+7 (843) 267-58-53 | antiviruses.ru | ||
618441287 | [email protected] |
Топ 10
Лидеры продаж |
Gumblar уходит из ЯпонииGumblar впервые появился весной 2009 года. С тех пор местные интернет-провайдеры во многих странах внимательно следят за его активностью, поскольку данный зловред похищает учетные данные с FTP-серверов, внедряет вредоносные ссылки в легитимный контент и загружает бэкдоры на взломанные сервера. Эти цифры включают только те URL-адреса, которые мы смогли отследить — реальные цифры могут быть гораздо больше. В данный момент никто не располагает данными о том, сколько инфицированных клиентских машин вовлечены в ботнет Gumblar. Однако можно предположить, что их больше, чем взломанных серверов, поскольку количество серверов отражает только количество зараженных пользователей, у которых есть собственные веб-сайты и которые используют FTP-клиенты на зараженных системах. По нашим оценкам, в настоящее время количество бэкдоров Gumblar, размещаемых на серверах, составляет около 4460. Опасность, исходящая от системы Gumblar, состоит не только в потенциально большом количестве клиентских компьютеров, попавших в ботнет, но и в совокупной мощности взломанных серверов. Эти факторы вызывают озабоченность специалистов по интернет-безопсности и интернет-провайдеров. Предприняты многочисленные попытки анализа размеров системы и того, кто за ней стоит. Япония оказалась в числе стран, где проблемой Gumblar’a занимались очень активно. Это было связано со следующими факторами:
С первого дня распространения зловреда мы следили за Gumblar силами нашего японского офиса. Скачивание новых образцов, раскодирование и разархивирование шелл-кодов и извлечение новых URL-адресов стало частью ежедневного рабочего распорядка не только для нас, но и для многих других вирусных аналитиков в Японии. Мы уже описывали общую архитектуру системы Gumblar. Со времени нашей прошлой публикации изменилось только количество взломанных серверов и появился дополнительный слой серверов в цепочке заражения. Теперь цепочка начинается с легитимной веб-страницы, содержащей внедренный тэг <script> (такая страница называется html-редиректор) и ведущей на сервер с php-кодом (php-редиректор). Php-редиректор генерирует код на javascript, который далее переадресует веб-браузер. Таких переадресаций может быть от одной до четырех. Последний в этой цепочке сервер-инфектор с вредоносным контентом, на котором размещен комплект эксплойтов, используемых для атак на интернет-пользователей. На иллюстрации приведены последние данные о количестве URL-адресов различных типов, задействованных в этом процессе: Дата публикации: 13, Мая 2010 г. Источник: Лаборатория Касперского |
Сравнить
<%compare_list%>
Online проверкаНовости
|