超級(jí)英雄惡意軟件Wifatch開(kāi)發(fā)團(tuán)隊(duì)公布了該項(xiàng)目源代碼。

上周，在布拉格舉行的病毒公告牌(Virus Bulletin：世界三大著名殺毒軟件測(cè)試機(jī)構(gòu))大會(huì)上，賽門(mén)鐵克研究員馬里奧·巴拉諾詳細(xì)說(shuō)明了一款神秘的惡意軟件，該惡意軟件感染了成千上萬(wàn)臺(tái)路由器、網(wǎng)絡(luò)監(jiān)控?cái)z像頭和其他設(shè)備，表面上好像是為了保護(hù)這些設(shè)備。

[[151564]]

Linux.Wifatch——這款至少2014年11月就出現(xiàn)的惡意軟件，利用遠(yuǎn)程登錄(Telnet)和其他協(xié)議黑進(jìn)設(shè)置了弱密碼或直接保留默認(rèn)密碼的設(shè)備中。一旦感染設(shè)備，Wifatch就開(kāi)始掃描其他已知惡意軟件并禁用Telnet以將其他惡意軟件隔絕在外。

盡管像Wifatch這樣的威脅可以被用于一系列惡意活動(dòng)，包括分布式拒絕服務(wù)(DDoS)攻擊和域名服務(wù)器中毒(DNS poisoning)攻擊，該惡意軟件尚未進(jìn)行過(guò)此類(lèi)惡意活動(dòng)的事實(shí)卻讓專(zhuān)家們相信，Wifatch的操作者是抱著維護(hù)易遭攻擊設(shè)備安全的目的的“物聯(lián)網(wǎng)義務(wù)警員”。

當(dāng)一個(gè)自稱(chēng)“白色團(tuán)隊(duì)(The White Team)”的組織公布了Linux.Wifatch源代碼的時(shí)候，事情似乎就是如此。巴拉諾已向SecurityWeek網(wǎng)站確認(rèn)，該源代碼是真實(shí)可信的。巴拉諾稱(chēng)，Wifatch的開(kāi)發(fā)者們聯(lián)系了賽門(mén)鐵克，讓這個(gè)安全公司獲悉他們想披露源文件的意圖。

Wifatch開(kāi)發(fā)團(tuán)隊(duì)宣稱(chēng)開(kāi)放這款?lèi)阂廛浖皇菫榱藢W(xué)習(xí)、理解、娛樂(lè)，以及保護(hù)用戶(hù)的安全。

除了學(xué)習(xí)病毒編寫(xiě)經(jīng)驗(yàn)，這還是一個(gè)真正的利他主義項(xiàng)目，沒(méi)有任何惡意行動(dòng)的意圖(感謝賽門(mén)鐵克對(duì)它的關(guān)注)。開(kāi)發(fā)者們表示，該項(xiàng)目從未想過(guò)秘而不宣，他們?cè)缦葘⑵浯嬖陔[而不發(fā)是為了避免不必要的關(guān)注，尤其是來(lái)自于惡意軟件制造者們的關(guān)注。不過(guò)，既然現(xiàn)在大家都知道了Wifatch的存在，他們決定在GNU通用公共許可證下公布源代碼。

Wifatch開(kāi)發(fā)者們沒(méi)有暴露他們的真實(shí)身份，只說(shuō)自己是“名不見(jiàn)經(jīng)傳的小人物”。他們稱(chēng)自己為濫用了受感染用戶(hù)的資源而感到抱歉，但他們相信自身行動(dòng)所帶來(lái)的好處是比潛在的負(fù)面影響要大的。

“清除掉其他惡意掃描軟件節(jié)省下來(lái)帶寬，殺死非法比特幣挖礦進(jìn)程盈余下來(lái)電力，防止設(shè)備過(guò)熱造成不斷重啟和服務(wù)中斷，避免憑證和金錢(qián)被盜……所有這些應(yīng)該都大大蓋過(guò)那一點(diǎn)點(diǎn)感染之害了。我們只是(小規(guī)模地)征用了你的設(shè)備去幫助大眾。”Wifatch開(kāi)發(fā)者如是說(shuō)道。

Wifatch僵尸網(wǎng)絡(luò)采用點(diǎn)對(duì)點(diǎn)(P2P)架構(gòu)防止被一鍋端，所有發(fā)送給僵尸機(jī)器的命令都經(jīng)過(guò)橢圓曲線數(shù)字簽名算法私鑰簽名。

為了避免被濫用，公開(kāi)的源代碼并未含有該私鑰、感染代碼及命令與控制代碼的某些部分，編譯腳本也缺失了，但這些部分和其他組件或許過(guò)段時(shí)間會(huì)公布。

然而，白色團(tuán)隊(duì)警告道：由于該私鑰有可能被盜或者代碼中存在可被利用的漏洞，用戶(hù)還是應(yīng)該注意防范此類(lèi)攻擊。

賽門(mén)鐵克也公開(kāi)了在Wifatch源代碼中發(fā)現(xiàn)的引用自軟件自由運(yùn)動(dòng)家理查德·斯托爾曼的話：“致看到此消息的NSA和FBI特工：請(qǐng)考慮捍衛(wèi)美國(guó)憲法免遭無(wú)論國(guó)內(nèi)還是國(guó)外所有敵人的破壞是否需要你跟隨斯諾登的例子。”

白色團(tuán)隊(duì)稱(chēng)此段內(nèi)容最初曾被用于受感染設(shè)備顯示的Telnet消息中，但很短的一段時(shí)間后便被移除了——因?yàn)閳F(tuán)隊(duì)認(rèn)為這話顯得“有點(diǎn)點(diǎn)傻”。

巴拉諾告訴SecurityWeek：受感染設(shè)備上顯示的Telnet消息已經(jīng)更新為澄清改項(xiàng)目的意圖和目的了。他還稱(chēng)，雖然Wifatch開(kāi)發(fā)團(tuán)隊(duì)似乎是處于好意，賽門(mén)鐵克仍將繼續(xù)監(jiān)視他們的行動(dòng)。