Gibt es gute Malware?

foto (c) symantec router symbole

foto (c) symantec

Nicht jede Malware verfolgt böse Absichten. Wie Symantec-Experten berichten, scheint die »Linux.Wifatch« Malware infizierte IoT-Geräte sogar zu schützen, statt böswillige Nutzlast abzuladen. Bei 10.000 marktüblichen Heimroutern und anderer netzgebundener Hardware beobachtete Symantec eine Infektion. Die Geräte wurden gegenüber Attacken gehärtet und bereits vorhandene Malware-Infektionen entfernt.


       Wifatch versucht nicht nur, den weiteren Zugriff zu verhindern, indem es den Telnet Daemon abstellt. Die Malware sendet sogar eine Nachricht an den Geräte-Eigentümer mit der Aufforderung, sein Password zu ändern und ein Firmware-Update durchzuführen.

       Wifatch verfügt über ein Modul, das vorhandene feindliche Malware zu eliminieren versucht.

       Wifatch kann die Gerätekonfiguration so aufsetzen, dass diese jede Woche automatisch neu gestartet wird. Dadurch wird vorhandene Malware entfernt und das Gerät gesäubert.

Aber warum wurde diese gutwillige Malware in Umlauf gebracht? Symantec kann hier nur spekulieren. Der positive Effekt dieses »Schadprogrammes« liegt auf der Hand, wenngleich die Experten böswillige Absichten nicht ausschließen können. Wifatch beinhalte eine Vielzahl von Hintertüren, die dazu benutzt werden könnten, potenzielle Angriffe zu starten.


The author of Linux.Wifatch has responded to our blog and posted a Q&A to explain their actions. The following is an extract from the response.

Why did you write this and let it go?

First, for learning. Second, for understanding. Third, for fun, and fourth, for your (and our) security. Apart from the learning experience, this is a truly altruistic project, and no malicious actions are planned (and it nice touch that Symantec watch over this).

Why release now?

It was never intended to be secret. And to be truly ethical (Stallman said) it needs to have a free license (agree) and ask before acting (also agree, so only half way there).

Why not release earlier?

To avoid unwanted attention, especially by other mlaware authors who want to avoid detection. Plan failed, unwanted attention has been attracted, so release is fine.

Who are you?

We are nobody important. Really.

Do you feel bad about abusing resources by others?

Yes, although the amount of saved bandwidth by taking down other scanning malware, the amount energy saved by killing illegal bitcoin miners, the number of reboots and service interruptions prevented by not overheating these devices, the number of credentials and money not stolen should all outweigh this. We co-opted your devices to help the general public (in a small way).

Can I trust you to not do evil things with my devices?

Yes, but that is of no help – somebody could steal the key, no matter how well I protect it. More likely, there is a bug in the code that allows access to anybody.

Should I trust you?

Of course not, you should secure your device.

Why is this not a problem?

Linux.Wifatch doesn’t use elaborate backdoors or 0day exploits to hack devices. It basically just uses telnet and a few other protocols and tries a few really dumb or default passwords (our favourite is „password“). These passwords are well-known – anybody can do that, without having to steal any secret key.

Basically it only infects devices that are not protected at all in the first place!