Зараза для сайтов

В мире компьютерных вирусов объявился новый рекордсмен по скорости распространения. Антивирусные компании зафиксировали стремительный рост количества заражений новым JavaScript-трояном Gumblar. Его особенность не только в том, что для того, чтобы заразить им ПК, не надо ничего загружать и устанавливать (он сам все установит), но и в том, что этот червь опасен как для рядовых пользователей, так и для владельцев сайтов. Помимо всего прочего программа умеет фальсифицировать результаты поисковых запросов в Google, выдавая обманутым юзерам вместо нужных страниц ссылки на вредоносные и мошеннические сайты.

Чуть ранее, когда о резкой вспышке «заболеваний» трояном Gumblar речи еще не шло, «Лаборатория Касперского» опубликовала отчет о вирусной активности за первый квартал 2009 года, в котором было отмечено, что по популярности для заражения через Сеть платформа JavaScript вышла на первое место (около 40 процентов случаев), опередив Win32. Эксперты компании отмечали, что пользователи, осуществляющие веб-серфинг с постоянной поддержкой JavaScript, оказывают неоценимую помощь авторам вредоносного ПО, значительно облегчая им процесс поиска потенциальных жертв.

Активность Gumblar была впервые зафиксирована два месяца назад. Изучив его «поведение», специалисты установили, что этот троян проникает на компьютеры через зараженные JavaScript-кодом сайты, используя уязвимости в приложениях Adobe PDF и Adobe Flash. Иначе говоря, загрузив «зараженную» страницу, пользователь уже подвергает свою машину заражению. И если этот пользователь вдруг оказывается владельцем или администратором сайта, то у него начинаются проблемы с собственным ресурсом, поскольку троян мониторит трафик на предмет логинов и паролей FTP-доступа. Таким образом, спрятавшись уже в страницах нового взломанного сайта, вирус подвергает заражению его посетителей.

Злоумышленники, создавшие Gumblar, придумали хитрый способ извлечения выгоды. Троянская программа отслеживала запросы, поступающие от зараженных компьютеров к поисковой системе Google через браузер Internet Explorer, и по ходу загрузки страниц поисковика подменяла ссылки в результатах поиска. Вместо нужной страницы пользователь попадал на очередной вредоносный или мошеннический сайт.

Узнав об этом, сотрудники Google стали исключать зараженные веб-сайты из результатов поиска, а владельцы инфицированных страниц принялись за «лечение». Однако создатели вируса усложнили им задачу, начав заменять старые скрипты на более сложные. Для каждого зараженного сайта JavaScript был сгенерирован снова, после чего количество инфицированных ресурсов стало стремительно расти.

На днях эксперты антивирусной компании Sophos сообщили, что на долю Gumblar (другое название – Troj/JSRedir-R) приходится более 40 процентов от общего числа заражений веб-сайтов. При этом очистить сайт от этого трояна достаточно сложно: он вносит в структуру сайтов изменения, позволяющие ему снова «возрождаться» после лечений. Больше всего, по словам экспертов, заражению подвержены форумы и блоги, работающие с программными платформами на базе открытых исходных кодов. Тем же сайтам, которые приносят своим владельцам доход, червь способен нанести материальный ущерб: ресурс, распространяющий вирусы, рискует лишиться посетителей.

Кстати, стоит отметить, что IP-адрес сайта gumblar.cn, с которого вирус загружает свои обновления, находится в России.