來自賽門鐵克研究員的消息，這個病毒通過2012年出現的 PHP 漏洞傳播。

據美國國際數據集團（IDG）的新聞 —— 一個新的蠕蟲病毒將目標指向那些運行了 Linux 和 PHP 的 x86 架構計算機，其變種還會對運行在其他芯片架構上的設備（諸如家用路由器和機頂盒）造成威脅。

[[91556]]

根據賽門鐵克研究員的介紹，這種病毒利用 php-cgi 上的一個漏洞進行傳播，這個 php-cgi 組件的功能是允許 PHP 代碼在通用網關接口（CGI）的配置環境下被執行。此漏洞的代號為 CVE-2012-1823（通過這個漏洞，攻擊者可以遠程執行任意代碼，所以這種漏洞又叫“遠程任意代碼執行漏洞” —— 譯者注）。2012年5月份，PHP 5.4.3 和 PHP 5.3.13 這兩個版本已經打上補丁修復了這個漏洞。

這個賽門鐵克的研究員在博客中寫道：這個名為“Linux.Darlloz”的新蠕蟲病毒基于去年10月份放出的 PoC 代碼（PoC：proof of concept，概念驗證。利用目標計算機的漏洞，為對其進行攻擊而設計的代碼稱為 exploit，而一個沒有充分利用漏洞的 exploit，就是 PoC —— 譯者注）。

“在傳播過程中，這段蠕蟲代碼會隨機產生 IP 地址，通過特殊途徑，利用普通的用戶名密碼發送 HTTP POST 請求，探測漏洞”，研究員解釋道：“如果一個目標沒有打上 CVE-2012-1823 的補丁，這臺機器就會從病毒服務器下載蠕蟲病毒，之后尋找下一個目標。”

這個唯一的蠕蟲變種目前為止只感染了 x86 系統，這是因為這個病毒的二進制格式為 Intel 架構下的 ELF （Executable and Linkable Format）格式。

然而這個研究員警告說，黑客也為其他架構開發了病毒，包括 ARM，PPC，MIPS 和 MIPSEL。

這些計算機架構主要用于諸如家用路由器、網絡監視器、機頂盒以及其他嵌入式設備。

“攻擊者顯然試圖在最大范圍內感染運行 Linux 的設備”，研究員又說：“然而我們還沒有證實他們有沒有攻擊非 PC 設備。”

很多嵌入式設備的固件都使用 Linux 作為操作系統，并且使用 PHP 作為 Web 服務管理界面。這些設備比 PC 機 或服務器更容易被攻陷，因為它們不會經常更新軟件。

在嵌入式設備為一個漏洞打上補丁，從來都不是件容易的事。很多廠商都不會定期公布更新信息，而當他們公布時，用戶也不會被告知說這些更新解決了哪些安全問題。

并且，在嵌入式設備上更新軟件比在計算機上需要更多的工作，以及更多的技術知識。用戶需要知道哪些網站能提供這些更新，然后下載下來，通過 Web 界面更新到他們的設備中。

“很多用戶也許壓根就不知道他們家里或辦公室的設備存在漏洞，”啰嗦的研究員說：“我們面臨的另一個問題是，即使用戶注意到他們用的是有漏洞的設備，這些設備的供應商卻沒有提供補丁，原因是技術落后，或者完全就是硬件的限制：內存不足，或 CPU 太慢，不足以支持這些軟件的新版本。”

“為了保護他們的設備免受蠕蟲感染，用戶需要確認這些設備是否運行在最新的固件版本上，必要的話，升級固件，設置高強度的管理員密碼，在防火墻那兒，或任何獨立的設備那兒，屏蔽任何對 -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi and -/cgi-bin/php4 的 HTTP POST 請求。”沒完沒了的賽門鐵克研究員說道。

via: http://www.computerworld.com/s/article/9244409/This_new_worm_targets_Linux_PCs_and_embedded_devices?taxonomyId=122