10:41 12.05.2010 Ботнет Gumblar покидает Японию | |
Gumblar впервые появился весной 2009 года. С тех пор местные интернет-провайдеры во многих странах внимательно следят за его активностью, поскольку данный зловред похищает учетные данные с FTP-серверов, внедряет вредоносные ссылки в легитимный контент и загружает бэкдоры на взломанные сервера. Приведённые ниже цифры включают только те URL-адреса, которые смогли отследить специалисты Лаборатории Касперского — реальные же цифры могут быть гораздо больше. В данный момент никто не располагает данными о том, сколько инфицированных клиентских машин вовлечены в ботнет Gumblar. Однако можно предположить, что их больше, чем взломанных серверов, поскольку количество серверов отражает только количество зараженных пользователей, у которых есть собственные веб-сайты и которые используют FTP-клиенты на зараженных системах.
По оценкам ЛК, в настоящее время количество бэкдоров Gumblar, размещаемых на серверах, составляет около 4460. Опасность, исходящая от системы Gumblar, состоит не только в потенциально большом количестве клиентских компьютеров, попавших в ботнет, но и в совокупной мощности взломанных серверов. Эти факторы вызывают озабоченность специалистов по интернет-безопсности и интернет-провайдеров. Предприняты многочисленные попытки анализа размеров системы и того, кто за ней стоит. Япония оказалась в числе стран, где проблемой Gumblar’a занимались очень активно. Это было связано со следующими факторами:
С первого дня распространения зловреда в Лаборатории Касперского следили за Gumblar силами японского офиса. Скачивание новых образцов, раскодирование и разархивирование шелл-кодов и извлечение новых URL-адресов стало частью ежедневного рабочего распорядка не только для сотрудников ЛК, но и для многих других вирусных аналитиков в Японии. Уже не раз описывалась общая архитектуру системы Gumblar. Со времени прошлой публикации изменилось только количество взломанных серверов и появился дополнительный слой серверов в цепочке заражения. Теперь цепочка начинается с легитимной веб-страницы, содержащей внедренный тэг <script> (такая страница называется html-редиректор) и ведущей на сервер с php-кодом (php-редиректор). Php-редиректор генерирует код на javascript, который далее переадресует веб-браузер. Таких переадресаций может быть от одной до четырех. Последний в этой цепочке сервер-инфектор с вредоносным контентом, на котором размещен комплект эксплойтов, используемых для атак на интернет-пользователей. На иллюстрации приведены последние данные о количестве URL-адресов различных типов, задействованных в этом процессе:
Разработчики Gumblar заметили постоянную деятельность, направленную на их систему и исходящую с IP-адресов в Японии. Активный анализ угрозы и сбор онлайн-данных, проводимый из Японии, повлекли ответную реакцию киберпреступников. Недавно в ЛК столкнулись с новым вариантом заражающего скрипта, созданного разработчиками Gumblar, который проверяет местонахождение удаленного клиента по бесплатной базе данных, сопоставляющей IP-адреса со странами. Если удаленный клиент расположен в Японии, система отменяет атаку. Вот часть кода, отвечающая за проверку:
В выделенной части кода, функция "gC” получает код страны текущего клиента. Если это значение равно 111 (что соответствует Японии в базе данных IP-адресов по странам), переменной "$zz” присваивается нулевое значение, что вызывает остановку работы приложения. В активности FTP-серверов, которые попали под наблюдение, сотрудники ЛК заметили аналогичную особенность — японские серверы теперь не подвергаются повторному заражению, хотя серверы в других странах по-прежнему атакуются; период между повторными заражениями составляет от 11 до 33 часов. К несчастью для киберпреступников, «Лаборатория Касперского» располагает международной группой вирусных аналитиков. Даже если злоумышленники попытаются запретить японские IP-адреса, чтобы ограничить сбор данных, проводимый из этой страны, у компании есть ресурсы, чтобы продолжать исследования из других стран. | |
|
| |
| Всего комментариев: 0 | |