Вирусные аналитики зафиксировали интересный метод борьбы с разбором кодов эксплойтов

Эксперты из компании Avast обнаружили необычный способ распространения троянов на зараженных сайтах. Принцип распространения вполне традиционен. При попытке зайти на ресурс smcitizens.com, пользователь получал целый набор эксплойтов.

В результате исследования было установлено, что на сайте размещена связка, которая отправляет пользователей на внешние сайты. Среди прочих были размещены достаточно популярные наборы эксплойтов Black hole exploit kit и Crimepack. Эксплойты, собранные в последнем архиве направлены на уязвимости в платформе Java и незаметно загружают на компьютер жертвы Java, PDF и flesh файлы, содержащие нежелательный контент.

Данная атака ничем не отличалась бы от подобных, если бы не специфика кода, размещенного на ресурсе. Дело в том, что при попытке посещения, исследователи увидели единственное сообщение «GOTCHA!».

Вирусмейкеры используют базу IP адресов и если IP посетителя совпадает с имеющимся в базе, то в ответом на его запрос будет «GOTCHA!». Это позволяет скрывать код от антивирусных аналитиков или любопытных пользователей, пытающихся узнать их методы заражения.