گزارشات اولیه نشان می داد که بدافزار Linux/Cdorked سرورهای Apache را به روش نامشخصی آلوده کرده و مراجعه کنندگان به این سرور را به سایت های مخرب خاصی هدایت می کند. اکنون پس از یک هفته، گزارشات جدیدی دریافت شده که همین رفتار را بر روی سرورهای وب از نوع Nginx و Lighttpd نیز نشان می دهد.
بر اساس آمارهای جمع آوری شده، حدود 400 سرور وب آلوده به بدافزار Linux/Cdorked تا به حال شناسایی شده اند. در بین این سرورهای آلوده، 50 سرور میزبانی سایت هایی را بر عهده دارند که در بین یکصد هزار سایت پر بازدید کننده جهان قرار می گیرند.
هنوز به طور دقیق نحوه آلودگی و انتشار بدافزار Linux/Cdorked مشخص نشده است. به طور یقین این بدافزار قابلیت “خود تکثیری” را ندارد و همچنین از هیچ نقطه ضعفی برای انتشار خود سوء استفاده نمی کند.
بر اساس مشاهدات گزارش شده، بدافزار Linux/Cdorked از زمستان سال گذشته فعال بوده ولی سعی فراوانی داشته تا به شیوه های مختلف مخفی باقی بماند و توجه ابزارهای امنیتی را به خود جلب نکند.
یکی از شیوه های جالبی که این بدافزار برای پاک کردن ردپاهای خود به کار می برد، انجام بسیاری از عملیات بدافزار در حافظه دستگاه آلوده است. بدین ترتیب ردپایی از خود بر روی دیسک سخت به جا نمی گذارد. همچنین دستورات ارسالی از طرف گردانندگان این بدافزار، بر روی سرورهای Apache ثبت (Log) نمی شود.
با این حال، بدافزار Linux/Cdorked یک تغییر جزئی بر روی دیسک سخت ایجاد می کند که برای شناسایی دستگاه آلوده کافیست.
زمانی که این بدافزار بازدید کنندگان را به سایت های خاصی هدایت می کند، ابزار مخرب Black hole Exploit Kit از روی این سایت ها به اجرا در آمده و سیستم قربانی را برای شناسایی نقاط ضعف امنیتی جستجو می کند.
هدایت بازدید کنندگان به سایت های مخرب فقط در مرورگرهای IE و Firefox بر روی سیستم های عامل XP، Win 7 و Vista اتفاق می افتد.