Троян
Gumblar, чья доля среди веб-угроз составила недавно 42%, снова
видоизменился. Домен gumblar.cn, имевший московскую "прописку", больше
не отвечает, поэтому киберпреступники, стоящие за этим трояном,
разработали его новую версию.
Домен gumblar.cn использовался JavaScript-кодом,
подгружающимся при просмотре зараженных веб-страниц, для загрузки на
компьютер пользователя вредоносного ПО. Поскольку он уже не действует,
дальнейшее распространение этой версии трояна приостановлено.
Однако злоумышленники не собираются сдаваться: новая модификация
трояна взаимодействует с другим доменом — martuz.cn, зарегистрированным
на некоего Чена (Chen), причём сам сервер находится в Великобритании.
Во многом эта версия схожа с предыдущей, но отличается отт нее более
сильной защитой.
Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он
и раньше скрывался при помощи замены части символов их цифровыми
кодами, но теперь, даже если скрипт декодировать, поиск строки типа
"martuz.cn" ничего не даст. Всё очень просто: строка с именем
загрузочного домена в скрипте случайным образом разбивается на две
(например, "martu"+"z.cn" или "mart"+"uz.cn").
Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome,
который пользуется глобальными "чёрными списками" для распознавания
вредоносного ПО, после чего выдаёт соответствующее предупреждение. С
последней модификацией такой способ не пройдёт: при просмотре
странички, зараженной Martuz-модификацией трояна, в Google Chrome
попытки подгрузить вредоносный код не производится, и браузер не выдает
предупреждение.
Впрочем, как верно ,
если сайт уже проиндексирован поисковиком Google и на нём были
обнаружены зараженные страницы, веб-мастер может запустить поиск всех
страниц своего сайта. Каждая зараженная страничка в результатах запроса
помечается дополнительной ссылкой "Этот сайт может нанести вред вашему
компьютеру".
