Gumblar - Gumblar
Gumblar злой JavaScript троянский конь файл, который перенаправляет пользователя Поиск Google, а затем устанавливает мошенническое программное обеспечение безопасности. Также известный как Troj / JSRedir-R[1] это ботнет впервые появился в 2009 году.
Инфекционное заболевание
Персональные компьютеры Windows
Заражение Gumblar.X широко распространено в системах под управлением более старых операционных систем Windows.[2] Посетители зараженного сайта будут перенаправлены на альтернативный сайт, содержащий другие вредоносные программы. Первоначально этим альтернативным сайтом был gumblar.cn, но с тех пор он переключился на множество доменов. Сайт отправляет посетителю зараженный PDF который открывается браузером посетителя или Acrobat Reader. Затем PDF-файл будет использовать известную уязвимость в Acrobat для получения доступа к компьютеру пользователя. Новые варианты Gumblar перенаправляют пользователей на сайты, на которых установлено поддельное антивирусное программное обеспечение.
Вирус найдет FTP-клиентов, таких как FileZilla и Dreamweaver и загрузить сохраненные пароли клиентов. Gumblar также включает неразборчивый режим на сетевой карте, позволяя прослушивать локальный сетевой трафик для получения сведений о FTP. Это один из первых вирусов, в которых реализован автоматизированный сетевой сниффер.
Серверы
Используя пароли, полученные от администраторов сайта, хост-сайт получит доступ к сайту через FTP и заразит этот сайт. Он будет загружать большие части веб-сайта и внедрять вредоносный код в файлы веб-сайта перед загрузкой файлов обратно на сервер. Код вставляется в любой файл, содержащий <body> теги, такие как файлы HTML, PHP, JavaScript, ASP и ASPx. Вставленный PHP-код содержит кодировку base64 JavaScript это заразит компьютеры, выполняющие код. Кроме того, некоторые страницы могут иметь встроенные фреймы вставил в них. Обычно код iframe содержит скрытые ссылки на вредоносные веб-сайты.
Вирус также изменит .htaccess и HOSTS, а также создайте файлы images.php в каталогах с именем images. Заражение не распространяется на сервер. Он заразит только те сайты на сервере, к которым у него есть пароли.
Варианты Gumblar
Разные компании используют разные названия для Gumblar и вариантов. Изначально вредоносная программа подключалась к домену gumblar.cn, но этот сервер был отключен в мае 2009 года.[3] Однако после этого появилось много вариантов вредоносного ПО, которые подключаются к другим вредоносным серверам через код iframe.
Гамблар снова появился в январе 2010 года, украл FTP логины и пароли и заражение HTML, PHP и JavaScript файлы на веб-серверах, чтобы способствовать распространению.[4] На этот раз он использовал несколько доменов, что затрудняло обнаружение / остановку.[5]
Смотрите также
Рекомендации
- ^ Мэтью Броерсма. "'Атаки Гамблара быстро распространяются ". Получено 26 июля 2012.
- ^ "Троян-загрузчик: JS / Gumblar.X Описание - F-Secure Labs". www.f-secure.com.
- ^ Биннинг, Дэвид (15 мая 2009 г.). «Сообщения о смерти Гамблара сильно преувеличены». Computer Weekly. Получено 2009-07-07.
- ^ "Инструмент для удаления вирусов семейства Gumblar".
- ^ «Sucuri MW: JS: 151 Вредоносное ПО Gumblar - используемые домены».
внешняя ссылка
- Персонал (15 мая 2009 г.). «Новые компьютерные вирусы на подъеме, предупреждают эксперты по безопасности». Телеграф (Лондон). Получено 2009-07-07.
- Лейден, Джон (19 мая 2009 г.). "Морфы атаки отравления Google Gumblar". Реестр. Получено 2009-07-07.