Вредоносное ПО, направленное против серверов под управлением Linux, позволяет злоумышленнику внедрить свой код в любую страницу, расположенную на зараженном сервере (включая страницы ошибок).
Среди специалистов бытует мнение, что руткит затачивался специально под сервера, управляющиеся 64-разрядной версией Debian Squeeze и Nginx.
Анализ руткита показал, что он осуществляет вставки HTML IFRAME на каждую страницу с зараженного сервера, заменяя код, создающий TCP/IP-пакеты (tcp_sendmsg), своим собственным.
Руткит, опознанный Лабораторией Касперского как Rootkit.Linux.Snasko.a, считается новинкой. Так как он заражает весь сервер, а не какие-то определенные страницы, он может повлиять на работу десятков и сотен сайтов, заразив, к примеру, сервер .
По словам специалиста из Crowdstrike, руткит с большой долей вероятности был создан русским хакером, у которого было не так-то много опыта. При этом спец добавляет, что подобный руткит можно успешно использовать в случаях, когда нужно произвести атаку на какую-либо целевую аудиторию и практически не оставить следов.
Автор: Sterhel
