Авторы
В районе 20 октября мы получили сообщения от нашего турецкого офиса о «возможном распространении нового вируса». И наши коллеги оказались правы — что-то происходило. За несколько дней до этого — 16 октября — мы обнаружили изменения на нескольких сайтах, состояние которых мы отслеживали с мая 2009 года, когда активно распространялся «gumblar». Атака в апреле и мае использовала фреймы (iframe) для переадресации на два вредоносных сайта (gumblar.cn, martuz.cn). В этот раз серверы, через которые происходит распространение, распределены географически более широко — мы выявили более 202 точек.
Ниже приведен список из 20 стран с наибольшим числом хостов, зараженных «iframe-инъекциями» и осуществляющих переадресацию на эти вредоносные серверы:
| 7271 | США* |
| 704 | РОССИЙСКАЯ ФЕДЕРАЦИЯ |
| 675 | РЕСПУБЛИКА КОРЕЯ |
| 619 | ИСЛАМСКАЯ РЕСПУБЛИКА ИРАН |
| 540 | ТУРЦИЯ |
| 510 | ГЕРМАНИЯ |
| 499 | ИНДИЯ |
| 487 | ЯПОНИЯ |
| 400 | ТАЙЛАНД |
| 382 | ПОЛЬША |
| 379 | БРАЗИЛИЯ |
| 345 | АРГЕНТИНА |
| 298 | ЧЕШСКАЯ РЕСПУБЛИКА |
| 187 | ВЕНГРИЯ |
| 182 | БЕЛЬГИЯ |
| 173 | ИТАЛИЯ |
| 163 | РУМЫНИЯ |
| 159 | УКРАИНА |
| 157 | ФРАНЦИЯ |
| 117 | ВЬЕТНАМ |
*Примечание: В статистику по США включены более 4000 хостов, переадресующих на персидский блог-сайт — по-видимому, на данный момент этот сайт наиболее активно используется для заражения.
Достаточно много зараженных хостов оказалось в домене .gov. В настоящее время мы знаем как минимум о 71 хостов в этом домене, из которых 47 находятся в Турции. Также порядка 65 хостов находятся в домене .edu и 79 в домене .ac, они по большей части распределены по территории Тайланда, Индии и Кореи.
Анализ данных по России показал наличие не менее 704 зараженных сайтов.
Примерные данные по числу обращений к зараженным сайтам:
| 21760 | www.es***ne.com |
| 20823 | www.sport***.mk |
| 19574 | www.fortun***.ru |
| 11937 | www.***jinja.or.jp |
| 10434 | www.***land*.it |
По нашим данным, собранным за одну неделю, всего зарегистрировано 443748 обращений к вредоносным сайтам — и это лишь часть общей картины. В течение нескольких дней после обнаружения новой угрозы и добавления в антивирусные базы вредоносных файлов, использующих уязвимости в Adobe Reader и Flash Player, специалисты в области компьютерной безопасности обсуждали эту угрозу на удивление мало. «Новому gumblar» потребовалось некоторое время на то, чтобы привлечь к себе более пристальное внимание специалистов, и его по-прежнему многие не замечают. При этом угроза на самом деле очень активна, причем в качестве побочного действия службы технической проверки некоторых производителей ПК завалены запросами пользователей о внезапных перезагрузках и т.п. Сообщается также, что компьютеры, зараженные содержащей ошибки версией gumblar, не загружаются полностью — экран остается черным, и на нем виден лишь указатель мыши.
Конечно, приведенные выше цифры — далеко не окончательные. Они растут с каждым днем.
Авторы
От тех же авторов
В той же категории
Новый Gumblar