Новая вредоносная программа заразила сотни серверов

Компания ESET, ведущий международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, предупреждает о появлении новой вредоносной программы. Эксперты антивирусной лаборатории ESET совместно с коллегами из компании Sucuri обнаружили комплексную угрозу для широко распространенных веб-серверов под управлением Apache.

Данная угроза представляет собой многофункциональный бэкдор1, предназначенный для перенаправления пользователей с запрашиваемого сайта на набор эксплойтов Blackhole Exploit Kit, с последующей установкой вредоносного кода в систему. Решения ESET детектируют эту вредоносную программу как Linux/Cdorked.A. Стоит отметить, что она является наиболее сложным Apache-бэкдором из обнаруженных прежде.

Новая угроза обладает широкими возможностями по маскировке в системе. В частности, этот бэкдор не создает на жестком диске вспомогательных файлов, а вместо этого использует специальный регион памяти, который доступен для чтения и записи работающим в системе процессам. Также он не оставляет следов своей деятельности в логе веб-сервера. Кроме того, Linux/Cdorked.A умеет распознавать запросы к страницам администрирования веб-сервера, чтобы не перенаправлять системного администратора на вредоносное содержимое.

Ещё одной особенностью Linux/Cdorked.A является способность принимать от командного C&C сервера более двадцати различных команд, что говорит о его универсальности и возможном переориентировании на выполнение других задач.

На текущий момент с помощью фирменной технологии ESET Live Grid были обнаружены сотни веб-серверов Apache, скомпрометированных данной вредоносной программой. Ее дальнейшее распространение способно нанести серьезный ущерб, поскольку под управлением одного скомпрометированного сервера могут находиться десятки и сотни различных сайтов, которые фактически оказываются распространителями вредоносного ПО.

Стоит отметить, что все антивирусные продукты ESET успешно детектируют бинарные файлы Linux/Cdorked.A, а также генерируемые им ссылки на вредоносное содержимое. Более подробно о новом бэкдоре можно узнать в официальном блоге компании ESET.

www.esetnod32.ru