來自賽門鐵克研究員的消息，這個病毒通過2012年出現(xiàn)的 PHP 漏洞傳播。

據(jù)美國國際數(shù)據(jù)集團(tuán)（IDG）的新聞 —— 一個新的蠕蟲病毒將目標(biāo)指向那些運行了 Linux 和 PHP 的 x86 架構(gòu)計算機(jī)，其變種還會對運行在其他芯片架構(gòu)上的設(shè)備（諸如家用路由器和機(jī)頂盒）造成威脅。

[[91556]]

根據(jù)賽門鐵克研究員的介紹，這種病毒利用 php-cgi 上的一個漏洞進(jìn)行傳播，這個 php-cgi 組件的功能是允許 PHP 代碼在通用網(wǎng)關(guān)接口（CGI）的配置環(huán)境下被執(zhí)行。此漏洞的代號為 CVE-2012-1823（通過這個漏洞，攻擊者可以遠(yuǎn)程執(zhí)行任意代碼，所以這種漏洞又叫“遠(yuǎn)程任意代碼執(zhí)行漏洞” —— 譯者注）。2012年5月份，PHP 5.4.3 和 PHP 5.3.13 這兩個版本已經(jīng)打上補(bǔ)丁修復(fù)了這個漏洞。

這個賽門鐵克的研究員在博客中寫道：這個名為“Linux.Darlloz”的新蠕蟲病毒基于去年10月份放出的 PoC 代碼（PoC：proof of concept，概念驗證。利用目標(biāo)計算機(jī)的漏洞，為對其進(jìn)行攻擊而設(shè)計的代碼稱為 exploit，而一個沒有充分利用漏洞的 exploit，就是 PoC —— 譯者注）。

“在傳播過程中，這段蠕蟲代碼會隨機(jī)產(chǎn)生 IP 地址，通過特殊途徑，利用普通的用戶名密碼發(fā)送 HTTP POST 請求，探測漏洞”，研究員解釋道：“如果一個目標(biāo)沒有打上 CVE-2012-1823 的補(bǔ)丁，這臺機(jī)器就會從病毒服務(wù)器下載蠕蟲病毒，之后尋找下一個目標(biāo)。”

這個唯一的蠕蟲變種目前為止只感染了 x86 系統(tǒng)，這是因為這個病毒的二進(jìn)制格式為 Intel 架構(gòu)下的 ELF （Executable and Linkable Format）格式。

然而這個研究員警告說，黑客也為其他架構(gòu)開發(fā)了病毒，包括 ARM，PPC，MIPS 和 MIPSEL。

這些計算機(jī)架構(gòu)主要用于諸如家用路由器、網(wǎng)絡(luò)監(jiān)視器、機(jī)頂盒以及其他嵌入式設(shè)備。

“攻擊者顯然試圖在最大范圍內(nèi)感染運行 Linux 的設(shè)備”，研究員又說：“然而我們還沒有證實他們有沒有攻擊非 PC 設(shè)備。”

很多嵌入式設(shè)備的固件都使用 Linux 作為操作系統(tǒng)，并且使用 PHP 作為 Web 服務(wù)管理界面。這些設(shè)備比 PC 機(jī) 或服務(wù)器更容易被攻陷，因為它們不會經(jīng)常更新軟件。

在嵌入式設(shè)備為一個漏洞打上補(bǔ)丁，從來都不是件容易的事。很多廠商都不會定期公布更新信息，而當(dāng)他們公布時，用戶也不會被告知說這些更新解決了哪些安全問題。

并且，在嵌入式設(shè)備上更新軟件比在計算機(jī)上需要更多的工作，以及更多的技術(shù)知識。用戶需要知道哪些網(wǎng)站能提供這些更新，然后下載下來，通過 Web 界面更新到他們的設(shè)備中。

“很多用戶也許壓根就不知道他們家里或辦公室的設(shè)備存在漏洞，”啰嗦的研究員說：“我們面臨的另一個問題是，即使用戶注意到他們用的是有漏洞的設(shè)備，這些設(shè)備的供應(yīng)商卻沒有提供補(bǔ)丁，原因是技術(shù)落后，或者完全就是硬件的限制：內(nèi)存不足，或 CPU 太慢，不足以支持這些軟件的新版本。”

“為了保護(hù)他們的設(shè)備免受蠕蟲感染，用戶需要確認(rèn)這些設(shè)備是否運行在最新的固件版本上，必要的話，升級固件，設(shè)置高強(qiáng)度的管理員密碼，在防火墻那兒，或任何獨立的設(shè)備那兒，屏蔽任何對 -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi and -/cgi-bin/php4 的 HTTP POST 請求。”沒完沒了的賽門鐵克研究員說道。

via: http://www.computerworld.com/s/article/9244409/This_new_worm_targets_Linux_PCs_and_embedded_devices?taxonomyId=122