Изследователите на лидера в проактивната сигурност ESET и компанията за информационна сигурност Sucuri разкриха нова модификация на заплаха, засягаща най-популярната платформа за уеб сървъри в света - Apache. Кръстеният Linux/Cdorked.A бекдор* позволява на атакуващите да пренасочват потребители към потенциално опасни сайтове. Вирусът е най-софистицираната атака срещу Apache, разкривана до сега.Благодарение на мрежата за онлайн следене на вируси ESET LiveGrid, изследователите на ESET до момента са разкрили стотици заразени с вируса сървъри. "Вирусът Linux/Cdorked.A не остава следи на харддиска освен модифицирания "httpd" файл - услугата, използвана от Apache. Цялата информация, свързана с вируса, се съхранява на споделена памет на сървъра, което превръща заплахата в доста трудна за откриване и анализиране," коментира Пиер-Марк Бюро, мениджър на програмата ESET Security Intelligence.В кода на Linux/Cdorked.A са заложени и още няколко стъпки за затрудняване на засичането на вируса както от заразения сървър, така и от браузърите на посетителите, които посещават намиращи се на него сайтове. "Конфигурацията на вируса се изпраща от атакуващия посредством HTTP заявки, които са не просто скрити - те дори не се записват от Apache, което намалява шанса за засичането на заплахата от обикновените средства за следене на трафика. Конфигурацията се пази в паметта на сървъра, което я превръща в невидима. А това означава и по-труден анализ на заплахата," обяснява Ригард Цвайненберг, главен анализатор в ESET. Използваният кит Blackhole е доста популярен сред създаделите на различни вируси и позволява установяването на контрол върху системата на неподозиращи потребители, които посетят сайтове, заразени с Blackhole. Когато потребител посети компрометиран сървър, той не просто е пренасочен към непознат сайт. На компютъра на неподозиращата жертва се запазва т.нар. бисквитка - малък текстови файл, показващ историята на сърфирането на потребителя. Благодарение на нея вирусът може да продължи да пренасочва потребителя и в последствие, а не само при попадане на заразения сървър. Бисквитката обаче пренасочва селективно на база въведен адрес. Така например, ако потребителят въведе уеб адрес, съдържащ думите admin или cpanel, браузърът му не е пренасочван. Призоваваме системните администратори да проверят сървърите, които поддържат, за потенциални зарази. За целта, ESET публикува безплатен инструмент за засичане на вируса, както и детайлни инструкции за отстраняването на адрес eset.com/bg/blog заедно с пълен анализ на Linux/Cdorked.A.
*Бекдор - вирус, който позволява на атакуващия да придобие администраторски права върху заразената машина