|
ServerTune.comの掲載記事にある説明では、今回の手口では不正操作を受けたサーバにルートキットの一種がインストールされており、それが正規のシステムバイナリから感染バージョンへの置き換え操作をするとされている。そしてこれらのシステムがブートされると、感染したバイナリが実行されてJavaScriptペイロードがダイナミックに生成されるが、これがサイト訪問者に対してランダムかつ間欠的に接触を図ることになる。このJavaScript型マルウェアが感染時の窓口として利用しているのは、サイト訪問者のマシンにあるWindows、QuickTime、Yahoo! Messengerの脆弱性である。
問題のルートキットを検出する方法ないし、感染の確認されたサーバの洗浄法についてアドバイスが得られないかをApache Software Foundationに問い合わせてみたが、Apacheのセキュリティ対策チームに属するMark Cox氏から得られたのは、「現状で攻撃者側がサーバ群のルートアクセスを得た方法の詳細はつかみ切れていませんが、同時にApache HTTP Serverに潜む脆弱性に起因していることを示す証拠も得られていません」という回答である。
Linuxの最大手ベンダであるRed Hatにも同様の問い合わせをしたものの、同セキュリティ対策チームから得られた返答は、「現状では感染したマシンにアクセスしたことはなく、問題のルートキットを検出可能なツールについて何らかの助言を出せる状態にありません」というものであった。
ホスティング企業の運用サイト群をクライアント側で管理するcPanelというツールの開発元から出されているセキュリティリリースでは、問題のルートキットがインストールされた場合に実行される処理および、個々のサーバで感染をチェックする2つの方法が解説されている。
![[RSS]](http://static.sourceforge.jp/ic/feed-14x14.png "Security RSS"){kind=small}