Une nouvelle porte dérobée (« backdoor ») utilisant un Apache httpd modifié, nommée Linux/Cdorked.A, a été détectée par ESET et Sucuri. L’intérêt de cette porte dérobée est qu'elle est très évoluée et se dissimule très bien, rendant difficile sa découverte. Seul le fichier binaire httpd (le démon Apache) est modifié, et toutes les informations du logiciel malveillant (« malware ») sont stockées en mémoire partagée. La configuration du logiciel malveillant et ses ordres sont envoyés par des requêtes HTTP GET rendues peu lisibles, mais surtout non-journalisées par Apache.
Ce logiciel malveillant redirige les utilisateurs vers des sites malveillants utilisant le paquet d'exploitation Blackhole, pour infecter le client. Après redirection, un cookie est enregistré sur le poste, pour ne plus rediriger l'utilisateur lors des prochaines visites. Ce cookie est aussi installé si la page demandée par l'utilisateur ressemble à une page d'administration (si l'URL contient des mots comme admin, webmaster, support) pour ne pas rediriger un potentiel administrateur du site afin de ne pas l'alerter.
NdM : merci à xenom pour son journal.