Выявлена вредоносная программа для Linux-серверов, оформленная в форме модуля к http-серверу Apache

Выявлена вредоносная программа для Linux-серверов

Александр Панасенко 24 Декабря 2012 - 17:34

...

Антивирусная компания ESET сообщила об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов.

Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытиях страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем, пишет opennet.ru.

Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Апреля 2025 - 17:00

Windows Уязвимости программ Домашние пользователи Корпорации Google

Google дважды латала одни и те же дыры в Quick Share из-за обхода патча

Прошлым летом Google закрыла в Windows-версии Quick Share девять уязвимостей; некоторые в связке позволяли удаленно выполнить сторонний код в системе. Созданные патчи оказались неполными, и их пришлось заменить.

Возможность проведения RCE-атаки на Windows через эксплойт Quick Share обнаружили исследователи из Safebreach. Когда они проверили выпущенные заплатки, выяснилось, что пару из них можно с легкостью обойти.

Одна некорректно решенная проблема могла повлечь отказ приложения Google для быстрого обмена файлами (DoS). Другая (CVE-2024-38272) позволяла без согласия юзера Quick Share передать на его компьютер файл, и тот автоматом записывался на диск.

После исправления утилита стала опознавать такие сюрпризы как Unknown File («неизвестные файлы») и удалять их по завершении сессии файлообмена. Как оказалось, этот фикс можно обойти, передав в рамках сессии два разных файла и присвоив содержимому пакетов (пейлоад) один и тот же ID: оба файла попадут в Загрузки, но сотрется потом только один.

Обход патча для CVE-2024-38272 был зарегистрирован как уязвимость CVE-2024-10668. Новую проблему Quick Share для Windows устранили в ноябре прошлого года с выпуском сборки 1.0.2002.2.

Выявлена вредоносная программа для Linux-серверов

Читайте также