은밀한 웹 서버 멀웨어가 더 많이 전파됩니다.

지난 주에 보안 회사 Eset과 Sucuri는 Linux / Cdorked에 감염된 Apache 서버를 발견했습니다. 이 악성 코드가 웹 서버에서 실행 중일 경우 희생자는 컴퓨터를 손상시키려는 다른 웹 사이트로 리디렉션됩니다.

Eset은 화요일 Lighttpd 및 Nginx 웹 서버 용으로 설계된 Linux / Cdorked 버전을 광범위하게 발견했으며

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법] Eset의 Marc-Etienne M. Leveille은 지금까지 400 개의 웹 서버가 발견되었으며 그 중 50 개가 순위가 매겨 졌다고 썼습니다 Leaveille은 웹 분석 회사 인 Alexa의 상위 10 만개 웹 사이트에서 "이 악성 소프트웨어가 웹 서버에 어떻게 배치되었는지 확실하지 않습니다. "한 가지 분명한 사실은이 멀웨어 자체가 전파되지 않고 특정 소프트웨어의 취약점을 악용하지 않는다는 것입니다."라고 말했습니다.

Linux / Cdorked는 적어도 12 월 이후로 활동했습니다. 컴퓨터를 소프트웨어 취약성으로 테스트하는 악성 프로그램 인 Blackhole exploit kit를 호스팅하는 다른 손상된 웹 사이트로 방문자를 리디렉션합니다.

리디렉션은 Microsoft XP, Vista 또는 7 운영 체제에서 Internet Explorer 또는 Firefox를 사용하는 컴퓨터에만 제공되며, Leveille은 썼다. 아이 패드 나 아이폰을 사용하는 사람들은 익스플로잇 킷으로 직접 연결되는 것이 아니라 포르노 사이트로 연결된다. 사람들이 리디렉션되는 도메인 이름의 패턴은 공격자가 일부 DNS (Domain Name System) 서버를 손상 시켰다고 Leaveille이 썼다. Leveille는 "특정 IP 범위에있는 사람이나"피해자의 인터넷 브라우저 언어가 일본어, 핀란드어, 러시아어 및 우크라이나어, 카자흐어 또는 벨로루시어 "로 설정된 경우 악성 코드도 공격을 제공하지 않습니다.

Leveille는 다음과 같이 말합니다. "우리는이 악성 코드 캠페인의 운영자가 자신의 작전을 계속 유지하고 가능한 한 모니터링 노력을 방해하는 데 상당한 노력을 기울이고 있다고 생각합니다. "그들에게는 탐지 된 것이 아니라 가능한 많은 희생자를 감염시키는 것보다 우선시되는 것 같다."

Linux / Cdorked는 비밀 스럽지만 탐지가 불가능하지 않다. 하드 드라이브에 수정 된 httpd 바이너리를 남겨두고 탐지 할 수 있습니다.

하지만 공격자가 Linux / Cdorked로 보낸 명령은 일반적인 Apache 로그에 기록되지 않고 리디렉션은 사람들을 악성 웹 사이트로 보냅니다. Eset은 지난 주에 하드 드라이브가 아닌 메모리에서만 실행된다고 말했다.