Nieznany dotychczas rootkit infekuje linuksowe webserwery i wstrzykuje złośliwy kod w witryny przechowywane na tych serwerach. Rootkit dodaje tak iframe do każdej witryny obsługiwanej przez zainfekowaną maszynę. Jest on nawet obecny w stronach z komunikatami błędów. Każdy, kto odwiedzi taką stronę jest atakowany przez złośliwą witrynę umieszczoną w iframe. Zwykle cyberprzestępcy umieszczają w niej zestawy złośliwych narzędzi w rodzaju BlackHole, które poszukują znanych dziur we Flashu, Javie i innych aplikacjach zainstalowanych na komputerze użytkownika. Gdy taka dziura zostanie odnaleziona, dokonywana jest infekcja komputera ofiary. Wspomniany na wstępie rootkit został nazwany Rootkit.Linux.Snakso.a. Jest on dostosowany do atakowania 64-bitowych systemów z jądrem w wersji 2.6.32-5.
Dodaje on do skryptu /etc/rc.local linię line insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko, dzięki czemu szkodliwy kod jest uruchamiany wraz z systemem. Po starcie rootkit określa adresy pamięci różnych funkcji do których się dołącza, co pozwala mu ukryć są obecność i manipulować połączeniami serwera.
Zdaniem specjalistów rootkit jest dziełem zaawansowanego początkującego hakera, który jeszcze nie ma dużego doświadczenia z linuksowym jądrem. Jego twórca prawdopodobnie pochodzi z Rosji.
źródło.ArcaBit.pl