Rozszerzające się oprogramowanie Stealthy Web Server

Ukryte złośliwe oprogramowanie przejmuje niektóre z najpopularniejszych serwerów internetowych, a naukowcy wciąż nie wiedzą dlaczego.

W zeszłym tygodniu firmy zajmujące się bezpieczeństwem Eset i Sucuri znalazły serwery Apache zainfekowane Linuksem / Cdorked. Jeśli złośliwe oprogramowanie działa na serwerze sieciowym, ofiary są przekierowywane na inną stronę internetową, która próbuje zhakować swój komputer.

Eset powiedział we wtorek, że znalazł teraz wersje Linuksa / Cdorked zaprojektowane dla serwerów WWW Lighttpd i Nginx, zarówno szeroko używane w Internecie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Marc-Etienne M. Leveille z Eset napisał, że firma znalazła dotychczas 400 zainfekowanych serwerów sieciowych, z czego 50 jest w rankingu w internetowej firmie analitycznej 100-tysięcznej stronie internetowej firmy Alexa.

"Wciąż nie wiemy na pewno, w jaki sposób złośliwe oprogramowanie zostało wdrożone na serwerach internetowych" - napisała Leveille. "Jedno jest pewne, to złośliwe oprogramowanie nie rozprzestrzenia się samo i nie wykorzystuje luki w określonym oprogramowaniu."

Linux / Cdorked działa od co najmniej grudnia. Przekierowuje odwiedzających do innej skompromitowanej witryny zawierającej zestaw exploitów Blackhole, który jest złośliwym programem służącym do testowania komputerów pod kątem luk w oprogramowaniu.

Przekierowanie jest obsługiwane tylko na komputerach korzystających z przeglądarki Internet Explorer lub Firefox w systemach operacyjnych XP, Vista lub 7 firmy Microsoft, Leveille napisał. Osoby korzystające z iPada lub iPhone'a nie są kierowane do zestawu exploitów, ale zamiast tego korzystają z witryn pornograficznych.

Wzorzec nazw domen, do których ludzie są przekierowywani, sugeruje, że atakujący złamali również niektóre serwery DNS (Domain Name System), napisał Leveille.

Złośliwe oprogramowanie nie będzie również służyć atakowi, jeśli dana osoba znajduje się w pewnych zakresach adresów IP lub jeśli "język przeglądarki ofiary ustawiony jest na japoński, fiński, rosyjski i ukraiński, kazachski lub białoruski", napisał Leveille.

"Jesteśmy przekonani, że operatorzy odpowiedzialni za tę kampanię szkodliwego oprogramowania podejmują znaczne wysiłki, aby utrzymać swoją działalność pod radarem i w jak największym stopniu utrudnić monitorowanie" - napisał Leveille. "Dla nich niewykrywanie wydaje się być priorytetem, jeśli chodzi o infekowanie jak największej liczby ofiar."

Linux / Cdorked jest ukradkowy, ale nie jest niemożliwy do wykrycia. Pozostawia zmodyfikowany plik binarny httpd na dysku twardym, który można wykryć.

Ale polecenia wysyłane przez atakujących do Linux / Cdorked nie są rejestrowane w zwykłych dziennikach Apache, a przekierowanie - które wysyła ludzi do złośliwej strony internetowej. działa tylko w pamięci, a nie na dysku twardym, napisał Eset w zeszłym tygodniu.