Сегодня: 26.11.2024 - 07:23:24.
| Автор |
Сообщение |
quentin •
писатель
Тем создано: 90
Сообщений: 1962
Репутация: 2001 -+
Предупреждения: 1 | В теме "Игрушки оптом" размещена ссылка, которая ведёт на сайт,зараженный загрузочным трояном Trojan-Downloader.JS.Gumblar.a . Информации по этому зверю я не нашёл, но не думаю, что он будет ам полезен, дорогие авторы и посетители Проза-форума.
Убедительная просьба не соваться туда "проверить информацию" с антивирусами, не имеющими постоянного автоматического обновления.
P.S.: Я идентифицировал заразу Каспером №7. |
|
| Сообщение # 1. |
Отправлено: 07.06.2009 - 10:09:12 |
 |
quentin •
писатель
Тем создано: 90
Сообщений: 1962
Репутация: 2001 -+
Предупреждения: 1 | вот и нашлась информация по трояну:
http://antiskuka.com/fromusers/633-v-seti-zavelsja-cherv-gryzushhijj-sajjty.html
Специал исты по компьютерной безопасности компании ScanSafe предупреждают о стремительном росте заражений компьютерным вирусом Gumblar. Червь атакует сайты и прописывает в их коде скрипт, который заражает компьютеры посетителей сайта.
Как сообщает PCWorld, такая схема распространения приносит злоумышленникам впечатляющие результаты: 42 процента всех атак, зафиксированных в Интернете на этой неделе, связаны с Gumblar, а недельный рост активности червя составил 188 процентов.
Gumblar – самая распространенная угроза в Сети
18.05.2009
Вирусные аналитики Sophos предупреждают о внезапном всплеске числа зараженных вредоносным скриптом Gumblar веб-страниц, в результате которого эта опасная программа возглавила список самых распространенных сетевых угроз. На долю эксплоита Gumblar (так по имени вредоносного сайта-источника называется Troj/JSRedir-R) приходится 42% от общего числа всех сегодняшних инфекций. Предыдущий лидер, Mal/Iframe-F, со своими семью процентами теперь кажется просто карликом.
По словам Грэхема Клули из Sophos, JSRedir-R обычно обнаруживается на вполне законных веб-сайтах в виде скрытого JavaScript, без ведома пользователя загружающего вредоносный контент со сторонних ресурсов, в первую очередь – с gumblar.cn.
Метод обфускации, используемый Gumblar, крайне прост, и состоит в замене буквенных обозначений их шестнадцатеричными аналогами. Так, вместо "пробела" используется "%20". В конце скрипта имеется функция замены % на произвольный символ.
Вариантов скрипта имеется великое множество, зачастую обнаружить его можно прямо за тегом "body" в скомпрометированном документе HTML. Все файлы подобного рода указывают на внесенный в черный список Google сайт gumblar.cn. Поскольку скрипт обнаруживают на веб-сайтах, использующих самые разные PHP-приложения, отнести его распространение к какой-то одной уязвимости нельзя. Скорее всего, отправной точкой здесь служат скомпрометированные данные авторизации FTP, Например, один из вирусных аналитиков Sophos связывает заражение с PHPMod-A Trojan, который также меняет уровень доступа к директориям веб-серверов и размещает в каталоге "images" файл image.php.
Интересно также, что эксплоит поражает файлы разных типов, а код его при этом неодинаков. Например, в js-файле это будет один код, а в php – другой.
Разновидности
22 мая 2009
Trojan-Downloader.JS.Gumblar.i 23:51
Trojan-Downloader.JS.Gumblar.h 23:48
Trojan-Downloader.JS.Gumblar.g 23:47
Trojan-Downloader.JS.Gumblar.f 13:54 04:21
Trojan-Downloader.JS.Gumblar.e 13:51 04:21
Trojan-Downloader.JS.Gumblar.d 13:49 04:21
Trojan-Downloader.JS.Gumblar.c 13:46 04:21
Trojan-Downloader.JS.Gumblar.b 13:42 04:21
21 мая 2009
Trojan-Downloader.JS.Gumblar.a 14:41 19:14
______________________________________________________________
|
|
| Сообщение # 2. |
Отправлено: 07.06.2009 - 10:25:48 |
|
quentin •
писатель
Тем создано: 90
Сообщений: 1962
Репутация: 2001 -+
Предупреждения: 1 | а вот ещё:
с сайта
http://www.securitylab.ru/news/379957.php
Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Домен gumblar.cn, имевший московскую "прописку", больше не отвечает, поэтому киберпреступники, стоящие за этим трояном, разработали его новую версию.
Домен gumblar.cn использовался JavaScript-кодом, подгружающимся при просмотре зараженных веб-страниц, для загрузки на компьютер пользователя вредоносного ПО. Поскольку он уже не действует, дальнейшее распространение этой версии трояна приостановлено.
Однако злоумышленники не собираются сдаваться: новая модификация трояна взаимодействует с другим доменом — martuz.cn, зарегистрированным на некоего Чена (Chen), причём сам сервер находится в Великобритании. Во многом эта версия схожа с предыдущей, но отличается от нее более сильной защитой.
Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он и раньше скрывался при помощи замены части символов их цифровыми кодами, но теперь, даже если скрипт декодировать, поиск строки типа "martuz.cn" ничего не даст. Всё очень просто: строка с именем загрузочного домена в скрипте случайным образом разбивается на две (например, "martu"+"z.cn" или "mart"+"uz.cn").
Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome, который пользуется глобальными "чёрными списками" для распознавания вредоносного ПО, после чего выдаёт соответствующее предупреждение. С последней модификацией такой способ не пройдёт: при просмотре странички, зараженной Martuz-модификацией трояна, в Google Chrome попытки подгрузить вредоносный код не производится, и браузер не выдает предупреждение.
Впрочем, как верно отмечается в блоге We Watch Your Website, если сайт уже проиндексирован поисковиком Google и на нём были обнаружены зараженные страницы, веб-мастер может запустить поиск всех страниц своего сайта. Каждая зараженная страничка в результатах запроса помечается дополнительной ссылкой "Этот сайт может нанести вред вашему компьютеру".
|
|
| Сообщение # 3. |
Отправлено: 07.06.2009 - 10:26:37 |
|
Администратор запретил отвечать гостям на сообщения! Для регистрации пройдите по ссылке: зарегистрироваться
|
Поиск
Участники
Регистрация
Вход
