Gumblar – самая распространенная угроза в Сети

276
.
╭∩╮ (`-`) ╭∩╮
Тут (да и на многих форумах) уже не раз писали про проблему, что мол в коде страниц появился чужой код.
Вот, сегодня в онлайн журнале Хакер была статья про это, щас ее скопипастю.
.
╭∩╮ (`-`) ╭∩╮
Вирусные аналитики Sophos предупреждают о внезапном всплеске числа зараженных вредоносным скриптом Gumblar веб-страниц, в результате которого эта опасная программа возглавила список самых распространенных сетевых угроз. На долю эксплоита Gumblar (так по имени вредоносного сайта-источника называется Troj/JSRedir-R) приходится 42% от общего числа всех сегодняшних инфекций. Предыдущий лидер, Mal/Iframe-F, со своими семью процентами теперь кажется просто карликом.

По словам Грэхема Клули из Sophos, JSRedir-R обычно обнаруживается на вполне законных веб-сайтах в виде скрытого JavaScript, без ведома пользователя загружающего вредоносный контент со сторонних ресурсов, в первую очередь – с gumblar.cn.

Метод обфускации, используемый Gumblar, крайне прост, и состоит в замене буквенных обозначений их шестнадцатеричными аналогами. Так, вместо "пробела" используется "%20". В конце скрипта имеется функция замены % на произвольный символ.

Вариантов скрипта имеется великое множество, зачастую обнаружить его можно прямо за тегом "body" в скомпрометированном документе HTML. Все файлы подобного рода указывают на внесенный в черный список Google сайт gumblar.cn. Поскольку скрипт обнаруживают на веб-сайтах, использующих самые разные PHP-приложения, отнести его распространение к какой-то одной уязвимости нельзя. Скорее всего, отправной точкой здесь служат скомпрометированные данные авторизации FTP, Например, один из вирусных аналитиков Sophos связывает заражение с PHPMod-A Trojan, который также меняет уровень доступа к директориям веб-серверов и размещает в каталоге "images" файл image.php.

Интересно также, что эксплоит поражает файлы разных типов, а код его при этом неодинаков. Например, в js-файле это будет один код, а в php – другой.

(По материалам журнала Хакер)
.
Heiliger Michail
че кого делать если уже поймал этот вирус? может ли он появиться на сайте если я вообще в аккаунт не захожу с компа?
Всего: 3