Адмыслоўцы з Websense папярэджваюць аб масавым заражэнні вэбсайтаў новым шкоднасным кодам. Да мінулай пятніцы колькасць такіх сайтаў дасягнула 30 000.
Пры адкрыцці заражанага сайта JavaScript-код неўзаметку перанакіроўвае карыстача на сервер, які аналізуе праграмнае забеспячэнне яго кампутара. У залежнасці ад вынікаў аналізу вырабляецца спроба выкарыстаць адну або некалькі з дзясятка розных уразлівасцяў і ўсталяваць фальшывы антывірус. Калі жа на кампутар карыстача ўсталяваныя "латкі", якія зачыняюць гэтыя ўразлівасці, то выкарыстоўваецца іншы план заражэння. Усплывальнае акно палохае карыстача паведамленнем аб тым, што яго кампутар заражаны, і прапаноўвае ўсталяваць "антывірус" самастойна. Мяркуецца, што на сайты гэты шкоднасны код пранікае за рахунак выкарыстання нейкі вядомай уразлівасці з дапамогай SQL-ін'екцыяй. Пры гэтым убудавальны скрыпт маскіруецца пад код Google Analytics, што абцяжарвае яго выяўленне. Сам лже-антывірус з'яўляецца полиморфом, што таксама мяшае яго азначэнню (па дадзеных Virustotal ад 29 красавіка, гэты вредонос вылічалі толькі 4 з 39 антывірусных праграм). Таксама адзначаецца, што JavaScript актыўна выкарыстае лічбавыя коды замест знакаў. Падобнай тэхнікай скарысталіся і аўтары нядаўніх JavaScript-траянаў Gumblar/Martuz, якія, па прыкідках Websense, захапілі ў кароткі тэрмін каля 60 000 сайтаў. Аднак, адмыслоўцы лічаць, што нягледзячы на некаторае падабенства, новы вредонос не мае адносіны да Gumblar. Наадварот, не выключаная магчымасць, што ён нейкім чынам звязаны з рускім хостынгам RBN. На такую гіпотэзу супрацоўнікаў Websense наштурхнула выкарыстанне той жа тактыкі, якой прытрымваліся ў RBN: JavaScript, калі яго раскадаваць, паказвае на вэб-адрасы, вельмі падобныя на легітымныя дамены Google Analytics. 
Websence папярэджвае аб масавым заражэнні вэбсайтаў
2 чэрвеня 2009
Каментароў (0)