Tento backdoor využívají útočníci k přesměrování internetového uživatele na škodlivé stránky infikované Blackhole exploit sadou. „Jde o známou a rozšířenou sadu, která k infikování systému uživatele během jeho návštevy postižené webové stránky používá známé ale i nové exploity, které jsou součástí Blackholu,“ vysvětluje Righard Zwienenberg, výzkumník Esetu.
Výzkumníci tento backdoor pojmenovali Linux/Cdorked.A. Jedná se prý o nejdůmyslnější backdoor Apache, s jakým se dosud setkali. Do dnešního dne identifikovali stovky kompromitovaných webových serverů. „Kromě modifikovaného „httpd“ souboru (Apache webserveru) po sobě Linux/Cdorked.A na hard-disku nezanechává žádné stopy. Všechny informace související s backdoorem jsou uloženy ve sdílené paměti serveru, kvůli čemuž je jeho detekce a analýza mnohem komplikovanější,“ říká Pierre-Marc Bureau, výzkumník Esetu.
Tato hrozba je zajímavá tím, že nekontaktuje svůj vzdálený řídící server aktivně, ale akceptuje příkazy z jakéhokoli serveru. Tyto příkazy přicházejí formou standardního HTTP protokolu, i když o nich tento server nevede žádný záznam.
Další zajímavostí je fakt, že backdoor uživatelům prezentuje škodlivý kód jen zřídka. Každému návštevníkovi se snaží škodlivý obsah zobrazit jen jednou, čímž snižuje možnost svého odhalení. Taktéž se snaží nezobrazovat podvržený obsah na stránkách, které souvisejí s administrací příslušného webového serveru (například, když si webmaster prohlíží stránky s nastaveními systému).
Eset doporučuje systémovým administrátorům, aby zkontrolovali své servery a ověřili si, zda nejsou touto hrozbou postiženy. Při této příležitosti vytvořil Eset bezplatný nástroj, který administrátorům pomůže při detekci této hrozby.