Специалисты компании Symantec обнаружили новую разновидность вируса, использующего для распространения уязвимость в компоненте php-cgi платформы PHP. Эта уязвимость (CVE-2012-1823) устранена в версиях PHP 5.4.3 и PHP 5.3.13, вышедшей еще в мае 2012 года.
Вирус получил обозначение Linux.Darlloz. Он основан на коде, опубликованном в сети в конце октября этого года. Вирус случайным образом генерирует IP-адреса и отправляет по ним запросы, эксплуатирующие уязвимость. В случае успеха вирус загружает себя на новую машину и продолжает поиск уязвимых систем. До сих пор заражались только компьютеры с процессорами x86-архитектуры, но cпециалисты Symantec видели варианты вируса для систем архитектуры ARM, PPC, MIPS и MIPSEL, использующихся, например, в домашних маршрутизаторах, IP-камерах, телевизионных приставках и другой электронике. По всей видимости, авторы вируса стремятся к максимально широкому его распространению. На устройствах со встроенной системой Linux и веб-сервером с PHP для управления программное обеспечение обновляется не так часто, как на персональных компьютерах, и многие из них остаются уязвимыми.