Было замечено, что во всех этих сообщениях присутствуют две характерные черты. Во-первых, все они содержат ссылки, ведущие на взломанные серверы. Во-вторых, файловое название каждой ссылки состоит из английского слова и двух цифр в конце. Как выяснилось, ссылки ведут на сайты онлайн-аптек и магазины поддельных часов. Вот один из скриншотов каталога на одном из таких сайтов:

Что же тут особенного? -спросите Вы. Ответ прост: около половины этих ссылок вели на серверы, зараженные gumblar.x.

Первая выделенная красным ссылка ведет на сайт онлайн-аптеки, вторая – на сервер, зараженный gumblar.x. Таким образом, ни о чем не подозревающий пользователь, пролистывающий каталог онлайн-аптеки, станет жертвой типичной gumblar-атаки, как только нажмет на вторую ссылку. Недавний всплеск таких гибридных (совмещенных) атак может означать то, что киберпреступники, до этого медленно, но верно растившие всемирную ботнет-сеть gumblar и всячески старавшиеся остаться незамеченными, теперь решили ее монетизировать. Первые тестовые запуски веб-страниц, содержащих ссылки как на онлайн-аптеки, так и на серверы, зараженные gumblar, специалисты Лаборатории Касперского отследили еще в апреле 2010 — тогда они заметили рассылку небольшого количества сообщений такого рода с темами типа "Twitter 61-213" или подобными. Дальнейшее изучение вовлеченных в атаки серверов показало, что в их корневые каталоги часто был встроен дополнительный вредоносный код. Чаще всего встречался код gumblar.x, реже pegel.* и другой обфусцированный код, содержащий iframe’ы или другие инструменты перенаправления. Кроме того, практически ВСЕ эти домены содержали в конце файла ссылку на hxxp://nuttypiano.com/*.js.

На таких серверах обращается более 300 различных .js-файлов — их содержимое обфусцировано и аналогично содержанию известных pegel-угроз. Чтобы усложнить работу вирусного аналитика, определенный вредоносный код посылается на конкретный IP-адрес лишь единожды. Тем не менее, нам удалось скачать несколько образцов с одних и тех же адресов и установить структуры полиморфного вида.

Эти образцы ведут на другие, :8080-адреса, которые в свою очередь стремятся загрузить на компьютер-жертву другие вредоносные программы. Вот краткий список вредоносных сайтов, отсортированный по странам: первым номером идет США, далее Франция, Германия, Турция и Япония. Веб-мастерам зараженных сайтов следует подумать о смене взломанных учетных данных ftp, после чего рекомендуем почистить машины, через которые произошел взлом, и изучить журналы серверов для получения более подробной информации.