Инциденты

Новый Gumblar

В районе 20 октября мы получили сообщения от нашего турецкого офиса о «возможном распространении нового вируса». И наши коллеги оказались правы — что-то происходило. За несколько дней до этого — 16 октября — мы обнаружили изменения на нескольких сайтах, состояние которых мы отслеживали с мая 2009 года, когда активно распространялся «gumblar». Атака в апреле и мае использовала фреймы (iframe) для переадресации на два вредоносных сайта (gumblar.cn, martuz.cn). В этот раз серверы, через которые происходит распространение, распределены географически более широко — мы выявили более 202 точек.

Ниже приведен список из 20 стран с наибольшим числом хостов, зараженных «iframe-инъекциями» и осуществляющих переадресацию на эти вредоносные серверы:

7271 США*
704 РОССИЙСКАЯ ФЕДЕРАЦИЯ
675 РЕСПУБЛИКА КОРЕЯ
619 ИСЛАМСКАЯ РЕСПУБЛИКА ИРАН
540 ТУРЦИЯ
510 ГЕРМАНИЯ
499 ИНДИЯ
487 ЯПОНИЯ
400 ТАЙЛАНД
382 ПОЛЬША
379 БРАЗИЛИЯ
345 АРГЕНТИНА
298 ЧЕШСКАЯ РЕСПУБЛИКА
187 ВЕНГРИЯ
182 БЕЛЬГИЯ
173 ИТАЛИЯ
163 РУМЫНИЯ
159 УКРАИНА
157 ФРАНЦИЯ
117 ВЬЕТНАМ

 

*Примечание: В статистику по США включены более 4000 хостов, переадресующих на персидский блог-сайт — по-видимому, на данный момент этот сайт наиболее активно используется для заражения.

Достаточно много зараженных хостов оказалось в домене .gov. В настоящее время мы знаем как минимум о 71 хостов в этом домене, из которых 47 находятся в Турции. Также порядка 65 хостов находятся в домене .edu и 79 в домене .ac, они по большей части распределены по территории Тайланда, Индии и Кореи.

Анализ данных по России показал наличие не менее 704 зараженных сайтов.

Примерные данные по числу обращений к зараженным сайтам:

21760 www.es***ne.com
20823 www.sport***.mk
19574 www.fortun***.ru
11937 www.***jinja.or.jp
10434 www.***land*.it

По нашим данным, собранным за одну неделю, всего зарегистрировано 443748 обращений к вредоносным сайтам — и это лишь часть общей картины. В течение нескольких дней после обнаружения новой угрозы и добавления в антивирусные базы вредоносных файлов, использующих уязвимости в Adobe Reader и Flash Player, специалисты в области компьютерной безопасности обсуждали эту угрозу на удивление мало. «Новому gumblar» потребовалось некоторое время на то, чтобы привлечь к себе более пристальное внимание специалистов, и его по-прежнему многие не замечают. При этом угроза на самом деле очень активна, причем в качестве побочного действия службы технической проверки некоторых производителей ПК завалены запросами пользователей о внезапных перезагрузках и т.п. Сообщается также, что компьютеры, зараженные содержащей ошибки версией gumblar, не загружаются полностью — экран остается черным, и на нем виден лишь указатель мыши.

Конечно, приведенные выше цифры — далеко не окончательные. Они растут с каждым днем.

Новый Gumblar

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике