Symantec hat einen Worm namens Linux.Darlloz ausgemacht, der schlecht geschützte Router, Kameras und andere vernetzte Geräte befällt, wenn diese Intel-CPUs in sich tragen.
Der Wurm Linux.Darlloz nutzt bei seinem Angriff eine Sicherheitslücke von “php-cgi” aus, die eigentlich bereits Mitte 2012 repariert wurde, aber noch einige betreffen kann, auf denen ältere Firmware läuft. Der Wurm kopiert sich aber zunächst in die Datei “/tmp/x86”, legt das versteckte Verzeichnis “/var/run/.zollard” an und versucht dann die Iptables-Module zu laden und zu manipulieren, um den Telnet-Port zu blockieren und den Telnet-Daemon zu beenden.
Nach dem Löschen einiger Dateien generiert er zufällige IP-Adressen und durchsucht diese, so sie existieren, auf einen spezifischen PHP-Pfad in “/cgi-bin/” hin. Wird für dessen Besuch vom Zielrechner eine Anmeldung erwartet, testet er ein paar Standard-Logins, etwa “admin:admin” und reproduziert sich im Erfolgsfall. Auf dem Gerät nutzt er dann die erwähnte “php-cgi”-Lücke aus und lädt Schadcode in Form einer ELF-Datei herunter, bevor er zum nächsten Gerät weiter wandert.
Noch befällt die Datei nur Geräte mit Intel-Chips, aber es stehen vermutlich auch Varianten für ARM, PPC, Mips und Mipsel in den Startlöchern. Da der Wurm aber bisher nichts weiter tut und nur Intel-Geräte befällt, stuft Symantec ihn als harmlos ein. Eine Empfehlung ist, stets die Standardpasswörter der netzwerkfähigen Embedded-Geräte zu ändern und die Firmware auf dem neuesten Stand zu halten beziehungsweise Security-Updates einzuspielen, wo das möglich ist.





