Модуль Apache для инъекций кода в HTML: Linux/Chapro.A

1 Отзыв

Linux / Chapro.A — вредоносный бинарный модуль для Apache Linux x64. Данная вредоносная программа  использует XOR цикл с 12 байтной длиной ключа для кодирования большинства строк.

Программа имеет множество возможностей, чтобы избежать обнаружения. Перед внедрением вредоносного контента она осуществляет ряд проверок.

Во-первых, Linux / Chapro.A проверяет user-arent пользователя веб-браузера для известных ботов, а также веб-браузеров. Если там встречается одно из «запрещённых» слов, то такому пользователю вредоносный фрейм не отгружается. Как видно на скриншоте, зловред игнорирует пользователей Chrome, поисковые боты, пользователей Linux, Mac OS.

apache-linux-chapro-1

 

Дополнительно, Chapro проверяет IP-адреса во всех SSH-соединениях, и эти IP-адреса тоже заносит в чёрный список. Кроме того, осуществляется проверка cookie, поставленного в прошлый раз каждому пользователю. Второй раз ему фрейм не передаётся, также как фрейм не передаётся на один и тот же IP-адрес дважды.

Наконец, когда Chapro всё-таки решает передать iframe посетителю, то внедряет в HTML-страницу примерно такой код:

apache-linux-chapro-3

 

Каждые 10 минут модуль опрашивает командный сервер с помощью HTTP POST запросов, и получает свежую копию вредоносного фрейма.

apache-linux-chapro-2

 

Источник.

 

Possibly Related Posts:


Рубрика: Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

1 Отзыв на «Модуль Apache для инъекций кода в HTML: Linux/Chapro.A»


  1. Nikita

    Интересно, каким образом попадает на машины этот зловред?