ungewöhnlicher Features an den Tag:
Statt Schwachstellen auszunutzen, versucht dieses Programm, diese zu schließen. Will beispielsweise ein Nutzer von außen auf einen Telnet-Port des infizierten Gerätes zuzugreifen, schließt Wifatch den Telnet-Daemon, um den Zugriff zu verhindern.
Außerdem hinterlässt Wifatch dem Nutzer dann noch eine Nachricht: „Telnet wurde geschlossen, um eine weitere Infektion des Gerätes zu verhindern. Bitte deaktiviere Telnet, ändere die Telnet-Passwörter und / oder update deine Firmware.“
Hinweis auf Grundrechte
Auch im Quellcode des Programms finden sich Unerwartetes: „An alle NSA- und FBI-Agenten, die dies lesen: Bitte denken Sie darüber nach, ob die Verteidigung der US-Verfassung gegen alle Feinde aus dem In- und Ausland es erfordert, dass Sie Snowdens Beispiel folgen.“
Mit dieser Aufforderung bezieht sich der unbekannte Malware-Entwickler auf eine E-Mail-Signatur von Richard Stallman, die von diesem nach den Snowden-Enthüllungen genutzt wurde.
Puristen sind entsetzt über die Software, Pragmatiker sagen eher: „Wenn’s hilft…„