Rootkit ataca servidores Linux e injeta código malicioso em páginas

Pesquisadores descobriram um novo malware desenvolvido especialmente para Linux que compromete o funcionamento de servidores web, injetando código malicioso em todas as páginas. A praga tenta se esconder do administrador do servidor e, como o rootkit foi feito para não aparecer na lista de processos do sistema, sua detecção é um pouquinho mais difícil.

O rootkit foi inicialmente publicado no dia 13 de novembro por um participante da lista de emails Full Disclosure. Segundo ele, alguns clientes reclamaram que estavam sendo redirecionados para sites maliciosos. Após passar algum tempo procurando pelo malware, ele descobriu dois processos ocultos em sua máquina, que roda Debian Squeeze e servidor web nginx 1.2.3.

A empresa de segurança CrowdStrike analisou o malware e afirmou que, aparentemente, a praga é nova e não apenas uma modificação de um rootkit já existente. Segundo a empresa, o desenvolvedor do malware tem pouca experiência no assunto — a análise revela que a qualidade do código não é das melhores e a técnica de se esconder da lista de processos não funciona muito bem.

O malware divulgado na lista Full Disclosure é um módulo compilado para o kernel Linux 2.6.32-5, a versão mais recente do Debian Squeeze. Uma especialista em segurança da Kaspersky explica que ele substitui a função tcp_sendmsg, que constrói pacotes TCP. Usando uma função alterada, é possível injetar código malicioso diretamente no tráfego de saída do servidor.

Um artigo completo sobre o rootkit está no blog da CrowdStrike. Ainda não se sabe como o servidor foi infectado. A Kaspersky adicionou a detecção do malware em seu antivírus e outras empresas de segurança também — o Windows Defender já detecta a ameaça como Trojan:Linux/Snakso.A.

Com informações: CRN, CrowdStrike, G1.