Wenn Schadsoftware den eigenen Router befällt, ist dies üblicherweise eine reichlich unerfreuliche Angelegenheit. Ziel solcher Angriffe ist es meist, die Internetanbindung der der Nutzer für bösartige Zwecke auszunutzen – etwa für "Distributed Denial of Service"-(DDoS-)Attacken gegen andere Rechner.

Wifatch

Nun hat Symantec aber einen neuen Virus entdeckt, bei dem alles anders ist: Wifatch kennt nämlich keinerlei Schadfunktion. Ganz im Gegenteil: Ist ein Router erst einmal befallen, werden als vorhandene Sicherheitslücken umgehend abgedichtet. Zwar verbindet sich auch dieser Virus mit einem Botnetz, über das werden aber offenbar nur weitere Updates und Sicherheitsfunktionen nachgereicht.

Speziell

An sich ist es nicht unüblich, dass Schadsoftware, wenn sie einmal ein Gerät übernommen hat, andere Sicherheitslücken schließt. Immerhin will ein Angreifer verhindern, dass noch andere Malware hier Zugriff bekommt und eventuell Probleme verursacht. Bei Wifatch fehlt aber eben jegliche bösartige Funktion, wie sie sonst bei Malware zu finden ist.

Mitteilungsbedürftig

Auch zeigt der Virus recht eindeutiges Sendungsbewusstsein. So wird etwa ein vorhandener Telnet-Zugang – ein gebräuchliches Einfallstor bei Routern – automatisch deaktiviert. Wer daraufhin versucht, sich auf diesem Weg mit dem Router zu verbinden, erhält eine freundliche Information, dass man diesen Service doch abdrehen und die Router-Firmware aktualisieren solle.

Offen einsehbar

Zudem ist der Code von Wifatch nicht geheim, es handelt sich dabei lediglich um komprimierte Perl-Skripte. Und in diesen findet sich als Kommentar ein Zitat von Free-Software-Foundation-Gründer Richard Stallman, in dem sämtlich NSA- und FBI-Agenten aufgefordert werden, dem Beispiel von Edward Snowden zu folgen.

Vorsicht

Trotz all dieser Freundlichkeit solle man aber nicht vergessen, dass Wifatch ein Stück Software ist, das ohne Erlaubnis auf den eigenen Router eingedrungen ist. Und nur weil er derzeit noch keine Schadfunktionen entfaltet, müsse dies nicht auf Dauer so bleiben, betont Symantec. Es gebe bei den Viren einige allgemein gehaltene Module, mit denen schnell Angriffsfunktionen nachgerüstet werden könnten.

Telnet

Als Angriffsweg scheint Wifatch schlicht nach außen offene Telnet-Ports zu wählen, und dort schwache Login/Passwort-Kombinationen zu nutzen. Betroffenen Nutzern empfiehlt der Sicherheitsdienstleister die Software ihres Routers auf den aktuellsten Stand zu bringen und bessere Passwörter zu verwenden. (apo, 5.10.2015)