发现新的物联网僵尸网络恶意软件；感染全球更多设备

上周五，Mirai IoT僵尸网络对DNS提供商Dyn发起了大规模分布式拒绝服务（DDoS）攻击，导致互联网大面积中断。全球仍在应对这一问题。研究人员发现了另一个令人讨厌的IoT僵尸网络。
Linux/IRCTelnet恶意恶意软件是用C++编写的，就像MiaI恶意软件一样，依赖默认的硬编码密码来感染脆弱的基于Linux的IOT设备。

IRCTelnet恶意软件的工作原理是，暴力强迫设备的Telnet端口，感染设备的操作系统，然后将其添加到通过IRC（互联网中继聊天）；一种应用层协议，允许以文本形式进行通信。

因此，每个受感染的机器人（IoT设备）都连接到恶意IRC通道，并读取从命令和控制服务器发送的命令。

根据研究人员的说法，使用IRC管理机器人的概念是从Kaiten恶意软件借鉴而来的。用于构建IRCTelnet僵尸网络恶意软件的源代码基于早期的Aidra僵尸网络。

该恶意软件使用Mirai僵尸网络中“泄漏”的易受攻击物联网设备的登录凭据，以暴力方式将暴露的Telnet端口接入互联网。

IRCTelnet恶意软件会感染运行Linux内核版本2.6.32或更高版本的不安全设备，并能够使用伪造的IPv4和IPv6地址发起DDoS攻击，尽管扫描程序的编程目的只是通过IPv4查找和强制执行Telnet。

研究人员在一篇博文中指出：“僵尸网络在IPv4和IPv6协议中都有UDP洪水、TCP洪水等DoS攻击机制，以及其他攻击方法，在IPv4或IPv6中也有额外的IP欺骗选项。”。

在分析恶意软件的源代码时，研究人员在用户的通信界面中发现了硬编码的意大利语消息，这表明IRCTelnet恶意软件的作者可能是意大利人。

这家安全公司发现了大约3400个被IRCTelnet恶意软件感染的机器人，并表示这种恶意软件能够在短短5天内引发近3500个机器人客户端。

最初分发IRCTelnet恶意软件的扫描来自土耳其、摩尔多瓦和菲律宾的IP地址。

利用最近脆弱的威胁环境构建一个传奇式的大规模僵尸网络正在引发更多事件，比如最近针对Dyn的DDoS攻击导致主要网站无法访问，以及针对法国互联网服务和托管提供商OVH的创纪录DDoS攻击。