Malware i smidig webserver spredes yderligere

Et smygfuldt ondsindet softwareprogram tager fat i nogle af de mest populære webservere, og forskerne ved stadig ikke hvorfor.

I sidste uge fandt sikkerhedsselskaber Eset og Sucuri Apache-servere inficeret med Linux / Cdorked. Hvis den malware kører på en webserver, bliver ofre omdirigeret til et andet websted, der forsøger at kompromittere deres computer.

Eset sagde tirsdag, at den nu har fundet versioner af Linux / Cdorked konstrueret til Lighttpd og Nginx Web-serverne, både bredt

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Marc-Etienne M. Leveille fra Eset skrev, at virksomheden har fundet 400 webservere, der er inficeret hidtil, hvoraf 50 er rangeret i webanalyseselskabets Alexa 100.000 hjemmesider.

"Vi ved stadig ikke helt sikkert, hvordan denne ondsindede software blev implementeret på webserverne," skrev Leveille. "Én ting er klart, denne malware spredes ikke af sig selv, og det udnytter ikke en sårbarhed i en bestemt software."

Linux / Cdorked har været aktiv siden mindst december. Det omdirigerer besøgende til et andet kompromitteret websted, der tilbyder Blackhole-udnyttelsessættet, hvilket er et ondsindet program, der tester computere til software-sårbarheder.

Omdirigeringen serveres kun til computere ved hjælp af Internet Explorer eller Firefox på Microsofts XP, Vista eller 7 operativsystemer, Leveille skrev. Personer, der bruger en iPad eller iPhone, er ikke rettet mod udnyttelsessættet, men i stedet for pornografisider.

Mønsteret til domænenavne, hvor folk omdirigeres, antyder, at angriberne også har kompromitteret nogle DNS-servere (Domain Name System), skriver Leveille.

Malware vil heller ikke tjene til angrebet, hvis en person er i bestemte IP-områder, eller hvis "offerets internetbrowser er indstillet til japansk, finsk, russisk og ukrainsk, kasakhisk eller hviderussisk", skrev Leveille.

"Vi mener, at operatørerne bag denne malware-kampagne gør en betydelig indsats for at holde deres drift under radaren og forhindre overvågningsindsatsen så meget som muligt", skrev Leveille. "For dem, der ikke bliver opdaget, synes det at være en prioritet over at inficere så mange ofre som muligt."

Linux / Cdorked er snigende, men det er ikke umuligt at opdage. Det efterlader et modificeret httpd binært på harddisken, som kan detekteres.

Men kommandoer sendt af angriberne til Linux / Cdorked logges ikke i de normale Apache logs, og omdirigeringen - som sender folk til en ondsindet hjemmeside- kører kun i hukommelsen og ikke på harddisken, skrev Eset i sidste uge.