Gumblar уходит из Японии
Gumblar впервые появился весной 2009 года. С тех пор местные интернет-провайдеры во многих странах внимательно следят за его активностью, поскольку данный зловред похищает учетные данные с FTP-серверов, внедряет вредоносные ссылки в легитимный контент и загружает бэкдоры на взломанные сервера.
Эти цифры включают только те URL-адреса, которые мы смогли отследить — реальные цифры могут быть гораздо больше. В данный момент никто не располагает данными о том, сколько инфицированных клиентских машин вовлечены в ботнет Gumblar. Однако можно предположить, что их больше, чем взломанных серверов, поскольку количество серверов отражает только количество зараженных пользователей, у которых есть собственные веб-сайты и которые используют FTP-клиенты на зараженных системах.
По нашим оценкам, в настоящее время количество бэкдоров Gumblar, размещаемых на серверах, составляет около 4460.
Опасность, исходящая от системы Gumblar, состоит не только в потенциально большом количестве клиентских компьютеров, попавших в ботнет, но и в совокупной мощности взломанных серверов. Эти факторы вызывают озабоченность специалистов по интернет-безопсности и интернет-провайдеров. Предприняты многочисленные попытки анализа размеров системы и того, кто за ней стоит.
Япония оказалась в числе стран, где проблемой Gumblar’a занимались очень активно. Это было связано со следующими факторами:
- По числу зараженных серверов Япония входит в пятерку мировых лидеров;
- По сравнению с остальными странами, в Японии не так много зловредов местного происхождения, и Gumblar, легко преодолевающий границы между странами, быстро привлек к себе внимание.
С первого дня распространения зловреда мы следили за Gumblar силами нашего японского офиса. Скачивание новых образцов, раскодирование и разархивирование шелл-кодов и извлечение новых URL-адресов стало частью ежедневного рабочего распорядка не только для нас, но и для многих других вирусных аналитиков в Японии.
Мы уже описывали общую архитектуру системы Gumblar. Со времени нашей прошлой публикации изменилось только количество взломанных серверов и появился дополнительный слой серверов в цепочке заражения. Теперь цепочка начинается с легитимной веб-страницы, содержащей внедренный тэг <script> (такая страница называется html-редиректор) и ведущей на сервер с php-кодом (php-редиректор). Php-редиректор генерирует код на javascript, который далее переадресует веб-браузер. Таких переадресаций может быть от одной до четырех. Последний в этой цепочке сервер-инфектор с вредоносным контентом, на котором размещен комплект эксплойтов, используемых для атак на интернет-пользователей. На иллюстрации приведены последние данные о количестве URL-адресов различных типов, задействованных в этом процессе:
Дата публикации: 13, Мая 2010 г.
Источник: Лаборатория Касперского
