这个名为Hajime的IoT“恶意”软件没有任何恶意行为，反而在做安全软件的事情。

某计算机蠕虫背后的神秘开发者，似乎在义务帮助保护IoT设备不受恶意软件的侵害。该蠕虫名为Hajime，已感染了上万台容易被黑的产品，比如DVR、互联网摄像头和路由器。然而，该蠕虫程序至今没有任何恶意行为出现。

相反，该蠕虫一直在阻止臭名昭著的恶意软件Mirai感染这些设备。Hajime的开发者还附带了一条消息：

我只是个保护系统的白帽子。保持警惕！

安全公司赛门铁克在4月17号发布了此事的新进展，称该所谓的“白帽子”道德黑客所做的工作，似乎起到了一些效果。

Mirai是一款快速传播的恶意软件，曾经奴役过数十万台脆弱IoT设备，造成美国西海岸大面积断网。Hajime便是在IoT设备上与Mirai竞争。

Mirai的意图是感染计算机，创建用来做坏事的僵尸网络。去年10月，美国互联网便遭到了Mirai僵尸网络发起的大规模DDoS攻击，造成了网络中断。

Mirai的兴起引发了关于安全行业该如何遏制它的讨论。只要IoT设备依然容易被黑，该恶意软件就会继续扩散，继续对人们的生产生活造成干扰。

于是，Hajime登场了，在去年10月的时候。该蠕虫与Mirai竞争，抢着感染Mirai的目标设备。一旦感染成功，Hajime将封锁该IoT设备上特定端口，防止其他恶意软件利用这些端口。

被Hajime感染的设备，不会表现出任何中断。Hajime使用的协议也不会降级网络性能。专家已经开始怀疑，Hajime可能出自于想要阻止Mirai的白帽子黑客之手。

感染Hajime数量最多的前十国家和地区

无论如何，赛门铁克发现了一些可能的证据。该公司注意到，Hajime蠕虫至少从3月起，便在被感染设备上留下消息了。其数字签名和获取方式表明，该消息无疑出自Hajime开发者之手。

简短的消息没有透露出有关Hajime开发者身份的任何信息。但该白帽黑客注意到了安全社区对Hajime蠕虫的研究。

线索之一：神秘开发者在留下的消息中自称“Hajime作者”。但是，Hajime这个名字，其实是 Rapidity Networks 的安全研究员取的，出自日语“始め”，意思是“开始，起始”。

另外，这位神秘开发者一直在对研究人员之前报道的Hajime蠕虫打补丁。

安全研究人员无意中协助了恶意软件作者，这个想法令人担忧。

于是，关于Hajime，我们需要担心什么呢？

一方面，希望Hajime可以遏制Mirai。但之后，Hajime的作者又会做些什么呢？

幸运的是，Hajime的当前形态并未包含恶意功能。但也不排除其开发者某天心血来潮修改蠕虫，发起DDoS攻击或者其他形式网络犯罪的可能。

Hajime具有让自身难以被清除的一个特性：不从自有单一服务器上获取指令，而是通过点对点网络通信。这就让被Hajime感染的全部设备，都可以被利用来传递文件或指令。

“如果Hajime变坏了，会比Mirai更难对付。”

赛门铁克对Hajime规模的估计不是很夸张，在数万台被感染设备上下。该公司发现Hajime蠕虫扩散到了巴西、伊朗、泰国、俄罗斯等国家。

相关阅读

2名黑客兜售40万台Mirai僵尸网络设备
追踪溯源 Mirai僵尸网络真凶竟然是抗D公司？