Московский JavaScript-ботнет подделывает результаты гуглопоиска

Всё большее число веб-сайтов оказываются зараженными троянской программой, использующейся для фальсификации результатов поисковых запросов к сервису Google. Специалисты по кибербезопасности отмечают необычайно высокую скорость распространения этого трояна в сравнении с аналогами, сообщает The Register.

Речь идёт о вредоносном коде, который в компании ScanSafe называют Gumblar — по имени домена gumblar.cn, откуда закачивает дополнительную киберзаразу последняя версия этого троянца.

Впервые его активность была замечена около двух месяцев назад. Проникнув на компьютер пользователя через зараженный JavaScript-кодом сайт (путём эксплуатации уязвимостей в Adobe PDF и Adobe Flash), вредонос мониторил трафик, пытаясь выцепить из него логины и пароли FTP-доступа. Таким образом, владельцы веб-сайтов, подхватив заразу где-то в Сети, автоматически ставили под угрозу собственные странички.

Прибыль злоумышленники извлекали хитро: троянец следил за запросами от зараженного компьютера к поисковой системе Google с использованием браузера Internet Explorer и на лету подменял ссылки в результатах своими, приводя пользователей на другие вредоносные и мошеннические сайты.

Обычно такого рода схема пресекается сравнительно быстро. Поначалу так было и в этот раз - в компании Google, получив тревожный сигнал от ScanSafe, начали исключать зараженные сайты из результатов поиска, а владельцы этих сайтов принялись активно вычищать заразу со своих страничек.

Однако авторы троянца предприняли защитные меры. В начале мая они начали заменять старые скрипты на зараженных ими сайтах более хитрыми - для каждого сайта вредоносный JavaScript генерировался заново, что чрезвычайно затруднило работу по выявлению зараженных сайтов. Буквально за неделю их количество выросло на 188%.

В конце прошлой недели специалисты Sophos отметили, что доля Gumblar (Troj/JSRedir-R в терминологии этой компании) составляет 42% от общего числа вредоносов, заразивших веб-сайты.

Очистка сайтов от этого трояна — задача нетривиальная: мало просто сменить пароли и убрать вредоносный код со страниц, надо ещё проверить всевозможные конфигурационные файлы. В частности, было замечено, что Gumblar вносит изменения в .htaccess, добавляет в папки с иллюстрациями файл image.php и т.п. Это позволяет злоумышленникам заново захватить якобы вылеченный ранее сайт.

В ScanSafe также отмечают, что домен gumblar.cn расположен по московскому IP-адресу (первоначальная версия вредоноса обращалась к компьютеру в Латвии). Кроме того, последняя модификация Gumblar устанавливает бэкдор для связи с давно известным координирующим центром ботнетов.

Ранее "Лаборатория Касперского" сообщила, что по результатам первого квартала 2009 года популярность платформы JS для заражения через Интернет превысила популярность Win32 и вышла на первое место (40% заражений). "Пользователи, осуществляющие веб-серфинг с постоянно включенной поддержкой JavaScript, оказывают неоценимую помощь авторам вредоносных программ, значительно облегчая им поиск потенциальных жертв заражения. В настоящее время целесообразно включать поддержку JavaScript лишь для доверенных сайтов", полагают эксперты.


Игорь Крейн, Вебпланета

Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
Владелец WordPress покупает Tumblr за $3 млн. Шесть лет назад платформу оценивали в $1,1 млрдВладелец WordPress покупает Tumblr за $3 млн. Шесть лет назад платформу оценивали в $1,1 млрд
СБУ устранила последствия кибератаки на Черноморской ТРКСБУ устранила последствия кибератаки на Черноморской ТРК
Google рассказал, какие уроки вынес из последних сбоев в индексированииGoogle рассказал, какие уроки вынес из последних сбоев в индексировании
В Днепре запустили «Кабинет жителя». В нем нашли угрозу персональным даннымВ Днепре запустили «Кабинет жителя». В нем нашли угрозу персональным данным
Работники Google требуют отказа компании от сотрудничества с пограничными службами СШАРаботники Google требуют отказа компании от сотрудничества с пограничными службами США
Блок рекламы


Похожие новости

Из-за сбоя в Google у многих пользователей отображаются не все результаты поискаИз-за сбоя в Google у многих пользователей отображаются не все результаты поиска
Searchmetrics: Google Diversity Update всё же повлиял на результаты поискаSearchmetrics: Google Diversity Update всё же повлиял на результаты поиска
Квартальные результаты Alphabet не оправдали ожиданий Уолл-стритКвартальные результаты Alphabet не оправдали ожиданий Уолл-стрит
«No-click поведение» и другие результаты из опроса среди пользователей Google«No-click поведение» и другие результаты из опроса среди пользователей Google
Google: GA и Google Ads не влияют на органические результаты поискаGoogle: GA и Google Ads не влияют на органические результаты поиска
DuckDuckGo обновил результаты поиска по запросам, связанным с погодойDuckDuckGo обновил результаты поиска по запросам, связанным с погодой
Google обновил результаты поиска по автомобильным запросамGoogle обновил результаты поиска по автомобильным запросам
Google: высокие результаты на Web.dev не гарантируют улучшений в ранжированииGoogle: высокие результаты на Web.dev не гарантируют улучшений в ранжировании
Google тестирует расширенные результаты для мероприятий на десктопахGoogle тестирует расширенные результаты для мероприятий на десктопах
Google работает над багом Сети знаний, который позволяет искажать результаты поискаGoogle работает над багом Сети знаний, который позволяет искажать результаты поиска
Последние новости

Подгружаем последние новости