Minulý týden bezpečnostní společnosti Eset a Sucuri objevily servery Apache nakažené červem Linux/Cdorked. Pokud takový červ běží na webovém serveru, nic netušící uživatelé jsou přesměrováni na jinou webovou stránku, která se snaží infikovat jejich počítač. Eset pak v úterý oznámil, že podle jeho zjištění se nyní na internetu začaly hojně šířit verze Linux/Cdorked uzpůsobené pro servery Lighttpd a Nginx. Podle Marca Leveilleho z Esetu společnost doposud objevila 400 infikovaných webových serverů, z nichž padesát pohání některé z 100 000 největších webových stránek v internetu.
„Stále nevíme zcela jistě, jak se tento software na webové servery dostal,“ napsal Leveille. „Jedna věc je jistá, tento červ se sám nešíří a nezneužívá ani žádnou konkrétní díru v nějakém softwaru.“ Linux/Cdorked je aktivní minimálně od počátku prosince a konkrétně funguje tak, že uživatele přesměruje na web, jenž obsahuje Blackhole exploit kit, což je škodlivý program, jenž odhalí, zda má uživatel v systému nějaké díry. Přesměrování se týká pouze počítačů, které využívají operační systémy Windows XP/Vista/7 a uživatelé v nich surfují po internetu pomocí Internet Exploreru či Firefoxu.
Uživatelé s iPady a iPhony (tedy operačním systémem iOS) nejsou přesměrováni na stránku s Blackhole exploit kitem, ale na pornografické stránky. Podle expertů to vypadá, že útočníci kromě webových serverů pronikli i do některých serverů DNS. Jak podotkl Leveille, červ nedokáže provést útok, pokud je adresa IP uživatele v určitém rozmezí, nebo pokud je jazyk webového prohlížeče nastaven na finštinu, japonštinu, ruštinu, ukrajinštinu, kazaštinu nebo běloruštinu.
„Myslíme si, že útočníci, kteří za výše popsanými riziky stojí, se velmi snaží o to, aby je nikdo nemohl vystopovat, a snaží se minimalizovat možnost toho, že by uživatel vytušil napadení svého počítače,“ napsal Leveille. „Jinými slovy, prioritou pro ně je to, aby na ně nikdo nepřišel, a ne (jak už to tak v podobných případech bývá) to, aby infikovali co nejvíce počítačů.“ Linux/Cdorked však není nemožné detekovat, jelikož za sebou nezanechává na pevném disku žádné stopy. Problém je v tom, že příkazy zasílané útočníky pro tohoto červa se do normálního logu nezapíšou a přesměrování, jehož vinou uživatel přejde na nebezpečnou webovou stránku, běží pouze v paměti, a ne na pevném disku.