Wizyta na stronie serwowanej przez zainfekowaną maszynę skutkuje przekierowaniem internauty do innego serwisu zawierającego zestaw exploitów lub treści pornograficzne. Eksperci z firmy ESET podkreślają, że Linux/Cdorked.A jest zaawansowanym zagrożeniem, które bardzo skutecznie maskuje swoją aktywność na zainfekowanym serwerze. Jedynym śladem działania Linux/Cdorked.A na danej maszynie jest zmodyfikowany plik "httpd". Wszystkie inne informacje, odnoszące się do backdoora, w tym te dotyczące konfiguracji i kontroli nad zagrożeniem, przechowywane są w pamięci podręcznej serwera - przez co bardzo trudno jest wykryć i przeanalizować jego sposób działania.

Analitycy zagrożeń z firmy ESET ustalili, że Linux/Cdorked.A. otrzymuje instrukcje działania za pośrednictwem HTTP. W celu minimalizacji prawdopodobieństwa wykrycia zagrożenia komunikacja ta jest specjalnie maskowana, a przekazywane instrukcje nie są rejestrowane w dzienniku zdarzeń serwera Apache.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberatak na pracowników z polskiej branży zbrojeniowej
• Bezpieczna miłość w sieci

Jeśli internauta trafi na stronę, która jest serwowana przez zainfekowanego Apache'a, zagrożenie przekieruje go do serwisu zawierającego zestaw exploitów o nazwie Blackhole. Zestaw ten automatycznie zidentyfikuje i wykorzysta luki wykryte na komputerze użytkownika, instalując na nim kolejne zagrożenia. W ten sposób maszyna może zostać dołączona do sieci zombie, a przejęty komputer może zostać później wykorzystany m.in. do realizacji ataku DDoS (Distributed Denial of Service). W takich atakach maszyny zombie wysyłają ogromną liczbę zapytań do serwerów firm i instytucji, powodując ich zablokowanie.

O potencjalnej skali działania Linux/Cdorked.A wypowiedział się Stephen Cobb, ekspert ds. bezpieczeństwa IT firmy ESET. Zwrócił on uwagę na statystyki serwisu Netcraft, z których wynika, że w lutym 2013 roku aż 348 milionów stron WWW działało w oparciu o serwer Apache. To ponad 55% wszystkich dostępnych w sieci stron WWW! Znaczna część tych serwerów działa w oparciu o system Linux, a to właśnie linuksową wersję Apache'a bierze na cel Linux/Cdorked.A. Laboratorium antywirusowe firmy ESET zidentyfikowało infekcje m.in. na 50 stronach ze 100.000 najpopularniejszych witryn wg serwisu Alexa.com

Eksperci z firmy ESET radzą wszystkim administratorom, którzy opiekują się stronami WWW działającymi na linuksowych serwerach Apache, aby sprawdzili czy ich maszyny nie padły ofiarą Linux/Cdorked.A. W tym celu można posłużyć się bezpłatnym narzędziem, jakie przygotowali analitycy firmy ESET. Narzędzie dostępne jest na blogu firmy ESET.