В кибер-пространстве бесчинствует новая инкарнация Gumblar. Минувшей весной с помощью выкраденных паролей этот вирус уже проник на множество сайтов, заразивших впоследствии компьютеры рядовых пользователей.
По данным webplanet.ru, ахиллесовой пятой Gumblar всегда считался единственный источник загрузки вредоносного кода на сторонние компьютеры. Сначала код загружался с домена gumblar.cn, позднее – с martuz.cn. Разумеется, когда вирус привлек к себе внимание специалистов по киберзащите, домены оперативно прекратили существование. Таким образом, опасность посещения ранее зараженных сайтов миновала.
Однако не все веб-мастера очистили зараженные сайты от бэкдоров, многие отнеслись к этому без должного внимания, не учитывая тот факт, что код Gumblar внедрялся в разные места. Не все FTP-пароли были сменены, поэтому злоумышленники с легкостью могли повторно использовать многие сайты, прибегнув к новым хитростям.
Неудивительно, что этой возможностью злодеи воспользовались. Итог – новинка от Gumblar. Теперь он использует множество источников для заражения клиентских компьютеров, причем код грузится не со специально зарегистрированных доменов, а с других зараженных сайтов. Независимыми экспертами обнаружено около 150 подобных источников, причем список неуклонно растет. 6000 сайтов уже представляют серьезную угрозу для интернет-пользователей, и это только начало.
Компьютеры по-прежнему инфицируются за счет использования пробелов в защите ПО. Причем генерируется код в зависимости от браузера и ОС. Например, пользователи Linux могут спокойно заходить на зараженные сайты, они столкнутся лишь с сообщением об ошибке 404. А проще всего заразить систему с IE6: вредный exe-файл легко и быстро копируется в папку “Автозапуск”. А ведь такими системами пользуются более четверти всех юзеров.
Меры, предпринимаемые злоумышленниками, чтобы замаскировать зараженные сайты под «нормальные», становятся всё изощреннее. Именно поэтому нужно уделять должное внимание тщательной защите своих компьютеров от вредоносных программ.
