Les chercheurs ont découvert un nouveau logiciel malveillant développé spécialement pour Linux qui compromet le fonctionnement des serveurs web en injectant du code malveillant dans chaque page. Le fléau tente de se cacher de l’administrateur du serveur et comme le rootkit est conçu pour ne pas apparaître dans la liste des processus du système, sa détection est un peu plus difficile.
Le rootkit a été publié pour la première fois le 13 novembre par un participant à la liste de diffusion Full Disclosure. Selon lui, certains clients se sont plaints d’être redirigés vers des sites web malveillants. Après avoir passé un certain temps à chercher des logiciels malveillants, il a découvert deux processus cachés sur sa machine, qui fonctionne avec Debian Squeeze et le serveur web nginx 1.2.3.
La société de sécurité CrowdStrike a analysé le malware et a déclaré que le parasite est apparemment nouveau et qu’il ne s’agit pas d’une simple modification d’un rootkit existant. Selon l’entreprise, le développeur de logiciels malveillants a peu d’expérience en la matière – l’analyse révèle que la qualité du code n’est pas la meilleure et que la technique consistant à se cacher de la liste des processus ne fonctionne pas très bien.
Le malware publié sur la liste Full Disclosure est un module compilé pour le noyau Linux 2.6.32-5, la dernière version de Debian Squeeze. Un expert en sécurité de Kaspersky explique qu’elle remplace la fonction tcp_sendmsg, qui construit des paquets TCP. En utilisant une fonction modifiée, il est possible d’injecter un code malveillant directement dans le trafic sortant du serveur.
Un article complet sur le rootkit est disponible sur le blog de CrowdStrike. On ne sait toujours pas comment le serveur a été infecté. Kaspersky a ajouté la détection des logiciels malveillants à son antivirus et à d’autres sociétés de sécurité également — Windows Defender détecte déjà la menace en tant que Trojan:Linux/Snakso.A.
