Новый вирус поразил сотни серверов
В ряду вредоносных программ появилась новая опасность. Под угрозой заражения оказались сотни серверов под управлением Apache. Опасность обнаружили эксперты антивирусной лаборатории ESET и компании Sucuri.
По словам специалистов, обнаруженная прогшрамма представляет собой многофункциональный бэкдор1, который перенаправляет пользователей с запрашиваемого сайта на набор эксплойтов Blackhole Exploit Kit, с последующей установкой вредоносного кода в систему. Решения ESET детектируют эту вредоносную программу как Linux/Cdorked.A. Обнаруженный вирус является наиболее сложным Apache-бэкдором из ныне известных.
Linux/Cdorked.A обладает широкими возможностями по маскировке в системе. В частности, этот бэкдор не создает на жестком диске вспомогательных файлов, а вместо этого использует специальный регион памяти, который доступен для чтения и записи работающим в системе процессам. Также он не оставляет следов своей деятельности в логе веб-сервера. Кроме того, Linux/Cdorked.A умеет распознавать запросы к страницам администрирования веб-сервера, чтобы не перенаправлять системного администратора на вредоносное содержимое.
Еще одной особенностью Linux/Cdorked.A является способность принимать от командного C&C сервера более двадцати различных команд, что говорит о его универсальности и возможном переориентировании на выполнение других задач.
На текущий момент с помощью ESET Live Grid были обнаружены сотни веб-серверов Apache, скомпрометированных данной вредоносной программой. Ее дальнейшее распространение способно нанести серьезный ущерб, поскольку под управлением одного скомпрометированного сервера могут находиться десятки и сотни различных сайтов, которые фактически оказываются распространителями вредоносного ПО.