Vírus que ataca servidores de Linux adiciona código em páginas web

Nova praga digital age como 'rootkit' e se esconde no sistema. Código adicionado às páginas ataca visitantes com Windows. Um administrador de sistemas publicou na lista de segurança "Full Disclosure" uma informação sobre um servidor Linux que foi comprometido para alterar as páginas web servidas com um código capaz de infectar sistemas Windows de visitantes. O código era até então desconhecido.

O código infecta o sistema Linux agindo como um "rootkit". Em outras palavras, o programa não aparece na lista de tarefas em execução do sistema. Ele é injetado diretamente no kernel para alterar funções do sistema operacional. De acordo com uma análise, a praga foi especificamente desenvolvida para atacar sistemas 64-bit baseados na distribuição Debian Squeezy.

A alteração do conteúdo enviado ocorre diretamente com uma modificação na função do sistema que constrói os pacotes TCP/IP. O administrador que relatou o ataque descobriu respostas alteradas em um servidor de proxy usando o software "nginx", mas não se sabe se outros softwares poderiam também ter a resposta alterada pela praga.

Usuários de Windows que visitarem páginas em um servidor infectado podem também ser infectados por pragas digitais se não estiverem com o navegador web e plug-ins atualizados.

De acordo com especialistas, é pouco provável que o vírus tenha sido desenvolvido para um uso específico, sendo parte de uma "operação de cibercrime genérica". A qualidade do código é baixa e que certas partes do código funcionam por "sorte" do desenvolvedor, que seria um iniciante.

Dados sugerem que 11,9% dos sites da web utilizam o nginx, sendo o terceiro servidor web mais popular, atrás do Internet Information Server (16,52%) e do Apache (57,23%).

Fonte: http://g1.globo.com/tecnologia/noticia/2012/11/virus-que-ataca-servidores-de-linux-adiciona-codigo-em-paginas-web.html