Skadelig webservernes malware sprer seg videre

Et lunfullt ondsinnet program tar tak i noen av de mest populære webserverne, og forskerne vet fortsatt ikke hvorfor.

I forrige uke fant sikkerhetsselskaper Eset og Sucuri Apache-servere infisert med Linux / Cdorked. Hvis den skadelige programvaren kjører på en webserver, blir ofre omdirigert til et annet nettsted som forsøker å kompromittere datamaskinen sin.

Eset sa tirsdag at den nå har funnet versjoner av Linux / Cdorked utviklet for Lighttpd og Nginx Web-serverne, både bredt

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Marc-Etienne M. Leveille fra Eset skrev at selskapet har funnet 400 webservere infisert hittil, hvorav 50 er rangert i webanalyseselskapets Alexa 100.000 nettsteder.

"Vi vet fortsatt ikke sikkert hvordan denne skadelige programvaren ble distribuert på webserverne," skrev Leveille. "En ting er klart, dette malware sprer seg ikke av seg selv, og det utnytter ikke et sikkerhetsproblem i en bestemt programvare."

Linux / Cdorked har vært aktiv siden minst desember. Det omdirigerer besøkende til et annet kompromittert nettsted som tilbyr Blackhole-utnyttelsessettet, som er et ondsinnet program som tester datamaskiner for programvaresårbarheter.

Omadresseringen serveres kun på datamaskiner som bruker Internet Explorer eller Firefox på Microsofts XP, Vista eller 7 operativsystemer, Leveille skrev. Personer som bruker en iPad eller iPhone, er ikke rettet til brukssettet, men i stedet for pornografisider.

Mønsteret til domenenavnene der folk blir omdirigert, antyder at angriperne også har kompromittert noen DNS-servere (Domain Name System), skrev Leveille.

Skadelig programvare vil heller ikke betjene angrepet hvis en person befinner seg i bestemte IP-områder, eller hvis "offerets nettleser er satt til japansk, finsk, russisk og ukrainsk, kasakhisk eller hviterussisk", skrev Leveille.

"Vi tror operatørene bak denne malware-kampanjen gjør en betydelig innsats for å holde operasjonen under radaren og hindre overvåkingsarbeidet så mye som mulig," skrev Leveille. "For dem som ikke blir oppdaget, synes det å være en prioritet over å smitte så mange ofre som mulig."

Linux / Cdorked er lunken, men det er ikke umulig å oppdage. Den overfører en modifisert httpd binær på harddisken, som kan oppdages.

Men kommandoer sendt av angriperne til Linux / Cdorked er ikke logget inn i de vanlige Apache-loggene, og viderekoblingen - som sender folk til en ondsinnet nettside- kjører bare i minnet og ikke på harddisken, skrev Eset forrige uke.