Троян Gumblar видоизменился

Троян Gumblar видоизменился. Раньше этот троян взаимодействовал с доменом gumblar.cn (уже не отвечает), теперь модификация вируса взаимодействует с доменом martuz.cn, который зарегистрирован на некоего Чена (Chen) сервернаходится в Великобритании.

Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Если он и раньше скрывался при помощи замены части символов на их цифровые коды, то теперь строка с именем загрузочного домена в скрипте случайным образом разбивается на две (к примеру, "martu"+"z.cn" или "mart"+"uz.cn").

Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome, который пользуется глобальными "чёрными списками" для распознавания вредоносного ПО, после чего выдаёт соответствующее предупреждение. С последней модификацией при просмотре странички, зараженной Martuz-модификацией трояна, в  Google Chrome попытки подгрузить вредоносный код не производится, и браузер не выдает предупреждение.

Источник:  www.securitylab.ru

Оставьте свой комментарий!