Появилась новая версия трояна Gumblar

image

Теги: троян, JavaScript

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Во многом новая версия схожа с предыдущей, но отличается от нее более сильной защитой.

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Домен gumblar.cn, имевший московскую "прописку", больше не отвечает, поэтому киберпреступники, стоящие за этим трояном, разработали его новую версию.

Домен gumblar.cn использовался JavaScript-кодом, подгружающимся при просмотре зараженных веб-страниц, для загрузки на компьютер пользователя вредоносного ПО. Поскольку он уже не действует, дальнейшее распространение этой версии трояна приостановлено.

Однако злоумышленники не собираются сдаваться: новая модификация трояна взаимодействует с другим доменом — martuz.cn, зарегистрированным на некоего Чена (Chen), причём сам сервер находится в Великобритании. Во многом эта версия схожа с предыдущей, но отличается от нее более сильной защитой.

Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он и раньше скрывался при помощи замены части символов их цифровыми кодами, но теперь, даже если скрипт декодировать, поиск строки типа "martuz.cn" ничего не даст. Всё очень просто: строка с именем загрузочного домена в скрипте случайным образом разбивается на две (например, "martu"+"z.cn" или "mart"+"uz.cn").

Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome, который пользуется глобальными "чёрными списками" для распознавания вредоносного ПО, после чего выдаёт соответствующее предупреждение. С последней модификацией такой способ не пройдёт: при просмотре странички, зараженной Martuz-модификацией трояна, в  Google Chrome попытки подгрузить вредоносный код не производится, и браузер не выдает предупреждение.

Впрочем, как верно отмечается в блоге We Watch Your Website, если сайт уже проиндексирован поисковиком Google и на нём были обнаружены зараженные страницы, веб-мастер может запустить поиск всех страниц своего сайта. Каждая зараженная страничка в результатах запроса помечается дополнительной ссылкой "Этот сайт может нанести вред вашему компьютеру".



или введите имя

CAPTCHA
Дядя Женя
21-05-2009 09:25:30
Только я вас всех нае... ой, то есть спасу!
0 |
29720
21-05-2009 09:57:39
Оговорки по фрейду? xD ***Удлиненный удлинитель***
0 |
68780
21-05-2009 17:18:47
использовался JavaScript-кодомJavaScript не нужен. Кстати, секлаб, верните нормальную версию формы комментариев, которая без JS нормально работает, а то достало снижать уровень безопасности браузера при заходе на "посрать в каментах". Несекурно это всё да и нахрен не нужно
0 |
66466
21-05-2009 18:00:03
+100500, задолбало это повальное увлечение джаваскриптами - гомно технология. 66466 - Капча в првый раз такая крутая, наверное не с проста
0 |
Lokki
22-05-2009 07:01:07
+100500 От и меня напрягает эта любовь к скриптам даже на секлабе!
0 |
px
22-05-2009 15:38:15
меня вообще напрягает мировая увлеченность жабоскриптами. насчет секлаба -верно. неудобно в на noscript нажимать.
0 |
xxx
24-05-2009 01:39:30
+48960 Полностью поддерживаю. За каким JS тут вообще появился...
0 |
25-05-2009 09:52:09
Без скриптов Gumblar неудобно подсаживать.
0 |