Malware infecteert routers om ze te beschermen

April van dit jaar trof Symantec het ook aan in zijn eigen honeypots en begon het de malware actief te onderzoeken. Het gedrag ervan was nogal afwijkend. Na installatie begon Linux.Wifatch patches te distribueren. Het sluit ook de op zich legitieme Telnet-daemon af om verdere toegang langs die route onmogelijk te maken en waarschuwt eigenaren van de router om wachtwoorden aan te passen en de firmware te updaten. De programmacode is bovendien niet beschermd tegen inspectie; er zitten zelfs miniversies van de broncode en enkele debug-aanwijzingen bij. En ergens in de sourcecode is een oproep aan agenten van de NSA en FBI opgenomen: die zouden in het belang van hun taakopvatting moeten overwegen het voorbeeld van Snowden te volgen. Van kwalijke opzetjes is in de code geen spoor te vinden.

Geen kwade bedoelingen

In reactie op de publicatie van Symantec hebben de auteurs van de code inmiddels laten weten dat ze inderdaad geen kwade bedoelingen hebben. Ze hebben naar eigen zeggen de code ontwikkeld uit nieuwsgierigheid, om er zelf iets van te leren, en om de veiligheid van het internet te verbeteren. Ze geven toe dat het verspreiden van de software op malware-achtige wijze niet is zoals het hoort. Maar als de routers in kwestie goed beveiligd waren, zouden ze nooit met Linux.Wifatch besmet zijn geraakt, stellen ze.

Wie de auteurs zijn, is onbekend. Maar Symantec nam de anonieme reactie op zijn publicatie serieus genoeg om deze eraan toe te voegen.

Ondanks de goede bedoelingen kan men Linux.Wifatch bij besmetting beter wel onmiddellijk verwijderen. Al was het maar omdat niet zeker is dat de software zelf afdoende beveiligd is. Een simpele reset volstaat daarvoor. Het is wel zaak om daarna afdoende beveiligingsmaatregelen te nemen. Want de route waarlangs Linux.Wifatch binnensloop, kan ook gebruikt worden door malware met minder nobele bedoelingen.