Berlin.

Eine neue Schadsoftware mit dem Namen Linux.Wifatch verbreitet sich auf Routern und anderen Geräten im Internet der Dinge (so heißt alles, was seit Neuestem auch mit dem Netz verbunden ist – vom Fernseher bis zum Kühlschrank) und bindet diese in ein Botnetz ein. Das heißt, er steuert heimlich Horden von infizierten Geräten über einen zentralen Server. Diese Elektronik-Zombies lassen sich auf diese Weise etwa für Angriffe im Netz einspannen, indem etwa alle gleichzeitig versuchen, einen bestimmten Server zu erreichen und ihn so zum Kollabieren bringen.

Das besondere an Linux.Wifatch ist aber, dass er offenbar nicht nur keinen Schaden verursacht, er scheint die Geräte sogar gegen neue Angriffe zu immunisieren. Das jedenfalls berichtet Sicherheitsforscher Mario Ballano vom Antivirenhersteller Symantec auf dem Unternehmensblog.

Dort beschreibt Ballano, dass das Unternehmen erstmals bereits 2014 auf die sonderbare Schadsoftware gestoßen sei. Ein unabhängiger Sicherheitsforscher bemerkte ein Programm auf seinem Router, das diesen über einen Server fernsteuerte. Er beschloss, das Treiben weiter zu beobachten. Symantec untersuchte die Software ebenfalls und bemerkte, dass Linux.Wifatch anders war als die üblichen Schadprogramme.

Selbst nach mehreren Monaten Beobachtung ließ sich kein schädliches Verhalten der Software feststellen. Stattdessen sperrte er auf befallenen Geräten den Dienst für eine Fernsteuerung aus dem Internet und hinterließ die Botschaft, dass die Nutzer bitte ihre Software aktualisieren und ihre Passwörter ändern mögen, um Schaden zu vermeiden.

Im Quellcode – der offenbar absichtlich nicht gegen die Analyse geschützt ist – findet sich laut Symantec außerdem noch diese Botschaft an US-Behörden: „An alle NSA- und FBI-Agenten, die das hier lesen: Bitte erwägen Sie, dass der Schutz der US-Verfassung gegen alle Feinde, fremde wie heimische, möglicherweise von Ihnen verlangt, Snowdens Beispiel zu folgen.“ Symantec will nun weiter beobachten, was Linux.Wifatch wirklich tut.