Arquivo Antivírus e Segurança

Rootkit ataca servidores Linux e injeta código malicioso em páginas

Paulo Higa
Por

As melhores ofertas,
sem rabo preso

Pesquisadores descobriram um novo malware desenvolvido especialmente para Linux que compromete o funcionamento de servidores web, injetando código malicioso em todas as páginas. A praga tenta se esconder do administrador do servidor e, como o rootkit foi feito para não aparecer na lista de processos do sistema, sua detecção é um pouquinho mais difícil.

O rootkit foi inicialmente publicado no dia 13 de novembro por um participante da lista de emails Full Disclosure. Segundo ele, alguns clientes reclamaram que estavam sendo redirecionados para sites maliciosos. Após passar algum tempo procurando pelo malware, ele descobriu dois processos ocultos em sua máquina, que roda Debian Squeeze e servidor web nginx 1.2.3.

A empresa de segurança CrowdStrike analisou o malware e afirmou que, aparentemente, a praga é nova e não apenas uma modificação de um rootkit já existente. Segundo a empresa, o desenvolvedor do malware tem pouca experiência no assunto — a análise revela que a qualidade do código não é das melhores e a técnica de se esconder da lista de processos não funciona muito bem.

O malware divulgado na lista Full Disclosure é um módulo compilado para o kernel Linux 2.6.32-5, a versão mais recente do Debian Squeeze. Uma especialista em segurança da Kaspersky explica que ele substitui a função tcp_sendmsg, que constrói pacotes TCP. Usando uma função alterada, é possível injetar código malicioso diretamente no tráfego de saída do servidor.

Cena rara: antivírus para Windows detectando malware para Linux. Geralmente é o contrário.

Um artigo completo sobre o rootkit está no blog da CrowdStrike. Ainda não se sabe como o servidor foi infectado. A Kaspersky adicionou a detecção do malware em seu antivírus e outras empresas de segurança também — o Windows Defender já detecta a ameaça como Trojan:Linux/Snakso.A.

Com informações: CRN, CrowdStrike, G1.

Paulo Higa

Editor-executivo

Paulo Higa é jornalista, com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. Trabalha no Tecnoblog desde 2012, viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. É coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Mais Populares

Responde

Relacionados

Em destaque