Malware server web tersembunyi menyebar lebih lanjut

Program perangkat lunak berbahaya yang tersembunyi memegang kendali di beberapa server Web yang paling populer, dan para peneliti masih tidak tahu mengapa.

Minggu lalu, perusahaan keamanan Eset dan Sucuri menemukan server Apache yang terinfeksi Linux / Cdb. Jika malware itu berjalan di server Web, korban diarahkan ke situs web lain yang mencoba berkompromi dengan komputer mereka.

Eset mengatakan pada hari Selasa, sekarang telah menemukan versi Linux / Cdorked yang direkayasa untuk server Web Lighttpd dan Nginx, keduanya secara luas digunakan di Internet.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Marc-Etienne M. Leveille dari Eset menulis bahwa perusahaan tersebut telah menemukan 400 server Web yang terinfeksi sejauh ini, 50 di antaranya telah diurutkan. di perusahaan analisis Web Alexa atas 100.000 situs web.

"Kami masih tidak tahu pasti bagaimana perangkat lunak berbahaya ini ditempatkan di server web," tulis Leveille. "Satu hal yang jelas, malware ini tidak menyebar dengan sendirinya dan tidak mengeksploitasi kerentanan dalam perangkat lunak tertentu."

Linux / Cdorked telah aktif setidaknya sejak Desember. Ini mengarahkan pengunjung ke situs web lain yang dikompromikan yang menghosting alat eksploitasi Blackhole, yang merupakan program jahat yang menguji komputer untuk kerentanan perangkat lunak.

Pengalihan hanya disajikan untuk komputer yang menggunakan Internet Explorer atau Firefox pada sistem operasi XP, Vista, atau 7 Microsoft, Leveille menulis. Orang yang menggunakan iPad atau iPhone tidak diarahkan ke perangkat eksploit tetapi ke situs pornografi.

Pola nama domain tempat orang diarahkan menunjukkan bahwa penyerang juga telah mengganggu beberapa server DNS (Domain Name System), tulis Leveille.

Perangkat lunak perusak juga tidak akan melayani serangan jika seseorang berada dalam rentang IP tertentu atau jika "bahasa browser internet korban disetel ke Jepang, Finlandia, Rusia, dan Ukraina, Kazakh, atau Belarusia," tulis Leveille.

"Kami yakin para operator di balik kampanye malware ini membuat upaya signifikan untuk menjaga operasi mereka di bawah radar dan untuk menghalangi upaya pemantauan sebanyak mungkin," tulis Leveille. "Bagi mereka, tidak terdeteksi tampaknya menjadi prioritas daripada menginfeksi sebanyak mungkin korban."

Linux / Cdorked adalah tersembunyi tetapi tidak mustahil untuk dideteksi. Ini meninggalkan binari httpd yang dimodifikasi pada hard drive, yang dapat dideteksi.

Tapi perintah yang dikirim oleh penyerang ke Linux / Cdorked tidak masuk log Apache normal, dan pengalihan-yang mengirim orang ke situs web berbahaya- hanya berjalan di memori dan bukan pada hard drive, Eset menulis minggu lalu.