Исследователи ScanSafe предупреждают, что
зараза, подобно вирусной
эпидемии распространяющаяся по Всемирной паутине, делает из ничего не
подозревающих пользователей, посещающих скомпрометированные ресурсы, участников
ботнета, который служит для перенаправления результатов поисковых запросов
Google.
По данным ScanSafe, число пораженных этой инфекцией сайтов за последнюю
неделю почти утроилось. Мэри Лэндсмэн, с марта наблюдающая за процессом ее
распространения, сообщила, что зараженные сайты не исчезают как обычно, вскоре
после того, как они попадают в черные списки антивирусных программ и поисковых
систем, а их стремительный рост дает серьезный повод для беспокойства.
Код эксплоита уникален для каждого ресурса, что делает невозможным его
обнаружение до тех пор, пока кто-нибудь случайно не попадет на сайт. Запрятанный
в глубины исходных кодов и замаскированный Javascript выискивает уязвимости в
Adobe Flash и Reader на компьютерах посетителей и делает их частью ботнета,
манипулирующего результатами поисковых запросов Google. Это вредоносное
приложение также ищет на компьютере жертвы данные авторизации для FTP, чтобы
иметь возможность поразить еще больше веб-сайтов.
Целью ботнета, похоже, является перекачка рекламных денег из высокодоходных
франшиз Google. Вставляя рекламу и ссылки в определенные запросы, вредоносное ПО
заставляет пользователей видеть не те результаты, которые они могли бы увидеть в
обычном случае. Живучесть заражения говорит о серьезных ресурсах хакеров. Если
ранее код просто статически вставлялся в PHP и HTML, то сейчас после удаления
статических скриптов на сайты устанавливается динамически генерируемое
вредоносное ПО.
Отметим, что источником последнего Javascript является сайт gumblar.cn,
который имеет московский IP-адрес, указывающий на ukservers.com. Более подробную
информацию от ScanSafe можно найти
здесь и
здесь.