РАЗДЕЛЫ
Архив
|
Московский JavaScript-ботнет подделывает результаты гуглопоиска≡ Безопасность | Новости | 19.05.2009 16:00 Всё большее число веб-сайтов оказываются зараженными троянской программой, использующейся для фальсификации результатов поисковых запросов к сервису Google. Специалисты по кибербезопасности отмечают необычайно высокую скорость распространения этого трояна в сравнении с аналогами, Речь идёт о вредоносном коде, который в компании ScanSafe называют Впервые его активность была замечена около двух месяцев назад. Проникнув на компьютер пользователя через зараженный JavaScript-кодом сайт (путём эксплуатации уязвимостей в Adobe PDF и Adobe Flash), вредонос мониторил трафик, пытаясь выцепить из него логины и пароли FTP-доступа. Таким образом, владельцы веб-сайтов, подхватив заразу где-то в Сети, автоматически ставили под угрозу собственные странички. Прибыль злоумышленники извлекали хитро: троянец следил за запросами от зараженного компьютера к поисковой системе Google с использованием браузера Internet Explorer и на лету подменял ссылки в результатах своими, приводя пользователей на другие вредоносные и мошеннические сайты. Обычно такого рода схема пресекается сравнительно быстро. Поначалу так было и в этот раз - в компании Google, получив тревожный сигнал от ScanSafe, начали исключать зараженные сайты из результатов поиска, а владельцы этих сайтов принялись активно вычищать заразу со своих страничек. Однако авторы троянца предприняли защитные меры. В начале мая они начали заменять старые скрипты на зараженных ими сайтах более хитрыми - для каждого сайта вредоносный JavaScript генерировался заново, что чрезвычайно затруднило работу по выявлению зараженных сайтов. Буквально за неделю их количество выросло на 188%. В конце прошлой недели специалисты Sophos Очистка сайтов от этого трояна — задача нетривиальная: мало просто сменить пароли и убрать вредоносный код со страниц, надо ещё проверить всевозможные конфигурационные файлы. В частности, было замечено, что Gumblar вносит изменения в .htaccess, добавляет в папки с иллюстрациями файл image.php и т.п. Это позволяет злоумышленникам заново захватить якобы вылеченный ранее сайт. В ScanSafe также отмечают, что домен gumblar.cn расположен по московскому IP-адресу (первоначальная версия вредоноса обращалась к компьютеру в Латвии). Кроме того, последняя модификация Gumblar устанавливает бэкдор для связи с давно известным координирующим центром ботнетов. Ранее "Лаборатория Касперского" комментарии(9) | разделы: Новости | Безопасность Материалы по теме Зараженные сайты: чья проблема? Другие новости |
Последние комментарии
Гость про Суд велел "Твиттеру" сдать сторонников WikiLeaks (12)
Гость про Книгоиздатели начали судиться с торрентами (2)
l_e_x_a про "ВКонтакте" принудительно протестирует пользователей (35)
andrey_kadetov про Google назвал Facebook "ловушкой без выхода" (6)
volv про День папуасского робошахтёра (14)
l_e_x_a про Русские кликботы признаны самыми активными (11)
все комментарии looli спрашивает: Земля вампиров смотреть онлайн в HD качестве looli спрашивает: Зеленый Фонарь смотреть онлайн в HD качестве looli спрашивает: Защитник смотреть онлайн в HD качестве looli спрашивает: Запретная зона смотреть онлайн в HD качестве looli спрашивает: Закон доблести смотреть онлайн в HD качестве looli спрашивает: Вышибала смотреть онлайн в HD качестве looli спрашивает: Встречный ветер смотреть онлайн в HD качестве looli спрашивает: Все любят китов смотреть онлайн в HD качестве |
Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.