Stealthy Web-Server-Malware verbreitet sich weiter

Auf einigen der beliebtesten Web-Server hat sich ein bösartiges Softwareprogramm durchgesetzt, und die Forscher wissen immer noch nicht, warum.

Letzte Woche haben die Sicherheitsunternehmen Eset und Sucuri Apache-Server mit Linux / Cdorked infiziert. Wenn diese Malware auf einem Webserver ausgeführt wird, werden die Opfer auf eine andere Website umgeleitet, die versucht, ihren Computer zu kompromittieren.

Eset sagte am Dienstag, dass es nun Versionen von Linux / Cdorked für die Lighttpd und Nginx Webserver gefunden hat im Internet verwendet.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Marc-Etienne M. Leveille von Eset schrieb, dass das Unternehmen bisher 400 infizierte Web-Server gefunden hat, von denen 50 eingestuft sind In den Web Analytics-Unternehmen Alexa Top 100.000 Websites.

"Wir wissen immer noch nicht sicher, wie diese bösartige Software auf den Webservern bereitgestellt wurde", schrieb Leveille. "Eines ist klar, diese Malware propagiert nicht von selbst und nutzt keine Schwachstelle in einer bestimmten Software aus."

Linux / Cdorked ist seit mindestens Dezember aktiv. Es leitet Besucher auf eine andere kompromittierte Website um, auf der das Blackhole Exploit Kit installiert ist, ein bösartiges Programm, das Computer auf Software-Schwachstellen testet.

Die Weiterleitung wird nur Computern mit Internet Explorer oder Firefox auf den Betriebssystemen XP, Vista oder 7 von Microsoft bereitgestellt. Leveille schrieb. Leute, die ein iPad oder iPhone benutzen, sind nicht an das Exploit-Kit, sondern an pornografische Seiten.

Das Muster der Domain-Namen, an die Leute weitergeleitet werden, legt nahe, dass die Angreifer auch einige DNS (Domain Name System) -Server kompromittiert haben, schrieb Leveille.

Die Malware wird den Angriff auch nicht ausführen, wenn sich eine Person in bestimmten IP-Bereichen befindet oder wenn "die Sprache des Internetbrowsers des Opfers auf Japanisch, Finnisch, Russisch und Ukrainisch, Kasachisch oder Weißrussisch eingestellt ist", schrieb Leveille.

"Wir glauben, dass die Betreiber hinter dieser Malware-Kampagne erhebliche Anstrengungen unternehmen, um ihren Betrieb unter Kontrolle zu halten und die Überwachung so weit wie möglich zu behindern", schrieb Leveille. "Für sie scheint es nicht vorrangig zu sein, so viele Opfer wie möglich zu infizieren."

Linux / Cdorked ist heimlich, aber nicht unmöglich zu erkennen. Es hinterlässt eine modifizierte httpd-Binärdatei auf der Festplatte, die erkannt werden kann.

Befehle, die von den Angreifern an Linux / Cdorked gesendet werden, werden jedoch nicht in den normalen Apache-Protokollen protokolliert, und die Weiterleitung - die Leute an eine bösartige Website sendet - läuft nur im Speicher und nicht auf der Festplatte, schrieb Eset letzte Woche.