Вредоносная программа Stealthy Web-сервера распространяется дальше

В некоторых популярных веб-серверах захватывает скрытую вредоносную программу, и исследователи все еще не знают почему. На прошлой неделе компании безопасности Eset и Sucuri обнаружили серверы Apache, зараженные Linux / Cdorked. Если это вредоносное ПО работает на веб-сервере, жертвы перенаправляются на другой веб-сайт, который пытается скомпрометировать свой компьютер.

Eset сообщила во вторник, что теперь он нашел версии Linux / Cdorked, разработанные для веб-серверов Lighttpd и Nginx, как широко используется в Интернете.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Марк Этьен М. Лейвей из Eset написал, что компания обнаружила 400 веб-серверов, зараженных до сих пор, из которых 50 ранжируются в веб-аналитической компании Alexa's 100 000 сайтов.

«Мы до сих пор не знаем точно, как это вредоносное ПО было развернуто на веб-серверах», - писал Левейл. «Ясно одно: это вредоносное ПО не распространяется само по себе и не использует уязвимость в конкретном программном обеспечении».

Linux / Cdorked работает с по крайней мере с декабря. Он перенаправляет посетителей на другой взломанный веб-сайт, на котором размещается комплект эксплойтов Blackhole, который представляет собой вредоносную программу, которая проверяет компьютеры на наличие уязвимостей программного обеспечения.

Переадресация доступна только для компьютеров с использованием Internet Explorer или Firefox в XP, Vista или 7 операционных системах Microsoft, - написал Левейл. Люди, использующие IPad или iPhone не направлены на эксплойт комплект, но вместо того, чтобы порнографические сайты.

Структура доменных имен, где люди переадресованы предполагает, что злоумышленники также скомпрометированы некоторый DNS (система доменных имен) сервера, Leveille написал.

Вредоносная программа также не будет обслуживать атаку, если человек находится в определенных диапазонах IP-адресов, или если «язык интернет-браузера жертвы установлен на японский, финский, русский и украинский, казахский или белорусский», - писал Левейл.

«Мы считаем, что операторы этой кампании вредоносных программ прилагают значительные усилия, чтобы сохранить свою работу под радаром и как можно больше препятствовать мониторингу», - писал Левейл. «Для них не обнаружение, по-видимому, является приоритетом перед заражением как можно большего числа жертв».

Linux / Cdorked скрыт, но обнаружить его невозможно. Он оставляет измененный файл httpd на жестком диске, который можно обнаружить.

Но команды, отправленные злоумышленниками в Linux / Cdorked, не регистрируются в обычных журналах Apache, а перенаправление, которое отправляет людей на вредоносный веб-сайт, работает только в памяти, а не на жестком диске, пишет Eset на прошлой неделе.