Un module Apache malveillant qui fait installer ZeuS

ZeuS/Zbot encore et toujours…

Après la découverte d’un rootkit basé sur nginx dévoilé sur FD, voici que Eset découvre un malware Linux du même style sous la forme d’un module Apache.

Le programme est bien pensé. Son but est d’injecter dans les pages servies par le serveur web des scripts provoquant l’installation de ZeuS.

Le malware est légèrement obfusqué et fait tout pour passer inaperçu.
Afin de ne pas éveiller les soupçons d’un admin, il surveille les connexions SSH et ne renvoit pas les pages si l’internaute s’est connecté précédemment à SSH.
Il marque aussi les visiteurs en donnant à chacun un cookie, évitant ainsi de lancer plusieurs fois une infection sur une même machine.

Plus d’infos sur le blog d’ESET.