Показано с 1 по 1 из 1.

Троян Gumblar уходит от погони

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Троян Gumblar уходит от погони

    Независимый эксперт по безопасности Денис Синегубко предупреждает о появлении новой инкарнации Gumblar. Напомним, что весной этот вредонос наделал много шума, заразив при помощи краденных FTP-паролей множество сайтов, откуда инфекция распространялась уже на компьютеры обычных пользователей.

    Слабым местом Gumblar являлся единственный источник загрузки вредоносного кода на пользовательские машины: сперва это был домен gumblar .cn, затем martuz. cn. Когда, заразив десятки и даже сотни тысяч сайтов, Gumblar привлёк к себе повышенное внимание специалистов по киберзащите, эти домены быстро прикрыли, так что посещение зараженных сайтов стало неопасным.

    Затишье было недолгим. Очень многие веб-мастера, несмотря на шумиху в прессе, не удосужились очистить зараженные сайты от бэкдоров (или же сделали это недостаточно качественно, поскольку Gumblar внедрял свой код в разные места). Многие не поменяли пароли к FTP. Так что у злоумышленников по сути в руках имелся приличный резерв сайтов, который можно было бы использовать заново — только чуть более изощрённо.

    Так, наконец, и произошло. Среди изменений, которые претерпела новая версия Gumblar, ключевым является использование не одного источника для заражения клиентских компьютеров, а множества. Что более примечательно: код грузится не с доменов, зарегистрированных злоумышленниками, а с других зараженных сайтов - чего, как признаётся Синегубко, он никогда прежде не встречал.

    На данный момент эксперт обнаружил 150 таких источников, но этот список периодически пополняется. Всего же сайтов, чьё посещение грозит интернетчикам заражением, уже насчитано более 6000 тысяч — но и эта цифра, судя по всему, далека от окончательной. http://blog.unmaskparasites.com/2009...-zombies/#pool

    Инфицирование компьютеров пользователей, как и прежде, производится за счёт эксплуатации тех или иных уязвимостей в ПО. Вредоносный код генерируется в зависимости от браузера и операционной системы. Синегубко проверил Internet Explorer версий 6 и 7, а также Firefox; кроме того, если попытаться зайти на зараженный сайт из-под Linux, то вернётся ошибка 404 — эта ОС злоумышленников не интересует.

    Синегубко отмечает, что проще всего заражается система, в которой используется IE6: при помощи VBScript нехороший exe-шник тупо копируется в папку "Автозапуск". Напомним, что, даже хотя в самой Microsoft советуют отказаться от этого старья, им продолжает пользоваться больше четверти юзеров.

    Злоумышленники также предприняли дополнительные меры для того, чтобы их действия было труднее обнаружить, а зараженные сайты — труднее вычистить. И всё же вычистить свой сайт от Gumblar вполне возможно, главное делать это тщательно и следуя инструкциям.http://blog.unmaskparasites.com/2009...mbies/#removal


    webplanet.ru/news/

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Gumblar и прочие нерадости
    От timur_v в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.06.2009, 00:12
  2. gumblar.cn
    От Kat_AS в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.06.2009, 21:31
  3. нашел такого вида трояна gumblar.cn, что за троян?
    От Djom в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 20.05.2009, 02:38
  4. Ответов: 1
    Последнее сообщение: 17.05.2009, 16:36
  5. Ответов: 7
    Последнее сообщение: 15.04.2009, 00:04

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01178 seconds with 16 queries