Количество сайтов зараженных новым вредоносным кодом достигло 30 000

Специалисты из Websense предупреждают о массовом заражении вебсайтов новым вредоносным кодом. К прошлой пятнице количество таких сайтов достигло 30 000, и их посещение может оказаться весьма пагубным для пользователей, сообщает The Register.

При открытии зараженного сайта паразитирующий JavaScript-код незаметно перенаправляет пользователя на сервер, который анализирует программное обеспечение его компьютера. В зависимости от результатов анализа производится попытка использовать одну или несколько из десятка различных уязвимостей и установить лже-антивирус. (Не уточняется, но, очевидно, речь идёт о Windows-системах.)

Если же пользователь попался сознательный, и выходит в Сеть с "заплатками", прикрывающими все эти дыры, его пытаются взять хитростью. Всплывающее окно пугает юзера сообщением о том, что его компьютер заражен, и предлагает установить "антивирус" самостоятельно.

Предполагается, что на сайты этот вредоносный код проникает за счёт использования какой-то известной уязвимости с помощью SQL-инъекцией. При этом встраиваемый скрипт маскируется под код Google Analytics, что затрудняет его обнаружение. Сам лже-антивирус является полиморфом, что также добавляет головной боли создателям настоящих антивирусов (по данным Virustotal от 29 апреля, эту заразу вычисляли только 4 из 39 антивирусных программ).

Также отмечается, что JavaScript активно использует цифровые коды вместо символов. Подобной техникой воспользовались и авторы недавних JavaScript-троянов Gumblar/Martuz, которые, по прикидкам Websense, захватили в короткий срок около 60 000 сайтов.

Однако, несмотря на некоторую схожесть, новый вредонос, как считают специалисты, не имеет отношения к Gumblar. Напротив, не исключена возможность, что он каким-то образом связан с русским хостингом RBN, которым зарубежные СМИ пугали общественность полтора года назад. На такую гипотезу сотрудников Websense натолкнуло использование той же тактики, которой придерживались в RBN: JavaScript, если его раскодировать, указывает на веб-адреса, очень похожие на легитимные домены Google Analytics.

"Возможно, что RBN как-то связан с этим или же, что более вероятно, поскольку тот код был опубликован, атакующие действуют в очень хитроумной манере, дублируя методы старых атак с целью скрыть собственные атаки", — полагают в Websense.

Игорь Крейн