Les logiciels malveillants du serveur Web se propagent

Un logiciel malveillant furtif s'installe dans certains des serveurs Web les plus populaires, et les chercheurs ne savent toujours pas pourquoi.

La semaine dernière, les sociétés de sécurité Eset et Sucuri ont découvert des serveurs Apache infectés par Linux / Cdorked. Si ce malware fonctionne sur un serveur Web, les victimes sont redirigées vers un autre site Web qui tente de compromettre leur ordinateur.

Eset a déclaré mardi avoir trouvé des versions de Linux / Cdorked conçues pour les serveurs Web Lighttpd et Nginx, largement répandues.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Marc-Etienne M. Leveille d'Eset a écrit que l'entreprise a trouvé 400 serveurs Web infectés jusqu'à présent, dont 50 sont classés "Nous ne savons toujours pas avec certitude comment ce logiciel malveillant a été déployé sur les serveurs Web", a écrit Leveille. "Une chose est claire, ce malware ne se propage pas par lui-même et n'exploite pas une vulnérabilité dans un logiciel spécifique."

Linux / Cdorked est actif depuis au moins décembre. Il redirige les visiteurs vers un autre site Web compromis hébergeant le kit d'exploitation Blackhole, un programme malveillant qui teste les ordinateurs à la recherche de vulnérabilités logicielles.

La redirection est uniquement destinée aux ordinateurs utilisant Internet Explorer ou Firefox sur les systèmes d'exploitation XP, Vista ou 7 de Microsoft. Leveille a écrit. Les gens utilisant un iPad ou un iPhone ne sont pas dirigés vers le kit d'exploitation mais vers des sites pornographiques.

Le patron des noms de domaine redirigés suggère que les attaquants ont également compromis certains serveurs DNS (Domain Name System), écrit Leveille.

Le malware ne servira pas l'attaque si une personne se trouve dans certaines plages d'adresses IP ou si "la langue du navigateur internet de la victime est le japonais, le finnois, le russe et l'ukrainien, le kazakh ou le biélorusse". "Nous croyons que les opérateurs derrière cette campagne de malware font des efforts significatifs pour garder leur opération sous le radar et pour entraver les efforts de surveillance autant que possible", a écrit Leveille. "Pour eux, ne pas être détecté semble être une priorité pour infecter autant de victimes que possible."

Linux / Cdorked est furtif mais n'est pas impossible à détecter. Il laisse un binaire httpd modifié sur le disque dur, qui peut être détecté

Mais les commandes envoyées par les attaquants à Linux / Cdorked ne sont pas enregistrées dans les logs Apache normaux, et la redirection - qui envoie les gens vers un site web malveillant - fonctionne seulement en mémoire et pas sur le disque dur, écrit Eset la semaine dernière.