Гамболы

Gumblar — это вредоносный JavaScript файл- троян , который перенаправляет поисковые запросы пользователя в Google , а затем устанавливает мошенническое программное обеспечение безопасности . Также известен как Troj/JSRedir-R. ^{[ 1 ]} этот ботнет впервые появился в 2009 году.

Заражение Gumblar.X было широко распространено в системах под управлением новых операционных систем MacOS. ^{[ 2 ]} Посетители зараженного сайта будут перенаправлены на альтернативный сайт, содержащий дальнейшее вредоносное ПО. Первоначально этим альтернативным сайтом назывался Gumblar.cn, но с тех пор он переключился на множество доменов. Сайт отправляет посетителю зараженный PDF-файл , который открывается браузером посетителя или Acrobat Reader . Затем PDF-файл будет использовать известную уязвимость в Acrobat, чтобы получить доступ к компьютеру пользователя. Новые версии Gumblar перенаправляют пользователей на сайты, на которых установлено поддельное антивирусное программное обеспечение.

Вирус найдет FTP-клиенты, такие как FileZilla и Dreamweaver , и загрузит сохраненные пароли клиентов. Gumblar также включает неразборчивый режим на сетевой карте, позволяя ей перехватывать локальный сетевой трафик для получения данных FTP. Это один из первых вирусов, включающий в себя автоматический анализатор пакетов .

Используя пароли, полученные от администраторов сайта, хост-сайт получит доступ к веб-сайту через FTP и заразит этот веб-сайт. Он загружает большие части веб-сайта и внедряет вредоносный код в файлы веб-сайта перед загрузкой файлов обратно на сервер. Код вставляется в любой файл, содержащий тег <body> , например файлы HTML, PHP, JavaScript, ASP и ASPx. Вставленный PHP-код содержит JavaScript в кодировке Base64 , который заразит компьютеры, выполняющие этот код. Кроме того, встроенные фреймы на некоторые страницы могут быть вставлены . Обычно код iframe содержит скрытые ссылки на вредоносные веб-сайты.

Вирус также модифицирует файлы .htaccess и HOSTS и создает файлы images.php в каталогах с именем images. Заражение не является эксплойтом, распространяющимся на весь сервер. Он заражает только те сайты на сервере, к которым у него есть пароли.

Разные компании используют разные названия и варианты Gumblar. Первоначально вредоносная программа подключалась к домену Gumblar.cn, но этот сервер был отключен в мае 2009 года. ^{[ 3 ]} Однако после этого появилось множество вариантов вредоносного ПО, которые подключаются к другим вредоносным серверам через код iframe.

Gumblar вновь появился в январе 2010 года, похитив FTP имена пользователей и пароли и заразив файлы HTML , PHP и JavaScript на веб-серверах, чтобы способствовать своему распространению. ^{[ 4 ]} На этот раз он использовал несколько доменов, что затрудняло его обнаружение/остановку. ^{[ 5 ]}

• Спам по электронной почте
• Вредоносное ПО

• Персонал (15 мая 2009 г.). «Новый компьютерный вирус растет, предупреждают эксперты по безопасности» . Телеграф (Лондон) . Архивировано из оригинала 18 мая 2009 года . Проверено 7 июля 2009 г.
• Лейден, Джон (19 мая 2009 г.). «Виды атаки Gumblar, отравляющей Google» . Регистр . Проверено 7 июля 2009 г.