Mirai-viruset, som låg bakom en omfattande överbelastningsattack tidigare i höst, har hittat nya offer. Ni kommer kanske ihåg ddos-attacken mot dns-leverantören Dyn, som slog ut Twitter, Paypal och en lång rad andra tjänster. Då var det webbkameror med dåligt säkerhetsskydd. Nu riktar det in sig på routrar tillhörande Europas största telekombolag, Deutsche Telekom.

Viruset har senaste dagarna orsakat problem med internetuppkoppling för närmare en miljon av bolagets kunder. I centrum för problemen står potentiellt infekterade routrar. För denna gång tycks kriminella hackare riktat in sig på sårbarheter i just routrar, och då särskilt av märket Zyxel, säger Johannes Ullrich, säkerhetsexpert från Sans Technology Institute till IDG News.

Läs också: Varningen: räkna med att julfriden störs av överbelastningsattacker

Från början var viruset designat för att infektera produkter med svaga och osäkra lösenord. Mirai sökte igenom internet i jakt på kort sagt kassa prylar och testade därefter dem mot en lista på omkring 60 lösenord. Hittills har över 500 000 uppkopplade enheter infekterats. Men den uppdaterade versionen riktar istället in sig på ett fel i soap, ett protokoll som gör det möjligt för olika program att kommunicera via webben. Och som finns inbäddad i produkterna, vilket enligt Johannes Ullrich gör att viruset kan ta över enheten.

Hur många enheter som kan ha drabbats av viruset är fortfarande oklart. De första rapporterna om avbrott och störningar kom in under eftermiddagen i söndags säger bolaget. 900 000 av deras 20 miljoner kunder ska i varierad utsträckning haft problem att koppla upp sig mot internet.

”Attacken som försökte infektera routrarna med virus, men misslyckades, gjorde att fyra till fem procent av routrarna kraschade eller begränsades”, skriver Deutsche Telekom i ett uttalande.

Johannes Ullrich som har studerat viruset närmare håller dock inte med om att hackarna misslyckades. Resultaten från hans efterforskning visar att den nya stammen av viruset mycket väl kan ha fångat in åtminstone en mindre andel av routrarna i sitt nät. För att spåra spridningen har han tagit fram en webserver som ska locka till sig viruset, lite som en honungsburk för bin. I går morse hade 100 000 unika ip-adresser försökt infektera hans fälla.

”När Mirai har infekterat ett system, drar den vidare i jakt på nya offer”, säger han.

Läs också: Botnätverket som störde internet härom veckan har nu slagit ut ett helt land

Slutmålet för hackare som använder sig av viruset är att skapa ett nätverk av infekterade enheter, oavsett om det är kameror eller routrar. Ett infekterat botnätverk av förslavade datorer kan sedan användas i ddos-attacker och pressa företag och organisationer på pengar.

Än så länge har det inte funnits några tecken på att den nya versionen av Miraiviruset ska ha använts i några överbelastningsattacker. Deutsche Telekom har publicerat instuktioner för hur kunder ska göra för att bli av med viruset, som en säkerhetsåtgärd. Zyxel har än så länge inte kommenterat angreppet.