Месяц назад сообщалось об обнаружении необычного 64-битного руткита под Linux, который устанавливается на сервер и внедряет iframe с вредоносными ссылками в HTTP-трафик для пользователей. В том случае была заражена система Debian Squeeze и веб-сервер Nginx 1.2.3. Антивирусные компании с тех пор весьма детально разобрали по косточкам тот руткит, которому присвоено название Snakso (Rootkit.Linux.Snakso.a.).
Новая находка под названием Linux/Chapro.A, на первый взгляд, очень похожа на Snakso. Она тоже внедряет вредоносные фреймы в HTML-страницы, направляя пользователей на сайты с эксплойт-паком Sweet Orange, где их заражают банковскими троянами типа Win32/Zbot (Zeus). Но проведённый анализ показал, что это совершенно другая программа.
Linux/Chapro.A — модуль для веб-сервера Apache на 64-битной системе Linux. Программа использует несколько методов, чтобы избежать обнаружения администратором сервера. Перед внедрением вредоносного контента она осуществляет ряд проверок, избирательно фильтруя жертв по user-agent. Если там встречается одно из «запрещённых» слов, то такому пользователю вредоносный фрейм не отгружается. Как видно на скриншоте, зловред игнорирует пользователей Chrome, поисковые боты, пользователей Linux, Mac OS.
Дополнительно, Chapro проверяет IP-адреса во всех SSH-соединениях, и эти IP-адреса тоже заносит в чёрный список. Кроме того, осуществляется проверка cookie, поставленного в прошлый раз каждому пользователю. Второй раз ему фрейм не передаётся, также как фрейм не передаётся на один и тот же IP-адрес дважды.
Наконец, когда Chapro всё-таки решает передать iframe посетителю, то внедряет в HTML-страницу примерно такой код:
Каждые 10 минут модуль опрашивает командный сервер с помощью HTTP POST запросов, и получает свежую копию вредоносного фрейма.
