Gumblar – новий ворог

Минулої середи, Sophos Онур Komili дослідник повідомив, що Gumblar, також відомий як Troj / JSRedir-R, були ревом № 1 місце серед найбільш поширених інфекцій в Інтернеті – зазначивши, що це в шість разів частіше, ніж наступна найближча загроза, по крайней близько 42 відсотків усіх виявлених Sophos.

Gumblar атака компрометує веб-сайтів через використання вкрадених облікових даних FTP, яка є однією з цілей легендарного Sinowal Trojan. Зламані сайти Потім зараження користувачів за допомогою вільні завантаження атака, заражаються через застарілих Adobe PDF і Flash Player вразливостей.

“Drive-By-Завантажити атаки набули широкого поширення за останні 18 місяців, і в даний час одним з основних інструментів для поширення шкідливого ПЗ і рекрутингові зомбі,” Аміхай Шульман, технічний директор компанії даних безпеки постачальника Imperva, сказав в електронній пошті InternetNews.com . «Ці атаки використовувати законні сайти для поширення шкідливого ПЗ, яке реально, розміщеного на контрольовані зловмисником сервера.”

Після того, як комп’ютер успішно заражений, шкідливий намагається перенаправити Google (NASDAQ: GOOG) результатів пошуку, щоб вказати на шкідливі Ладена і фішинг веб-сайтів.

“В результаті, є експоненціальне зростання цих компромісів – як більше жертв заражені зустрічаючи скомпрометовані сайту, кількість зламаних сайтів також збільшується і, отже, більше відвідувачів піддаються,” Landesman написали.

“Користувач не бачить, що це відбудеться … і фільтрації URL-адрес і чорні не допоможе,” Саманта Мадрид, продакт-менеджер веб-безпеки продуктів Cisco, сказав InternetNews.com. “Ці заражені сайти і раніше законний і атаки ловить людей зненацька.”

“Веб-сайт складається з 150 або 160 об’єктів, і атака додає ще один інгредієнт,” Мадрид сказав. “Свою присутність мало.”

Після того, як заражені веб-сайти були прибрані, Gumblar почав замінювати оригінальні шкідливого коду з кодом на динамічно генеруються JavaScript, що робить його важким для інструментів безпеки для його ідентифікації. Нападники також змінили домен martuz.cn від вихідної області, яка була gumblar.cn, китайська домен, пов’язаний з російською та латиською IP адресатом. Як сказав ScanSafe, обидва домену були закриті.

Щоб дізнатися, якщо комп’ютер заражений:

1) Знайдіть sqlsodbc.chm в папці системи Windows (за умовчанням в Windows XP, розташування C: \ Windows \ System32 \);

2) одержувати Sha1 встановленої sqlsodbc.chm. FileAlyzer це безкоштовний інструмент, який може бути використаний для отримання SHA1 з файлу;

3) порівняти отримані Sha1 до списку розташований на блозі ScanSafe STAT;

4) Якщо SHA1 і відповідні розмір файлу не збігається з парою на список літератури, то це може бути ознакою інфекції Gumblar.

Спільний знаменник у Gumblar встановлено шкідливе ПЗ на комп’ютери жертв в тому, що він змінює sqlsodbc.chm, файл Windows за замовчуванням. З антивірусів трохи абияк, один хороший метод, щоб перевірити на інфекцію полягатиме в забезпеченні встановленого sqlsodbc.chm не була змінена.

Швидке зцілення Gumblar є ефективним інструментом для усунення Gumblar хробака.