Stealthy-webserver malware verspreidt zich verder

Een sluipend kwaadaardig softwareprogramma speelt zich af op enkele van de meest populaire webservers, en onderzoekers weten nog steeds niet waarom.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Marc-Etienne M. Leveille van Eset schreef dat het bedrijf tot nu toe 400 webservers heeft gevonden, waarvan er 50 gerangschikt zijn in de webanalyse-onderneming Alexa's top 100.000 websites.

"We weten nog steeds niet zeker hoe deze kwaadaardige software op de webservers werd ingezet", schreef Leveille. "Een ding is duidelijk, deze malware verspreidt zich niet vanzelf en het maakt geen misbruik van een kwetsbaarheid in een specifieke software."

Linux / Cdorked is sinds minstens december actief. Het omleidt bezoekers naar een andere gecompromitteerde website die de Blackhole exploit-kit host, wat een kwaadaardig programma is dat computers test op kwetsbaarheden in software.

De omleiding wordt alleen aangeboden aan computers die Internet Explorer of Firefox gebruiken op Microsoft's XP, Vista of 7 besturingssystemen, Leveille schreef. Mensen die een iPad of iPhone gebruiken, worden niet naar de exploit-kit maar naar pornosites geleid.

Het patroon van de domeinnamen waar mensen worden doorgestuurd suggereert dat de aanvallers ook een aantal DNS-servers (Domain Name System) hebben aangetast, schreef Leveille.

De malware zal de aanval ook niet teniet doen als een persoon zich in bepaalde IP-bereiken bevindt of als "de taal van de internetbrowser van het slachtoffer is ingesteld op Japans, Fins, Russisch en Oekraïens, Kazachs of Wit-Russisch", schreef Leveille.

"Wij geloven dat de operators achter deze malwarecampagne aanzienlijke inspanningen leveren om hun activiteiten onder de radar te houden en monitoringactiviteiten zo veel mogelijk te belemmeren", schreef Leveille. "Voor hen lijkt het niet worden ontdekt dat het een prioriteit is om zoveel mogelijk slachtoffers te infecteren."

Linux / Cdorked is onopvallend, maar is niet onmogelijk om te detecteren. Het laat een gemodificeerd httpd binary op de harde schijf achter, die kan worden gedetecteerd.

Maar commando's die door de aanvallers naar Linux / Cdorked zijn verzonden, zijn niet in de normale Apache-logboeken en de omleiding - die mensen naar een kwaadwillende website stuurt - opgeslagen werkt alleen in het geheugen en niet op de harde schijf, schreef Eset vorige week.