Deja incepe sa para ca backdoor-ul Linux/Cdorked.A ar putea fi o problema mult mai grava decat s-a crezut initial, pentru proprietarii de servere web.
Linux/Cdorked.A este un backdoor Apache avansat si silentios, care poate redirectiona traficul web de pe site-uri legitime compromise catre site-uri malware care gazduiesc kit-uri de exploit Blackhole.
De asemenea, expertii in securitate de la ESET au descoperit ca backdoor-ul infecteaza si site-urile care ruleaza pe servere web nginx si Lighttpd.
In timp ce Apache este cel mai renumit si mai utilizat server web din industria de hosting, nginx detine si el 15% din cota de piata, iar ESET a descoperit 400 de servere web infectate cu backdoor-ul Linux/Cdorked.A, 50 dintre ele propulsand unele dintre cele mai populare si vizitate site-uri de la nivel global.
Utilizatorii care folosesc Internet Explorer sau Firefox pe Windows XP, Vista sau 7 sunt singurii care vor fi redirectionati catre site-uri ce gazduiesc Blackhole, pe cand utilizatorii Apple iOS sunt de asemenea in pericol, doar ca acestia vor fi redirectionati catre site-uri cu continut explicit, care ar putea de asemenea sa gazduiasca malware.
Un purtator de cuvant al ESET a spus despre Linux/Cdorked.A ca este mai silentios decat s-a crezut initial. De exemplu, acesta nu va infecta un sistem cu malware daca adresa IP a victimei se afla intr-o lista neagra foarte lunga de IP-uri. De asemenea, daca limba pe care este setat browserul victimei este japoneza, finlandeza, rusa, ucraineana sau araba, atunci malware-ul nu va rula.
Scopul este de a mentine activitatea malware-ului cat mai ascunsa posibil si de a ingreuna eforturile de monitorizare.
Cdorked utilizeaza servere DNS compromise pentru a rezolva adresele IP ale site-urilor redirectionate, ceea ce face ca sursa de infectie sa fie greu de gasit.
In momentul de fata, Blackhole exploit infecteaza victimele cu o varianta a troianului Glupteba, care are rolul de a face clickjacking.
Dar exista o multime de lucruri despre acest backdoor pe care cercetatorii inca nu le stiu. Nu este clar modul in care acesta a fost instalat pe serverele web, deoarece malware-ul nu se propaga de la sine si nu exploateaza vulnerabilitati de software.
Pentru a ajuta administratorii de sistem sa detecteze existenta backdoor-ului pe serverele web, ESET a creat un script capabil sa detecteze un binar httpd modificat de pe hard disk, care este un semn clar de infectie.