Усиливается веб-атака, искажающая результаты выдачи поиска Google
20.05.2009

Атака получила название Gumblar - по имени впервые идентифицированного с ней домена.

Изначально эксперты приняли атаку за попытку дискредитировать нормальные и "добропорядочные" сайты путем внедрения в них вредоносных скриптов.

US CERT сообщил, что кража учетных записи FTP предполагается как основной способ взлома. Кроме того, причиной сочли неверную конфигурацию сайтов.

Пользователи, посещавшие взломанные сайты, подвергались атакам через давно и хорошо известные уязвимости в PDF и Flash Player. В результате на компьютеры этих пользователей внедрялся вредоносный код.

Согласно звучавшим ранее оценкам, код был предназначен для перенаправления результатов поиска Google и кражи приватной информации пользователей.

Организация ISC (SANS Internet Storm Centre) обнаружила, что интенсивность атаки нарастает. Изначально вредоносный код поступал на компьютеры пользователей с сайта gumblar.cn. В минувшую пятницу этот сайт был остановлен. Его роль перенял второй домен - martuz.cn, который сейчас играет ключевую роль в атаке.

Компания ScanSafe, которая одной из первых предупредила о нарастании угрозы, полагает, что ссылки на сайт martuz.cn в более ранних атаках были преднамеренно усложнены, вероятно в попытке обойти примитивные блэк-листы. URI формировался скриптом как "mar"+"tuz.cn" вместо простого "martuz.cn".

ScanSafe определяет Gumblar как зомби-сеть из веб-сайтов. По оценке ScanSafe, Gumblar вырос на 246% по сравнению с предшествующей неделей.

Компания Sophos оценивает рост Gumblar в 42%.

Сайт Unmask Parasites опубликовал более детальную информацию о скриптах, применяемых в Gumblar.

 
Ваш системный администратор / Новости / Усиливается веб-атака, искажающая результаты выдачи поиска Google