Вчера антивирусная компания ESET сообщила о появлении «нового» зловреда Linux/Chapro.A, который подключается к веб-серверу Apache и внедряет фреймы в HTTP-трафик. Однако, исследователь по безопасности Эрик Романг (Eric Romang) вспомнил, что он где-то такое уже видел.

Его внимание привлекла строка C_ARRAY_BAN_USERAGENT с описанием стоп-слов в user-agent, при наличии которых Linux/Chapro.A никак себя не проявляет. Эрик Романг просто запустил поиск в Google и обнаружил презентацию, сделанную российскими специалистами в октябре 2012 года на конференции YAC 2012. Эта презентация посвящена вредоносным модулям Apache, и на 19-й странице как раз упоминается такой же фильтр по user-agent. Автор презентации Пётр Волков (вирусный аналитик) ссылается на компанию Unmask Parasites, которая обнаружила этот вредоносный модуль Apache ещё в сентябре 2012-го.

Сравните код, который публикует ESET, и код с 22-й страницы презентации Волкова.

Исследователь Эрик Романг делает вывод, что к аналитикам ESET попала просто новая версия модуля Darkleech, который уже довольно давно распространяется на подпольных форумах. Может быть, антивирусную фирму вообще использовали как часть рекламной кампании.

Кстати, Darkleech распространяется через Gootkit-инфектор и известную уязвимость CVE-2012-1823 в PHP-CGI.



Оставить мнение