JavaScript-троян мутировал

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Домен gumblar.cn, имевший московскую «прописку», больше не отвечает, поэтому киберпреступники, стоящие за этим трояном, разработали его новую версию, сообщается в блоге сервиса Unmask Parasites.

Домен gumblar.cn использовался JavaScript-кодом, подгружающимся при просмотре зараженных веб-страниц, для загрузки на компьютер пользователя вредоносного ПО. Поскольку он уже не действует (по всей видимости, «хорошим парням» из антивирусных компаний удалось добиться прекращения его работы), дальнейшее распространение этой версии трояна приостановлено.

Однако злоумышленники не собираются сдаваться: новая модификация вредоноса взаимодействует с другим доменом — martuz.cn, зарегистрированным на некоего Чена (Chen), причём сам сервер находится в Великобритании. Во многом эта версия схожа с предыдущей, но имеются и некоторые отличия, в первую очередь защитного свойства.

Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он и раньше «шифровался» при помощи замены части символов их цифровыми кодами, но теперь даже если скрипт декодировать, поиск строки типа «martuz.cn» ничего не даст. Всё очень просто: строка с именем загрузочного домена в скрипте случайным образом разбивается на две (например, «martu»+»z.cn» или «mart»+»uz.cn»).