Até agora, os investigadores da ESET já identificaram centenas de servidores comprometidos utilizando, para o efeito, o sistema de telemetria ESET LiveGrid.

“A backdoor Linux/Cdorked.A não deixa vestígios no disco rígido, para além de um ficheiro httpd modificado, ou seja, o daemon (ou serviço) utilizado pelo Apache. Todas as informações relacionadas com a backdoor são armazenadas na memória partilhada do servidor, tornando a detecção praticamente impossível”, afirma Pierre-Marc Bureau, Responsável pela Unidade de Segurança e Inteligência da ESET.

Porém, o Linux/Cdorked.A efectua outros passos para evitar a detecção, tanto nos servidores web comprometidos, como nos browsers dos computadores que os visitam.

“A configuração da backdoor é enviada para o atacante utilizando pedidos HTTP, que para além de estarem ofuscados, não são registados pelo Apache, reduzindo em larga escala a possibilidade de detecção utilizando as ferramentas de monitorização mais comuns. A configuração é armazenada na memória, significando que nenhuma informação “Command and Control” está visível. A análise forense, torna-se assim, mais complexa”, refere Righard Zwienenberg, investigador da ESET.

O pacote de exploits Blackhole é frequentemente utilizado, sendo que nele estão presentes ameaças conhecidas e emergentes, que não têm outro propósito se não apoderarem-se do computador da vítima, quando visita um site malicioso.

Através da utilização de um cookie, a vítima é redireccionada para um site malicioso apenas uma vez. Porém, o cookie não é colocado nas páginas de administração, uma vez que a backdoor verifica, previamente, o endereço de referência para concluir se os utilizadores provêm de um url onde constam palavras chave como admin ou cpanel.

A ESET aconselha os administradores de sistemas a verificarem os seus servidores. Uma ferrramenta de detecção, programada em C pode ser encontrada em http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c.