Um novo worm para Linux foi descoberto nesta semana pela empresa de segurança Symantec. A ameaça pode apresentar variantes para diferentes microarquiteturas de processadores, e tem como alvo roteadores, set-top boxes, câmeras de segurança IP e outros aparelhos que possam ser baseados no sistema operacional.

Ainda não foram registrados ataques do Linux.Darlloz – como foi batizado o worm – a esses dispositivos, mas a Symantec afirma que o malware tira proveito de uma vulnerabilidade PHP para se propagar. Ela foi corrigida em maio de 2012, e por isso a ameaça não deve afetar dispositivos devidamente atualizados.

Como explica Kaoru Hayashi, especialista que divulgou a descoberta do worm, “assim que é executada, a ameaça gera endereços IP aleatoriamente, acessa um caminho específico na máquina com IDs e senhas conhecidos e envia solicitações POST de HTTP, que exploram a brecha”. Dessa forma, caso o alvo esteja desprotegido, a ameaça “se instala” e repete o processo, infectando outros.

A grande preocupação do especialista está na falta de informação. Muitos dispositivos são baseados em Linux, mas não aparentam. Assim, os usuários “comuns” podem nem saber o que está acontecendo. Outro problema é que não são todas as empresas que disponibilizam atualizações de SO para seus equipamentos – que acabam nem aguentando novas versões de Linux –, o que dificulta a vida mesmo dos mais preocupados com a segurança.

Para ajudar os usuários a se prevenir, a Symantec recomenda que todos os aparelhos conectados à rede sejam verificados e, se possível, devidamente atualizados. É importante também mantê-los protegidos com senhas fortes e bloquear as solicitações POST – elas pedem que um servidor online aceite os dados, como o Darlloz, “anexados” em uma mensagem. E em último caso, se os aparelhos não forem atualizáveis, é válido até mesmo trocá-los por novos.