一些隐藏的恶意软件程序在一些最流行的Web服务器中占据了一席之地,研究人员仍然不知道为什么。上周,安全公司Eset和Sucuri发现Apache服务器感染了Linux / Cdorked。如果该恶意软件正在Web服务器上运行,受害者将被重定向到另一个试图破坏他们计算机的网站。
Eset周二表示,现在已经发现为Lighttpd和Nginx Web服务器设计的Linux / Cdorked版本,
[进一步阅读:如何从您的Windows PC中移除恶意软件]
Eset的Marc-Etienne M. Leveille写道,该公司已发现迄今为止感染的400个Web服务器,其中50个被排名在网络分析公司Alexa的前10万个网站中。
“我们仍然不确定这个恶意软件是如何部署在网络服务器上的,”Leveille写道。 “有一点很清楚,这种恶意软件不会自行传播,也不会利用特定软件中的漏洞。” 至少在12月份以来,Linux / Cdorked一直处于活动状态。它将访问者重定向到托管Blackhole漏洞利用工具包的另一个受到威胁的网站,该网站是一种恶意程序,可以测试计算机是否存在软件漏洞。重定向仅适用于在Microsoft的XP,Vista或7操作系统上使用Internet Explorer或Firefox的计算机, Leveille写道。 Leveille写道,使用iPad或iPhone的用户并不是直接进入漏洞利用工具包,而是直接进入色情网站。
人们重定向的域名模式表明攻击者还侵入了一些DNS(域名系统)服务器。
如果某人处于某个IP范围内,或者“受害者的互联网浏览器的语言设置为日语,芬兰语,俄语和乌克兰语,哈萨克语或白俄罗斯语,”恶意软件也不会起作用,“Leveille写道,”
“我们相信这个恶意软件运营背后的运营商正在做出重大努力,以保持其运营的雷达,并尽可能地阻碍监控工作,”Leveille写道。 “对于他们来说,未被发现似乎是优先于尽可能多地感染受害者的优先事项。”
Linux / Cdorked是隐身的,但并非不可能发现。它会在硬盘上留下一个修改后的httpd二进制文件,这些文件可以被检测到。但是,攻击者发送给Linux / Cdorked的命令不会记录在普通的Apache日志中,而且重定向(将人员发送到恶意网站) Eset上周写道:“只能在内存中运行,而不能在硬盘上运行。”