для расчета стоимости абонентского обслуживания компьютеров Вашей организации
Зараза, предположительно исходящая от rbn.ru, захватила 30 тысяч сайтов |
01.06.2009 | |||
Пораженный инфекцией сайт пытается установить на компьютеры пользователей коктейль из десятка вирусов. Злоумышленники внедряют код javascript на страницы сайтов, предположительно используя SQL-инъекцию. Внедренный код сложен и очень похож на скрипт Google Analytics, так что его очень сложно отличить от настоящего. При посещении инфицированного сайта посетители тайно переадресуются на сервер, который анализирует компьютер на наличие одной или нескольких из более чем десятка уязвимости. При обнаружении уязвимости сервер мошенников внедряет на компьютер пользователя вредоносный код. Если ни одной уязвимости обнаружено не было, сервер выдает на экран пользователя всплывающее окошко с ложным сообщением о заражении компьютера и предложением скачать антивирус. Поддельный антивирус использует полиморфизм, постоянно изменяя свою сигнатуру в попытке избежать обнаружения настоящими антивирусами. Данная атака имеет много общих черт с ранее обнаруженной атакой под названием Gumblar. Здесь также используется намеренно переусложненный код javascript, внедренный мошенниками на благопристойные сайты. Gumblar уже распространился примерно на 60 тысяч сайтов. Вместе с тем, несколько отличий в коде javascript позволяют аналитикам различать эти две атаки и считать их не связанными друг с другом. Эксперты указывают, что подобная тактика слежки за посетителями ранее использовалась сайтом rbn.ru. В компании Websense полагают, что атака может быть связана с самой RBN, либо с использованием кода RBN. Рекомендации Websense опубликованы здесь. |