Gumblar — новая угроза в Сети

Вирусные аналитики Sophos предупреждают о внезапном всплеске числа зараженных вредоносным скриптом Gumblar веб-страниц, в результате которого эта опасная программа возглавила список самых распространенных сетевых угроз. На долю эксплоита Gumblar (так по имени вредоносного сайта-источника называется Troj/JSRedir-R) приходится 42% от общего числа всех сегодняшних инфекций. Предыдущий лидер, Mal/Iframe-F, со своими семью процентами теперь кажется просто карликом.

По словам Грэхема Клули из Sophos, JSRedir-R обычно обнаруживается на вполне законных веб-сайтах в виде скрытого JavaScript, без ведома пользователя загружающего вредоносный контент со сторонних ресурсов, в первую очередь – с gumblar.cn.

Метод обфускации, используемый Gumblar, крайне прост, и состоит в замене буквенных обозначений их шестнадцатеричными аналогами. Так, вместо «пробела» используется «%20». В конце скрипта имеется функция замены % на произвольный символ.

Вариантов скрипта имеется великое множество, зачастую обнаружить его можно прямо за тегом «body» в скомпрометированном документе HTML. Все файлы подобного рода указывают на внесенный в черный список Google сайт gumblar.cn. Поскольку скрипт обнаруживают на веб-сайтах, использующих самые разные PHP-приложения, отнести его распространение к какой-то одной уязвимости нельзя. Скорее всего, отправной точкой здесь служат скомпрометированные данные авторизации FTP.

Например, один из вирусных аналитиков Sophos связывает заражение с PHPMod-A Trojan, который также меняет уровень доступа к директориям веб-серверов и размещает в каталоге «images» файл image.php. Интересно также, что эксплоит поражает файлы разных типов, а код его при этом неодинаков. Например, в js-файле это будет один код, а в php – другой.