شرکت امنیتی سیمانتک که از فعال‌ترین کمپانی‌های امنیتی دنیاست خبر از کشف کرمی به نام Linux.Darlloz داده بود که از یک رخنه امنیتی در php-cgi (کامپوننتی که به PHP اجازه اجرا بر روی پیکربندی CGI را می‌دهد) بهره برده سعی در خرابکاری در سیستم می‌کند. این بدافزار در حقیقت سال گذشته کشف شده بود و پچ امنیتی آن نیز در PHP 5.4.3 و PHP 5.3.13 ارائه شده است؛ پس اگر از یک توزیع به‌روز گنو/لینوکس استفاده می‌کنید تقریبا جایی برای نگرانی وجود ندارد. اما چند روز پیش سیمانتک خبر از احتمال آلوده شدن دستگاه‌های غیر از x86 داد. این ضعف در حقیقت مربوط به PHP بوده و ارتباطی به هسته یا ابزارهای گنو/لینوکس ندارد. اما در مورد دستگاه‌های تعبیه شده نظیر روترها، ست‌تاپ‌باکس‌ها و… این به‌روز رسانی ساده نخواهد بود.

و اما این بدافزار چگونه عمل می‌کند؟

این کرم سعی می‌کند با استفاده از یوزنیم و پسوردهای ضعیف شناخته شده (بله! برخلاف ویندوز، بدافزار بدون اجازه دسترسی در لینوکس بی‌خطر است) نظیر root/root، admin/admin و… دسترسی لازم برای ایجاد یک IP تصادفی و ساختن یک دایرکتوری خاص و در نهایت گسترش آسیب‌پذیری از طریق ارسال درخواست POST از طریق HTTP را بدست آورد. پس همیشه یک رمز عبور قوی و مناسب داشته باشید. بدافزار تلاش می‌کند منابع سیستم را در اختیار گرفته و مانع عملکرد صحیح آن شود. 

بطور مشخص‌تر، Linux.Darlloz خود را در قالب فایل tmp/x86/  ایجاد کرده و دایرکتوری /var/run/.zollard/ را می‌سازد.

تا به حال تنها حمله به دستگاه‌های x86 گزارش شده است ولی سیمانتک ادعا می‌کند که این کرم احتمالا می‌تواند به دستگاه‌های ARM, PPC, MIPS و MIPSEL نیز حمله کند که معمولا در روترها و دیگر دستگاه‌های تعبیه شده مورد استفاده قرار می‌گیرند.

برای اطمینان از امنیت دستگاه خود مطمئن شوید که سیستم شما آپدیت باشد و آخرین نسخه Firmware موجود برای دستگاه‌های تعبیه شده خود را دانلود و نصب کنید. رمز مناسب و قوی برای کاربر ادمین خود انتخاب کنید و درخواست http post را به دایرکتوری‌های زیر مسدود کنید.

• cgi-bin/php/-
• cgi-bin/php5/-
• cgi-bin/php-cgi/-
• cgi-bin/php.cgi and/-
• cgi-bin/php4/-