Компания Symantec предупреждает о появлении новой вредоносной программы, способной поражать х86-совместимые компьютеры под управлением Linux и, возможно, различные интернет-устройства вроде маршрутизаторов и телевизионных приставок.

Сообщается, что червь Linux.Darlloz использует уязвимость в php-cgi — компоненте, позволяющем использовать РНР в конфигурации Common Gateway Interface (CGI). Данная брешь была устранена в PHP 5.4.3 и PHP 5.3.13 ещё в мае 2012 года.

Во время исполнения вредоносная программа генерирует произвольный IP-адрес и пытается получить доступ к определённому пути на атакуемой машине. Если это удаётся, выполняется запрос HTTP POST, эксплуатирующий уязвимость. Если машина содержит брешь, на неё загружается вредоносный код, и процесс повторяется.

Пока единственным распространяющимся вариантом Linux.Darlloz является версия для систем с архитектурой х86. Однако исследователи Symantec утверждают, что уже существуют варианты под платформы ARM, PPC, MIPS и MIPSEL, которые используются в таких устройствах, как роутеры, IP-камеры, ТВ-приставки и пр.