JavaScript-троян мутировал

20/05/2009 11:03

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Домен gumblar.cn, имевший московскую "прописку", больше не отвечает, поэтому киберпреступники, стоящие за этим трояном, разработали его новую версию, сообщается в блоге сервиса Unmask Parasites. Домен gumblar.cn использовался JavaScript-кодом, подгружающимся при просмотре зараженных веб-страниц, для загрузки на компьютер пользователя вредоносного ПО. Поскольку он уже не действует (по всей видимости, "хорошим парням" из антивирусных компаний удалось добиться прекращения его работы), дальнейшее распространение этой версии трояна приостановлено. Однако злоумышленники не собираются сдаваться: новая модификация вредоноса взаимодействует с другим доменом — martuz.cn, зарегистрированным на некоего Чена (Chen), причём сам сервер находится в Великобритании. Во многом эта версия схожа с предыдущей, но имеются и некоторые отличия, в первую очередь защитного свойства. Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он и раньше "шифровался" при помощи замены части символов их цифровыми кодами, но теперь даже если скрипт декодировать, поиск строки типа "martuz.cn" ничего не даст. Всё очень просто: строка с именем загрузочного домена в скрипте случайным образом разбивается на две (например, "martu"+"z.cn" или "mart"+"uz.cn"). Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome, который пользуется глобальными "чёрными списками" для распознавания заразы, после чего выдаёт соответствующее предупреждение. С последней модификацией такой "ход конём" не пройдёт: при просмотре странички, зараженной Martuz-модификацией трояна, в "Хроме" попытки подгрузить вредоносный код не производится, и браузер не бьёт в набат. (Это также говорит о том, что пользователям Google Chrome последняя инкарнация трояна не страшна.) Впрочем, как верно отмечается в блоге We Watch Your Website, если сайт уже проиндексирован поисковиком Google и на нём были обнаружены зараженные страницы, веб-мастер может запустить поиск всех страниц своего сайта (запрос типа "site:webplanet.ru"). Каждая зараженная страничка в результатах запроса помечается дополнительной ссылкой "Этот сайт может нанести вред вашему компьютеру". Остаётся только надеяться, что домен martuz.cn будет вырублен как можно быстрее. Хотя преступников это, конечно же, не остановит: зарегистрировать новый домен дело пары минут.
Источник