Vírus que ataca servidores de Linux adiciona código em páginas web
Nova praga digital age como 'rootkit' e se esconde no sistema.
Código adicionado às páginas ataca visitantes com Windows.
Um administrador de sistemas publicou na lista de segurança "Full Disclosure" uma informação sobre um servidor Linux que foi comprometido para alterar as páginas web servidas com um código capaz de infectar sistemas Windows de visitantes.
O código, que era até então desconhecido, infecta o sistema Linux agindo como um "rootkit". Em outras palavras, o programa não aparece na lista de tarefas em execução do sistema. Ele é injetado diretamente no kernel para alterar funções do sistema operacional. De acordo com uma análise da fabricante de antivírus Kaspersky, a praga foi especificamente desenvolvida para atacar sistemas 64-bit baseados na distribuição Debian Squeezy.
A alteração do conteúdo enviado ocorre com uma modificação na função do sistema que constrói os pacotes TCP/IP. O administrador que relatou o ataque descobriu respostas alteradas em um servidor de proxy usando o software "nginx", mas não se sabe se outros softwares poderiam também ter a resposta alterada pela praga.
Usuários de Windows que visitarem páginas de um site hospedado em um servidor infectado podem também ser infectados por pragas digitais se não estiverem com o navegador web e plug-ins atualizados.
De acordo com Georg Wicherski, especialista em segurança da CrowdStrike, é pouco provável que o vírus tenha sido desenvolvido para um uso específico, sendo parte de uma "operação de cibercrime genérica". Wicherski opinou que a qualidade do código é baixa e que certas partes do código funcionam por "sorte" do desenvolvedor, que seria um iniciante.
Dados do Netcraft sugerem que 11,9% dos sites da web utilizam o nginx, sendo o terceiro servidor web mais popular, atrás do Internet Information Server (16,52%) e do Apache (57,23%).
