11:11 01.05.2013 |   2138



Специалисты по безопасности компаний ESET и Sucuri обнаружили вредоносную программу для создания «черного входа» в веб-сервере Apache, настолько хорошо маскирующуюся, что она почти не оставляет следов своей деятельности на жестком диске и в журналах операций.

«Бэкдору» дали наименование Linux/Cdorked.A. В отличие от большинства подобных программ, вирус не записывает никаких файлов на жесткий диск и хранит свою конфигурацию в основной памяти, деля ее с другими процессами. А передаются конфигурационные сведения по протоколу HTTP с запутыванием кода, так что в протоколах деятельность Cdorked заметить невозможно.

Как выяснили в ESET, атакующий может управлять поведением вируса на сервере двумя путями — через обратную оболочку или с помощью команд, передаваемых через HTTP-запросы. Основное назначение вируса — обеспечивать переадресацию на вредоносные сайты с самым распространенным сейчас пакетом эксплойтов Blackhole Exploit Kit. По оценкам инженеров ESET, бэкдором заражены несколько сотен серверов, то есть переадресацию могут выполнять тысячи совместно размещенных на них веб-сайтов. Распознавание Cdorked возможно путем проверки целостности Apache или исследования дампа памяти.


Теги: Информационная безопасность