Apmod

Az Apmod trójai az Apache webszerverek esetében okozhat fejtörést, ugyanis képes minden kiszolgált weboldalt kártékony tartalmakkal felvértezni.
 

Az Apmod trójai - eltérően sok vírustól - szerveralkalmazást támad. Kifejezetten az Apache webszervereket szemelte ki magának, amelyek esetében olyan módosításokat hajt végre, amik végül ártalmas programok terjesztéséhez járulhatnak hozzá. Az Apmod trójai tulajdonképpen egy káros Apache modul, amely csak manuális telepítés után képes működésbe lépni. Automatizált fertőzésre nem képes.

A trójai a webszervereken az Apache modules könyvtárába egy dl.so nevű fájl formájában jelenik meg. Ez képes arra, hogy az összes kiszolgált weblapba egy IFRAME kódot helyezzen el, amely kártékony weboldalra mutat. A trójai arra is figyel, hogy például keresőrobotok kérései esetén ne manipulálja a weblapokat. Ezzel próbál minél tovább feltűnésmentesen tevékenykedni.

Az Apmod Linux és Windows operációs rendszerek alatt futtatott Apache webszervereket is képes manipulálni.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Linux operációs rendszer esetében létrehozza a következő állományt:
/usr/lib/apache2/modules/dl.so

2. Windows operációs rendszer esetén létrehozza az alábbi fájlt:
[Apache root könyvtárának elérési útvonala]/modules/dl.so

3. Az operációs rendszerek Temp könyvtáraiba bemásolja a következő állományokat:
%Temp%/sess_[véletlenszerű karakterek]
%Temp%/lol

4. Folyamatosan monitorozza az Apache által kiszolgált weboldalakat.

5. Minden kiszolgált weboldalba beszúr egy kártékony weboldalra mutató IFRAME taget.

6. A trójai az IFRAME tag beszúrásakor ügyel arra, hogy bizonyos források felé ne küldjön káros tartalmakat. Így például a keresőrobotok kéréseire sem reagál.