Een Linux-worm die vorig jaar november voor het eerst werd ontdekt heeft inmiddels 31.000 apparaten geïnfecteerd, waarvan 12.000 routers, printers en IP-camera's. Dat stelt anti-virusbedrijf Symantec. In januari werd er een nieuwe variant ontdekt die besmette apparaten naar digitale valuta laat delven.
Het gaat dan om Mincoin en Dogecoin. Een reden dat de malwaremaker specifiek op deze valuta uit is, is dat dit nog steeds succesvol met besmette consumentenapparatuur te doen is, terwijl het delven van Bitcoins specifieke ASIC-chips vereist om de moeite waard te zijn. Echt rijk lijkt de malwaremaker nog niet te worden, De 42.438 verzamelde Dogecoins waren 46 dollar waard en de 282 gedolven Mincoins zouden zo'n 150 dollar waard zijn.
De Darlloz-worm, zoals de malware wordt genoemd, gebruikt een oud PHP-lek en veelgebruikte gebruikersnamen en wachtwoorden om toegang tot de computers en apparaten te krijgen.
De Linux.Darlloz worm maakt gebruik van een PHP-kwetsbaarheid (CVE-2012-1823) die in staat om apparaten te infecteren die op Linux draaien met een Intel's x86-chip architectuur en andere embedded apparaat architecturen zoals PPC, MIPS en Mipsel. De nieuwste variant van de Linux.Darlloz is uitgerust met een open source crypto valuta mining tool genaamd 'cpuminer'. Deze kan worden gebruikt Mincoins, Dogecoins of Bitcoins te 'oogsten'.
Eenmaal actief voegt de worm een firewall-regel toe die moet voorkomen dat andere aanvallers en malware misbruik van eventuele backdoors kunnen maken.
Verder opent Darlloz een HTTP-webserver op poort 58455 om zich verder te verspreiden. De webserver host de wormbestanden die na een succesvolle aanval via het PHP-lek worden gedownload. De meeste besmette computers en apparaten werden in China en de Verenigde Staten aangetroffen.
Maatregelen
Volgens Symantec weten veel consumenten niet dat ook andere apparaten naast computers met malware besmet kunnen raken. Er wordt dan ook aangeraden om op alle apparaten de standaard wachtwoorden te wijzigen, voor alle apparaten updates en firmware te installeren en het blokkeren van verbindingen naar poort 23 en 80 van buiten als toegang op deze manier niet vereist is.
Bron: Security.nl