Todos
los visitantes de una página web en el servidor será entonces atacado
por una página web especialmente diseñada que se carga en un iframe.
Los delincuentes suelen utilizar los kits de explotar como BlackHole
para examinar el sistema de la víctima para establecer cuál de una serie
de vulnerabilidades en Flash, Java y otras aplicaciones pueden ser
explotados. Una vez que un agujero explotable se identifica, se usa para instalar software malicioso en el sistema del visitante.
El servidor que aloja en última instancia se utiliza para redirigir a
los usuarios a otro servidor web que puede infectar su sistema, como el
mal mantenimiento de los sistemas de Windows, con el malware.
De acuerdo con la empresa anti-virus Kaspersky Lab
, el rootkit, cuyo nombre en código Rootkit.Linux.Snakso.a, está
diseñado para atacar sistemas de 64 bits y ha sido compilado para la
versión del kernel 2.6.32-5, utilizado en Debian Squeeze.
El rootkit añade la línea insmod / 5-amd64/kernel/sound/module_init.ko
lib/modules/2.6.32 para el script / etc / rc.local, lo que garantiza que
el módulo malicioso se ejecuta cada vez que el sistema arranca.
Después del arranque, se determina la dirección de memoria de una serie de funciones del kernel, que luego se engancha en. Esto permite que tanto se oculta para el usuario y para manipular el tráfico de red del servidor. El rootkit obtiene instrucciones de implementación de un servidor de comando y control.
Sin embargo, según Kaspersky, el rootkit pueden estar todavía en
desarrollo, ya que se ha elaborado con información de depuración in
situ.
Por lo tanto, se cree que el autor de este rootkit es sólo un
principiante avanzado que aún no cuenta con una gran experiencia en el
kernel. Otra cosa interesante sobre el autor del rootkit es que se cree que es de Rusia
0 comentarios:
Publicar un comentario