Новый Gumblar

В районе 20 октября мы получили сообщения от нашего турецкого офиса о «возможном распространении нового вируса». И наши коллеги оказались правы — что-то происходило. За несколько дней до этого — 16 октября — мы обнаружили изменения на нескольких сайтах, состояние которых мы отслеживали с мая 2009 года, когда активно распространялся «gumblar». Атака в апреле и мае использовала фреймы (iframe) для переадресации на два вредоносных сайта (gumblar.cn, martuz.cn). В этот раз серверы, через которые происходит распространение, распределены географически более широко — мы выявили более 202 точек.

Ниже приведен список из 20 стран с наибольшим числом хостов, зараженных «iframe-инъекциями» и осуществляющих переадресацию на эти вредоносные серверы:

*Примечание: В статистику по США включены более 4000 хостов, переадресующих на персидский блог-сайт — по-видимому, на данный момент этот сайт наиболее активно используется для заражения.

Достаточно много зараженных хостов оказалось в домене .gov. В настоящее время мы знаем как минимум о 71 хостов в этом домене, из которых 47 находятся в Турции. Также порядка 65 хостов находятся в домене .edu и 79 в домене .ac, они по большей части распределены по территории Тайланда, Индии и Кореи.

Анализ данных по России показал наличие не менее 704 зараженных сайтов.

Примерные данные по числу обращений к зараженным сайтам:

По нашим данным, собранным за одну неделю, всего зарегистрировано 443748 обращений к вредоносным сайтам — и это лишь часть общей картины. В течение нескольких дней после обнаружения новой угрозы и добавления в антивирусные базы вредоносных файлов, использующих уязвимости в Adobe Reader и Flash Player, специалисты в области компьютерной безопасности обсуждали эту угрозу на удивление мало. «Новому gumblar» потребовалось некоторое время на то, чтобы привлечь к себе более пристальное внимание специалистов, и его по-прежнему многие не замечают. При этом угроза на самом деле очень активна, причем в качестве побочного действия службы технической проверки некоторых производителей ПК завалены запросами пользователей о внезапных перезагрузках и т.п. Сообщается также, что компьютеры, зараженные содержащей ошибки версией gumblar, не загружаются полностью — экран остается черным, и на нем виден лишь указатель мыши.

Конечно, приведенные выше цифры — далеко не окончательные. Они растут с каждым днем.