О быстро распространяющейся кибериэпидемии, поражающей сайты, предупреждают специалисты ScanSafe. На зараженных ресурсах можно подхватить вредоносную программу, которая внедряется на компьютер пользователя.
Первые признаки этой киберинфекции были зафиксированы ScanSafe в конце осени, а теперь, судя по всему, темпы ее распространения существенно возросли. Всего за пару дней их количество увеличилось на 15 тысяч. Как сообщает Google, сейчас в Интернете насчитывается около 136 тысяч сайтов, в коде страниц которых спрятан этот опасный скрипт.
В тоже время Yahoo! приводит гораздо внушительные цифры, сообщая о более чем 300 тысячах инфицированных этой заразой сайтов.
В ScanSafe не дают подробных комментариев о процессе заражения, отмечая лишь то, что происходит это в виде SQL-инъекции, и больше всего поражено Китайских ресурсов и веб-сайтов из зоны .com.
Следует отметить, что, невзирая на активное распространение вредоносного скрипта, способ заражения компьютеров с установленной ОС Windows достаточно прост. Киберинфекция подгружается через один-единственный домен 318x.com, хотя для этого и используются скрытые iframe и несколько редиректов. Впрочем, это весьма распространенная практика.
К слову сказать, SafeSearch, используемый Google и Yahoo!, обозначив домен 318x .com как опасный, по-прежнему считает лишёнными угрозы большинство сайтов, с которых через iframe подгружается вредоносный скрипт.
Интереснен тот факт, что несмотря на процесс заражения, осуществляемый через “дыры” в системе и приложениях, то есть не требующий участия пользователя, создатели скрипта по каким-то причинам не используют популярные сегодня уязвимости PDF.
Эксперты ScanSafe обнаружили пять “дыр”, по которым киберинфекция попадает в систему: одну в Adobe Flash Player и четыре – в Windows и других продуктах Microsoft. В основном это весьма старые “дыры”, “заплатки” к которым разработаны несколько месяцев и даже лет назад. Правда, самая “свежая” вышла в октябре уходящего года.
Проникнув в систему, вредонос создает пару файлов и делает запись в реестре, обеспечивая тем самым автоматическую загрузку бэкдора семейства Buzus (классификация “Лаборатории Касперского”) при каждом запуске Windows. Как правило, он используется для получения данных банковских карт и иных видов жульничества, касающихся банковских операций.
Вчера данный вредоносный скрипт идентифицировался лишь 22 антивирусами из 40 существующих. С его распознаванием не справились программы таких компаний, как ESET (NOD32), F-Secure, McAfee, Microsoft и Symantec. Однако, вполне вероятно, что сейчас ситуация улучшилась; F-Secure сообщила в своем блоге, что сигнатуры новой киберинфекции уже внесены в базы их продуктов, передает webplanet.ru.
