Gumblar, также известная как JSRedir-R — это троянская программа, которая использует пробелы системы безопасности в дополнительных модулях для браузера, таких как PDF или Adobe Flash. Gumblar манипулирует результатами поисковых запросов системы Google search.
Заражение
Вирус внедряется в интернет-браузер инфицированного компьютера и манипулирует результатами поисковых запросов системы Google. Результаты поиска, обработанные Gumblar, указывают на веб-сайты, которые контролируются взломщиком. Стоит жертве кликнуть по одному из управляемых результатов поиска, она отправляется на подготовленный веб-сайт, на котором могут содержаться дальнейшие угрозы.
Наряду с описанными манипуляциями результатами поиска, в них также содержится компонент, который отслеживает данные доступа к FTP-серверам. Взломщики получают доступ к веб-серверам и заражают их с помощью FTP-доступа для дальнейшего распространения вредителя. Если жертва получает доступ к файлам собственной веб-страницы через FTP для того, чтобы обработать содержание или проверить их на возможность инфицирования, вредитель прикрепляет коварный скрипт-код. Посетители веб-сайтов, инфицированных таким образом, могут быть также заражены. Вредители появляются под дополнительным именем «Geno» в Японии и в большом количестве инфицируют популярные домены.
Кроме того, Gumblar устанавливает на повреждённой системе бэкдор, который позволяет взломщику удалённо управлять повреждённой системой и при этом создаёт основу для создания ботнет-сети.
Описанное взаимодействие поражённых страниц, на которых у посетителей похищаются FTP-доступы к другим веб-сайтам, объясняет массовый рост распространения Gumblar. По оценкам экспертов безопасности инфицировано уже больше 3000 доменов. Данная цифра постоянно возрастает; скрытые цифры могут быть во много раз больше.
На основе определённых параметров повреждённой системы каждая жертва получает индивидуальную версию вредителя. Такие китайские домены, как gumblar.cn и martuz.cn, с которых Gumblar до этого времени загружал вредоносный код, больше недоступны. Так как в процессе инфицирования возникло большое количество бэкдоров, рано говорить об устранении угрозы.[1]
Варианты Gumblar
Различные компании используют различные названия для gumblar и варианты. Первоначально, вирус соединялся с доменом gumblar.cn, но этот сервер был позже закрыт. Тем не менее, многие вредоносные варианты появились после того, как их подключения к различным серверам с помощью вредоносного IFRAME кода. Все разновидности Gumblar могут быть квалифицированы как IFRAME вирус.
Gumblar повторно появлялся в январе 2010, начав кражи FTP логинов и паролей а также заражая HTML, PHP и Javascript файлы веб-серверов, чтобы содействовать собственному распространению.[2]
Ссылки
См. также
Хакерские атаки 2010-х |
---|
Крупнейшие атаки | |
---|
Группы и сообщества хакеров | |
---|
Хакеры-одиночки | |
---|
Обнаруженные критические уязвимости |
- Heartbleed (SSL, 2014)
- Bashdoor (Bash, 2014)
- POODLE (SSL, 2014)
- Rootpipe[англ.] (OSX, 2014)
- JASBUG[англ.] (Windows, 2015)
- Stagefright[англ.] (Android, 2015)
- DROWN[англ.] (TLS, 2016)
- Badlock (SMB/CIFS, 2016)
- Dirty COW (Linux, 2016)
- EternalBlue (SMBv1, 2017)
- DoublePulsar (2017)
- KRACK (2017)
- ROCA[англ.] (2017)
- BlueBorne (2017)
- Meltdown (2018)
- Spectre (2018)
- BlueKeep (2019)
|
---|
Компьютерные вирусы | |
---|
|