O rootkit foi inicialmente publicado no dia 13 de novembro por um participante da lista de emails Full Disclosure. Segundo ele, alguns clientes reclamaram que estavam sendo redirecionados para sites maliciosos. Após passar algum tempo procurando pelo malware, ele descobriu dois processos ocultos em sua máquina, que roda Debian Squeeze e servidor web nginx 1.2.3.
A empresa de segurança CrowdStrike analisou o malware e afirmou que, aparentemente, a praga é nova e não apenas uma modificação de um rootkit já existente. Segundo a empresa, o desenvolvedor do malware tem pouca experiência no assunto a análise revela que a qualidade do código não é das melhores e a técnica de se esconder da lista de processos não funciona muito bem.
O malware divulgado na lista Full Disclosure é um módulo compilado para o kernel Linux 2.6.32-5, a versão mais recente do Debian Squeeze. Uma especialista em segurança da Kaspersky explica que ele substitui a função tcp_sendmsg, que constrói pacotes TCP. Usando uma função alterada, é possível injetar código malicioso diretamente no tráfego de saída do servidor.
Cena rara: antivírus para Windows detectando malware para Linux. Geralmente é o contrário.
Um artigo completo sobre o rootkit está no blog da CrowdStrike. Ainda não se sabe como o servidor foi infectado. A Kaspersky adicionou a detecção do malware em seu antivírus e outras empresas de segurança também o Windows Defender já detecta a ameaça como Trojan:Linux/Snakso.A.
Com informações: CRN, CrowdStrike, G1.