Gumblar уходит из Японии

Gumblar впервые появился весной 2009 года. С тех пор местные интернет-провайдеры во многих странах внимательно следят за его активностью, поскольку данный зловред похищает учетные данные с FTP-серверов, внедряет вредоносные ссылки в легитимный контент и загружает бэкдоры на взломанные сервера.

Эти цифры включают только те URL-адреса, которые мы смогли отследить — реальные цифры могут быть гораздо больше. В данный момент никто не располагает данными о том, сколько инфицированных клиентских машин вовлечены в ботнет Gumblar. Однако можно предположить, что их больше, чем взломанных серверов, поскольку количество серверов отражает только количество зараженных пользователей, у которых есть собственные веб-сайты и которые используют FTP-клиенты на зараженных системах.

По нашим оценкам, в настоящее время количество бэкдоров Gumblar, размещаемых на серверах, составляет около 4460.

Опасность, исходящая от системы Gumblar, состоит не только в потенциально большом количестве клиентских компьютеров, попавших в ботнет, но и в совокупной мощности взломанных серверов. Эти факторы вызывают озабоченность специалистов по интернет-безопсности и интернет-провайдеров. Предприняты многочисленные попытки анализа размеров системы и того, кто за ней стоит.

Япония оказалась в числе стран, где проблемой Gumblar’a занимались очень активно. Это было связано со следующими факторами:

• По числу зараженных серверов Япония входит в пятерку мировых лидеров;
• По сравнению с остальными странами, в Японии не так много зловредов местного происхождения, и Gumblar, легко преодолевающий границы между странами, быстро привлек к себе внимание.

С первого дня распространения зловреда мы следили за Gumblar силами нашего японского офиса. Скачивание новых образцов, раскодирование и разархивирование шелл-кодов и извлечение новых URL-адресов стало частью ежедневного рабочего распорядка не только для нас, но и для многих других вирусных аналитиков в Японии.

Мы уже описывали общую архитектуру системы Gumblar. Со времени нашей прошлой публикации изменилось только количество взломанных серверов и появился дополнительный слой серверов в цепочке заражения. Теперь цепочка начинается с легитимной веб-страницы, содержащей внедренный тэг <script> (такая страница называется html-редиректор) и ведущей на сервер с php-кодом (php-редиректор). Php-редиректор генерирует код на javascript, который далее переадресует веб-браузер. Таких переадресаций может быть от одной до четырех. Последний в этой цепочке сервер-инфектор с вредоносным контентом, на котором размещен комплект эксплойтов, используемых для атак на интернет-пользователей. На иллюстрации приведены последние данные о количестве URL-адресов различных типов, задействованных в этом процессе:

Разработчики Gumblar заметили постоянную деятельность, направленную на их систему и исходящую с IP-адресов в Японии. Активный анализ угрозы и сбор онлайн-данных, проводимый из Японии, повлекли ответную реакцию киберпреступников. Недавно мы столкнулись с новым вариантом заражающего скрипта, созданного разработчиками Gumblar, который проверяет местонахождение удаленного клиента по бесплатной базе данных, сопоставляющей IP-адреса со странами. Если удаленный клиент расположен в Японии, система отменяет атаку. Вот часть кода, отвечающая за проверку:

В выделенной части кода, функция «gC» получает код страны текущего клиента. Если это значение равно 111 (что соответствует Японии в базе данных IP-адресов по странам), переменной «$zz» присваивается нулевое значение, что вызывает остановку работы приложения.

В активности FTP-серверов, которые мы наблюдали, мы заметили аналогичную особенность — японские серверы теперь не подвергаются повторному заражению, хотя серверы в других странах по-прежнему атакуются; период между повторными заражениями составляет от 11 до 33 часов.

К несчастью для киберпреступников, «Лаборатория Касперского» располагает международной группой вирусных аналитиков. Даже если злоумышленники попытаются запретить японские IP-адреса, чтобы ограничить сбор данных, проводимый из этой страны, у компании есть ресурсы, чтобы продолжать исследования из других стран.