Weboldalak üzemeltetőit zsarolja egy új vírus

​Egy olyan zsaroló program terjed egyes webszervereken keresztül, amely weboldalak üzemeltetőit, tulajdonosait zsarolja.
 

Már az elmúlt hetekben lehetett hallani egy olyan zsaroló (ransomware) programról, amelyről az a hír járta, hogy a Drupal alapú weboldalak megfertőzésére alkalmas. Azóta nem kizárólag az derült ki, hogy a károkozó valóban létezik, hanem az is, hogy korántsem csak a Drupallal kompatibilis. Ráadásul jó néhány támadási módszert ismer.
 
A Doctor Web kutatói elemezték elsőként azt a Rex.1 névvel illetett károkozót, amely a Linux alapú környezetekben érzi elemében magát. Különösen akkor jelent veszélyt, ha egy olyan webszerverre kerül fel, amelyen valamilyen tartalomkezelő (CMS) rendszer is fut. Egy olyan modullal rendelkezik, amely képes azonosítani az ismertebb CMS és egyéb webes alkalmazásokat, mint amilyen például a Drupal, a WordPress, a Magento és a JetSpeed. Mindezek mellett különös figyelmet szentel azon eszközöknek, amelyek az AirOS-re épülnek.
 
A Rex.1 legfontosabb összetevője elosztott szolgáltatásmegtagadási támadásokba vonja be a fertőzött számítógépeket. Emellett egy olyan komponens is helyet kapott benne, amely spamküldést tesz lehetővé. E két funkció pedig egymást támogatva is hadra fogható. A csalók ugyanis spam üzeneteket küldenek weboldal tulajdonosoknak, amikben zsaroló szövegeket helyeznek el. Bitcoint követelnek azért, hogy célzott szolgáltatásmegtagadási támadásokkal ne bombázzák a megzsarolt személy weboldalát, illetve szerverét.
 
A Rex.1 nagyon fontos jellemzője, hogy P2P alapú botnethez csatlakoztatja az általa megfertőzött rendszereket. Ezzel eléri, hogy a működése ne egyetlen vezérlőszervertől függjön. A hálózatba kapcsolt rendszerek mindegyike képes egymással kommunikálni, méghozzá titkosított módon. Ezáltal a botnet felderítése és megbénítása is jelentősen nehezebbé válik.
 
A károkozó neve nem véletlenül fonódott össze a Drupal alapú vírusterjesztéssel, ugyanis a Drupalra épülő webhelyek számára további kockázatokat is rejt. Képes kihasználni különféle sérülékenységeket, amelyek révén SQL injection alapú támadásokat hajt végre, és további sérülékeny webszerverekre furakodik be. Ilyen módon önmaga terjesztésére is képes.
 
A Rex.1 elleni védekezés során fontos a webszerverek és az azokon futó alkalmazások naprakészen tartása.