Вирусные аналитики Sophos предупреждают о внезапном всплеске числа зараженных
вредоносным скриптом Gumblar веб-страниц, в результате которого эта опасная
программа возглавила список самых распространенных сетевых угроз. На долю
эксплоита Gumblar (так по имени вредоносного сайта-источника называется Troj/JSRedir-R)
приходится 42% от общего числа всех сегодняшних инфекций. Предыдущий лидер, Mal/Iframe-F,
со своими семью процентами теперь кажется просто карликом.
По словам Грэхема Клули из Sophos, JSRedir-R обычно обнаруживается на вполне
законных веб-сайтах в виде скрытого JavaScript, без ведома пользователя
загружающего вредоносный контент со сторонних ресурсов, в первую очередь – с
gumblar.cn.
Метод обфускации, используемый Gumblar, крайне прост, и состоит в замене
буквенных обозначений их шестнадцатеричными аналогами. Так, вместо "пробела"
используется "%20". В конце скрипта имеется функция замены % на произвольный
символ.
Вариантов скрипта имеется великое множество, зачастую обнаружить его можно
прямо за тегом "body" в скомпрометированном документе HTML. Все файлы подобного
рода указывают на внесенный в черный список Google сайт gumblar.cn. Поскольку
скрипт обнаруживают на веб-сайтах, использующих самые разные PHP-приложения,
отнести его распространение к какой-то одной уязвимости нельзя. Скорее всего,
отправной точкой здесь служат скомпрометированные данные авторизации FTP,
Например, один из вирусных аналитиков Sophos связывает заражение с PHPMod-A
Trojan, который также меняет уровень доступа к директориям веб-серверов и
размещает в каталоге "images" файл image.php.
Интересно также, что эксплоит поражает файлы разных типов, а код его при этом
неодинаков. Например, в js-файле это будет один код, а в php – другой.
