Curso básico de informática pra concursos - Segurança da Informação | AO VIVO
Um programa de software malicioso furtivo está tomando conta de alguns dos servidores Web mais populares, e os pesquisadores ainda não sabem por quê.
Na semana passada, as empresas de segurança Eset e Sucuri encontraram servidores Apache infectados com o Linux / Cdorked. Se o malware estiver sendo executado em um servidor da Web, as vítimas são redirecionadas para outro site que tenta comprometer seu computador.
A Eset disse na terça-feira que encontrou versões do Linux / Cdorked projetadas para os servidores Web Lighttpd e Nginx, ambos amplamente Usado em toda a Internet.
[Leitura adicional: Como remover malware do seu PC com Windows]Marc-Etienne M. Leveille, de Eset, escreveu que a empresa encontrou 400 servidores infectados até o momento, dos quais 50 são classificados nos 100 mil sites da Alexa, empresa de análise da Web.
"Ainda não sabemos ao certo como esse software malicioso foi implantado nos servidores da Web", escreveu Leveille. "Uma coisa é clara: esse malware não se propaga sozinho e não explora uma vulnerabilidade em um software específico."
O Linux / Cdorked está ativo desde pelo menos dezembro. Ele redireciona os visitantes para outro site comprometido que hospeda o kit de exploração Blackhole, que é um programa mal-intencionado que testa computadores quanto a vulnerabilidades de software. O redirecionamento é servido apenas para computadores que usam o Internet Explorer ou o Firefox nos sistemas operacionais XP, Vista ou 7 da Microsoft. Leveille escreveu. As pessoas que usam um iPad ou iPhone não são direcionadas ao exploit kit, mas sim aos sites de pornografia.
O padrão dos nomes de domínio para os quais as pessoas são redirecionadas sugere que os invasores também comprometeram alguns servidores DNS (sistema de nomes de domínio), escreveu Leveille.
O malware também não servirá o ataque se uma pessoa estiver em determinados intervalos de IP ou se "o idioma do navegador da vítima estiver definido para japonês, finlandês, russo e ucraniano, cazaque ou bielorrusso", escreveu Leveille.
"Acreditamos que os operadores por trás dessa campanha de malware estão fazendo esforços significativos para manter sua operação fora do radar e para impedir os esforços de monitoramento, tanto quanto possível", escreveu Leveille. "Para eles, não ser detectado parece ser uma prioridade em vez de infectar o maior número possível de vítimas."
O Linux / Cdorked é furtivo, mas não é impossível detectá-lo. Ele deixa um binário httpd modificado no disco rígido, que pode ser detectado.
Mas os comandos enviados pelos atacantes para o Linux / Cdorked não são registrados nos logs normais do Apache, e o redirecionamento - que envia as pessoas para um site malicioso- funciona apenas na memória e não no disco rígido, Eset escreveu na semana passada.
Outro ataque de malware se espalha via Twitter
Um link na página de Guy Kawasaki no Twitter pretendia direcionar seus seguidores para um vídeo pornô, mas na verdade era um ataque de vírus
A HP atualizará seus servidores Integrity no próximo ano para coincidir com o lançamento do novo chip Intel Itanium da Tukwila. A Hewlett-Packard fará algumas atualizações significativas na sua linha de servidores Integrity no próximo ano para coincidir com o lançamento do primeiro processador Itanium de quatro núcleos da Intel, conhecido como Tukwila, disse um executivo da HP.
HP venceu Os detalhes sobre os novos sistemas ainda não foram divulgados, mas um analista disse que a HP pode introduzir um design modular tipo lâmina para mais de seus sistemas Integrity, assim como fez no ano passado para o Integrity NonStop. Isso poderia ajudar a tornar os sistemas mais eficientes em termos energéticos e reduzir os custos de fabricação da HP.
Pesquisadores de segurança estão vendo uma pressão renovada do Gumblar, o nome de um código malicioso que se espalha comprometendo Web legítimos Pesquisadores de segurança estão vendo um ressurgimento do Gumblar, o nome de um código malicioso que se espalha por meio do comprometimento de sites legítimos, mas inseguros. Em maio, milhares de sites foram encontrados hackeados servir um iframe, que é uma maneira de levar o conteúdo de um site para outro. O iframe levou ao domínio "gumblar.cn&qu
O Gumblar também mudou suas táticas. Em vez de hospedar a carga maliciosa em um servidor remoto, os hackers agora colocam esse código em sites comprometidos, dizem os fornecedores da IBM e da ScanSafe. Também parece que o Gumblar foi atualizado para usar uma das vulnerabilidades mais recentes nos programas Adobe Reader e Acrobat, de acordo com o blog IBM Security Systems Frequency X.