Foi criado o primeiro vírus capaz de infectar servidores Apache vulneráveis. Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper, além de outros nomes, o worm se aproveita do bug chamado "chunked encoding", recentemente descoberto no Apache.
O bug atinge uma funcionalidade do servidor responsável pela codificação de blocos de dados ("chunked encoding"), permitindo a execução de códigos arbitrários ou ataques de negação de serviço na máquina afetada.
Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa um escalpo", tortura que foi comum entre os índios Apache) é capaz de instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam, rastrear outras máquinas vulneráveis, sobrecarregar e degradar a performance da máquina atingida.
O Scalper foi projetado para se disseminar em servidores Apache rodando em sistema operacional FreeBSD, mas os especialistas avisam que o worm pode ser adaptado para funcionar em outros sistemas. A Symantec, por exemplo, informa que já identificou duas variantes do vírus. Após ganhar acesso ao servidor, o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus codificado em UUEncode (formato universal para transferência de arquivos entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então deletado.
Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e passa a rastrear outros servidores vulneráveis em redes de Classe A, segundo a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a 223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto, estão na classe C. Isto não é motivo para se despreocupar, pois como já comentado o código do vírus pode ser modificado.
Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja FreeBSD, as tentativas de ataque ficarão registradas e poderão ser detectadas pelos administradores.
A backdoor instalada na máquina permite que o worm seja controlado à distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a todos os endereços de e-mail encontrados no servidor infectado; executar muitas requisições de acesso à porta 80 (padrão para Web sites), o que degrada a performance dos servidores; e permitir o acesso não-autorizado à máquina, com a conseqüente execução de programas arbitrários.
De acordo com a F-Secure, os programas executados a partir da backdoor possuem os mesmos privilégios que os executados por um usuário do servidor. É possível ainda transformar a máquina infectada num "zumbi", e usá-la para lançar ataques de negação de serviço a outros servidores.
O worm não modifica as configurações do sistema e pode ser detectado na lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o comando "killall -9 .a".
Várias empresas antivírus já possuem vacinas contra o Scalper, que é considerado de baixo a médio risco, por enquanto. No entanto, o programador Domas Mituzas, da empresa lituana Microlink Systems — a primeira pessoa a detectar, na sexta-feira, a atividade do vírus — acredita que a praga esteja se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os comentários estavam em italiano, portanto ele pode vir de qualquer parte do mundo", comentou em uma entrevista à CNet.
Pela experiência já adquirida com dois outros worms que infectaram centenas de milhares de servidores — o Code Red e o Nimda — o melhor é se prevenir o quanto antes. Para isto, basta fazer a atualização do Apache no endereço www.apache.org/dist/httpd/. A atualização impede que o servidor seja contaminado, mas não impede que sofra ataques de negação de serviço vindo de outras máquinas infectadas.