Троян Gumblar уходит от погони
Независимый эксперт по безопасности Денис Синегубко
Слабым местом Gumblar являлся единственный источник загрузки вредоносного кода на пользовательские машины: сперва это был домен gumblar .cn, затем martuz. cn. Когда, заразив десятки и даже сотни тысяч сайтов, Gumblar привлёк к себе повышенное внимание специалистов по киберзащите, эти домены быстро прикрыли, так что посещение зараженных сайтов стало неопасным.
Затишье было недолгим. Очень многие веб-мастера, несмотря на шумиху в прессе, не удосужились очистить зараженные сайты от бэкдоров (или же сделали это недостаточно качественно, поскольку Gumblar внедрял свой код в разные места). Многие не поменяли пароли к FTP. Так что у злоумышленников по сути в руках имелся приличный резерв сайтов, который можно было бы использовать заново — только чуть более изощрённо.
Так, наконец, и произошло. Среди изменений, которые претерпела новая версия Gumblar, ключевым является использование не одного источника для заражения клиентских компьютеров, а множества. Что более примечательно: код грузится не с доменов, зарегистрированных злоумышленниками, а с других зараженных сайтов - чего, как признаётся Синегубко, он никогда прежде не встречал.
На данный момент эксперт
Инфицирование компьютеров пользователей, как и прежде, производится за счёт эксплуатации тех или иных уязвимостей в ПО. Вредоносный код генерируется в зависимости от браузера и операционной системы. Синегубко проверил Internet Explorer версий 6 и 7, а также Firefox; кроме того, если попытаться зайти на зараженный сайт из-под Linux, то вернётся ошибка 404 — эта ОС злоумышленников не интересует.
Синегубко отмечает, что проще всего заражается система, в которой используется IE6: при помощи VBScript нехороший exe-шник тупо копируется в папку "Автозапуск". Напомним, что, даже хотя в самой Microsoft советуют отказаться от этого старья, им продолжает пользоваться больше четверти юзеров.
Злоумышленники также предприняли дополнительные меры для того, чтобы их действия было труднее обнаружить, а зараженные сайты — труднее вычистить. И всё же вычистить свой сайт от Gumblar вполне возможно, главное делать это тщательно и следуя