Stealthy Long Demo covering most cameras
A legelterjedtebb webkiszolgálók egy titkos rosszindulatú programot tartanak, és a kutatók még mindig nem tudják, miért.
A múlt héten a biztonsági cégek, Eset és Sucuri Linuxos / Cdorked fertőzött Apache szervereket talált. Ha ez a rosszindulatú program egy webkiszolgálón fut, az áldozatokat átirányítják egy másik weboldalra, amely megpróbálja veszélyeztetni a számítógépet.
Eset kedden azt mondta, hogy a Linux / Cdorked verzióit a Lighttpd és a Nginx webszerverekhez fejlesztették,
[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]Marc Eetenne M. Leveille, Eset írta, hogy a vállalat eddig 400 fertőzött webszervert talált, a webes elemző cég Alexa első 100 000 webhelyén.
"Még mindig nem tudjuk biztosan, hogy ez a rosszindulatú szoftver telepítve volt-e a webszervereken" - írta Leveille. "Egy dolog világos, hogy ez a rosszindulatú program nem önmagában propagál, és nem használ ki egy adott szoftver sérülékenységét."
A Linux / Cdorked legalább december óta aktív. Átirányítja a látogatókat egy másik veszélyeztetett webhelyre, amely a Blackhole kirobbanó készletet tárolja. Ez egy rosszindulatú program, amely a számítógépeket a szoftveres biztonsági résekkel szemben teszteli.
Az átirányítást csak az Internet Explorer vagy a Firefox Microsoft operációs rendszerén futó számítógépek szolgálják, Írta Leveille. Az iPad vagy az iPhone-t használók nem a kizsákmányoló készletre irányítják, hanem pornográf oldalakra.
Az átirányított tartománynevek mintázata azt sugallja, hogy a támadók bizonyos DNS (Domain Name System) kiszolgálókat is veszélybe sodortak, írta Leveille.
A rosszindulatú program nem fogja kiszolgálni a támadást, ha egy személy bizonyos IP-tartományokban van, vagy ha "az áldozat internetböngésző nyelve japán, finn, orosz és ukrán, kazah vagy belorusz", írta Leveille.
"Hisszük, hogy a malware kampány mögött álló operátorok jelentős erőfeszítéseket tesznek annak érdekében, hogy működésüket a radar alatt tartsák, és a lehető legnagyobb mértékben akadályozzák a megfigyelési erőfeszítéseket" - írta Leveille. "Számukra nem feltétlenül tűnik elsőbbséget a lehető legtöbb áldozathoz képest."
Linux / Cdorked titokzatos, de nem lehet észlelni. A merevlemezen található módosított httpd bináris fájlokat hagyja el, amelyek észlelhetők.
De a támadók Linux / Cdorked által küldött parancsok nem jelentkeznek be a normál Apache naplóba, és az átirányítás - amely az embereket rosszindulatú weboldalra küldi - csak a memóriában, és nem a merevlemezen fut, Eset írta a múlt héten.
Stealthy Rootkit diák tovább a radar alatt
Az ismert Master Boot Record rootkit olyan frissítést kap, amely megnehezíti a
"A rosszindulatú programok készítői egyre kifinomultabbá válnak, és a kockázatot jelentik a számítógépre és értékes személyes adataink növekednek "- mondja Alvin Estevez, az Enigma Software Group vezérigazgatója. "Fontosnak tartjuk szemmel tartani, hogy a rosszindulatú programok mennyi kárt okoznak, és a Malware Tracker térképünk segít nekünk és a fogyasztóknak tudni, mi történik."
[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]
Grafikus: Diego AguirreA Texas A & M University kutatói több tucat Twitter fiókot használnak, akik "honeypotokat" vagy hamis számlákat, amelyek feltételezik, hogy elkábítják a spammereket, akik szívesen terjednek a rosszindulatú programok vagy a phish információkért, a közösségi hálózatokba. Munkájukat részben támogatja egy valószínűtlen forrás - a Twitter egyik online versenytársa, a Google. A Technology Review:
A