Stealthy Web serverin haittaohjelmat leviävät edelleen

Tietyissä suosituimmissa Web-palvelimissa on piilevä haittaohjelma, ja tutkijat eivät vieläkään tiedä miksi.

Viime viikolla tietoturva-alan yritykset Eset ja Sucuri löysivät Apache-palvelimia Linux / Cdorked-tartunnan saaneilla. Jos kyseinen haittaohjelma on käynnissä Web-palvelimessa, uhrit ohjataan toiseen sivustoon, joka yrittää vaarantaa heidän tietokoneensa.

Eset sanoi tiistaina, että se on nyt löytänyt Linux / Cdorked-versioita, jotka on suunniteltu Lighttpd- ja Nginx-palvelimiin sekä laajasti

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Esetin Marc-Etienne M. Leveille kirjoitti, että yritys on löytänyt tähän mennessä 400 tartunnan saanutta Web-palvelinta, joista 50 on sijoittunut Alexa: n 100 000 verkkosivustosta.

"Emme vielä tiedä varmasti, miten tämä haittaohjelmisto asennettiin verkkopalvelimille", Leveille kirjoitti. "Yksi asia on selvä, tämä haittaohjelma ei levitä itsekseen eikä se hyödynnä tietyn ohjelmiston haavoittuvuutta."

Linux / Cdorked on ollut aktiivinen ainakin joulukuusta lähtien.

Ohjaus on tarkoitettu vain tietokoneille, jotka käyttävät Internet Explorer tai Firefoxia Microsoftin XP-, Vista- tai 7-käyttöjärjestelmissä, Leveille kirjoitti. Ihmiset, jotka käyttävät iPadia tai iPhonea, eivät ole kohdistuneet käyttökelpoiseen pakettiin vaan pornografisiin sivustoihin.

Verkkotunnusten mallia, jossa ihmisiä ohjataan, kertoo, että hyökkääjät ovat vaarantaneet myös jotkut DNS-palvelimen (Domain Name System) -palvelimet, Leveille kirjoitti.

Haittaohjelma ei myöskään palvele hyökkäystä, jos henkilö on tietyissä IP-alueissa tai jos "uhrin internetselaimen kieli on asetettu japaniksi, suomeksi, venäjäksi ja ukrainaksi, Kazakhiksi tai Valkovenäjäksi", Leveille kirjoitti.

"Uskomme, että haittaohjelmakampanjan takana olevat operaattorit tekevät merkittäviä ponnisteluja, jotta he voisivat toimia tutkan alla ja estää seurantatoimia mahdollisimman paljon", Leveille kirjoitti. "Niille ei havaittu olevan etusija kuin mahdollisimman monien uhrien infektointi."

Linux / Cdorked on salamyhkäinen, mutta ei ole mahdotonta havaita. Se jättää muokatun httpd-binaarin kiintolevylle, joka voidaan havaita.

Hyökkääjien Linux / Cdorkedille lähettämät komennot eivät ole kirjautuneet normaaleihin Apache-lokeihin, ja uudelleenohjaus - joka lähettää ihmisille haitalliselle verkkosivustolle - toimii vain muistissa eikä kiintolevyllä, Eset kirjoitti viime viikolla.