IoT-Malware: Freundlicher Virus verspricht mehr Sicherheit

Die IoT-Malware Linux-Wifatch soll die IT-Sicherheit der befallenen Geräte erhöhen. Was absurd klingt, ist nach Angaben der Sicherheitsfirma Symantec Realität. Die Malware wurde erstmals von dem unabhängigen Sicherheitsforscher mit dem Pseudonym l00t_myself auf dessen Router entdeckt.

Eine genauere Analyse der Malware durch Symantec zeigte jetzt eine Reihe ungewöhnlicher Features: Anstatt Schwachstellen auszunutzen, versucht das Programm, Schwachstellen zu schließen. Will ein Nutzer etwa von außen auf einen Telnet-Port des infizierten Gerätes zuzugreifen, schließt die Malware den Telnet-Daemon, um einen Zugriff zu verhindern.

Wifatch hinterlässt dem Nutzer außerdem eine Nachricht: "Telnet wurde geschlossen, um eine weitere Infektion des Gerätes zu verhindern. Bitte deaktiviere Telnet, ändere die Telnet-Passwörter und / oder update deine Firmware."

Malware zitiert Stallman

Im Quellcode des Programms finden sich weitere ungewöhnliche Hinweise: "An alle NSA- und FBI-Agenten, die das lesen: Bitte denken Sie darüber nach, ob die Verteidigung der US-Verfassung gegen alle Feinde aus dem In- und Ausland es erfordert, dass Sie Snowdens Beispiel folgen." Hier bezieht sich der unbekannte Malware-Entwickler auf eine E-Mail-Signatur von Richard Stallman, die dieser nach den Snowden-Enthüllungen eingerichtet hatte.

Betroffen seien mit 83 Prozent vor allem Geräte mit ARM-Chips, Plattformen mit MIPS- und SH4-Architektur würden den Großteil der anderen infizierten Geräte ausmachen, so Symantec. Der Code ist in Perl geschrieben und zielt auf die Infektion verschiedener Geräte, nicht nur Router. Verschiedene, nicht näher benannte Internet-of-Things-Geräte sollen betroffen sein.

Auch wenn die Malware positive Effekte aufweist: Sie installiert sich ohne Wissen und Zustimmung der Nutzer und verändert die Konfiguration der Geräte. Auch kann nicht ausgeschlossen werden, dass das Programm nicht in Zukunft bösartige Aktionen ausführt. Symantec empfiehlt deshalb, die Geräte zu bereinigen. In den meisten Fällen reiche ein Reset, da die Infektion nicht persistent sei. Nutzer sollten ihre Geräte stets auf die aktuelle Firmware patchen. Die Sicherheitstipps könnten sie schließlich auch ohne aktivierte Malware befolgen.