在世界各地，一个神秘的恶意软件已经感染了成千上万的设备，其操作者尚没有将它们用于任何恶意目的。

早在2014年11月，“Linux.wifatch，”首次被一个独立的研究人员在他观测其路由器时被发现。自2015年3月，赛门铁克和其它安全威胁监控公司一直在试图解决wifatch。

研究人员之所以称wifatch为“部分”恶意软件因为它实际上并没有做任何恶意行为。相反，它似乎是专家们称之为“物联网（IOT）安全管理”者——保护路由器和其他物联网设备。

wifatch扫描网络设备，使用弱口令感染Telnet。一旦装置感染了该恶意代码，其可以通过使用一个专用的椭圆曲线数字签名算法，签署命令的操作员控制（ECDSA）key。

该恶意软件使用Perl开发，样本有自己的Perl解释器，受感染的设备连接到一个对等（P2P）网络，用于分发更新。 wifatch设置的后门通常支持受感染的设备被用于范围广泛的活动，从分布式拒绝服务（DDoS）攻击到DNS中毒。然而，该恶意软件背后的操作者却基于它签名的恶意代码种族信息来扫描装置，并禁用telnet。

以大华DVR监控系统为例，一个特殊的模块允许wifatch装置每个星期重新启动。自启动装置通常移除其上运行的恶意软件，这可能是一个试图保护这类型系统的行为，以避免恶意软件自清理或禁用Telnet机制不能运行。

赛门铁克已经确定感染wifatch设备数以万计，其中大部分是路由器和IP摄像机。大约三分之一的感染在中国被发现，其次是巴西（16%），墨西哥（9%），印度（9%），越南（7%），意大利（7%），火鸡（7%），韩国（5%）和美国（5%）。大多数受感染的设备是基于ARM（83%），其次是MIPS（10%）和SH4（7%）。

对wifatch作者还采取措施确保网络不能被别人利用。虽然它依赖于P2P的架构，没有指挥和控制（C＆C）服务器，但所有的命令都是一个私人的ECDSA密钥签名，未经授权的用户发送的命令是很困难的。

在布拉格SecurityWeek的病毒公告会议上，赛门铁克的研究人员Mario Ballano接受采访时，说wifatch的作者似乎是密码学领域的专家，他已采取必要措施防止被接管。wifatch作者不容易被追溯，因为他使用Tor匿名网络发送命令。

wifatch僵尸网络是一个相当复杂的威胁，不同于其他恶意软件，wifatch的代码没有被混淆或加密（也就是压缩），它包含了大量的调试信息。

更为有趣的是其注释包含了一个被免费软件支持者 Richard Stallman所用的邮件签名。

致阅读该邮件的NSA及FBI特工：

请你们仔细考虑是否遵循美国宪法来保护人民不受所有敌人（包含国内和国外）的侵犯，在此之前，也请参考下斯诺登的例子。