Webszervereket támad az Apmod trójai

Az Apmod trójai a Linux alapú webkiszolgálókat fertőzi meg, majd ilyen módon próbálja célkeresztbe állítani a kliens számítógépeket.
 

Az Apmod trójai azon kártékony programok táborát gyarapítja, amelyek a Linux alatt futó Apache webszervereket veszik célba. A károkozó tulajdonképpen nem más, mint egy Apache modul, amelynek beépülése után a HTTP-adatforgalom a trójai felügyelete alá kerül, és azt szabadon tudja manipulálni.

Az Isidor Biztonsági Központ közleménye szerint az Apmod egy távoli szerverről tölti le azokat a kódokat, amelyeket később beilleszt a kiszolgált weboldalak forrásába. A HTML-kódokban a leggyakoribb tageket manipulálja, majd amikor ezeket a kliensen a felhasználó egy böngészőben megjeleníti, akkor nemkívánatos műveletek következhetnek be. Vagyis a trójai végső célpontját nem az Apache szerverek, hanem a kliensek jelentik.

Az Apmod fontos jellemzője, hogy mielőtt egy kliens felé elkezdi manipulálni a hálózati adatforgalmat, azelőtt gondosan megvizsgálja a körülményeket. Ezzel próbálja elérni, hogy minél kisebb valószínűséggel derüljön fény a jelenlétére. Így például nem kompromittálja a weboldalak kódját abban az esetben, ha a szerveren meghatározott folyamatok futnak, ha a kliens a helyi hálózatból éri el a kiszolgálót, illetve ha a kérésekben számára nem megfelelő User-Agent szerepel. Emellett az egyszer már megtámadott kliensek IP-címéből, pontosabban az azokból képzett hash-ekből egy feketelistát állít össze, így egy számítógépet "csak" egyszer vesz célba.