Появилась новая версия трояна Gumblar

Появилась новая версия трояна Gumblar

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Домен gumblar.cn, имевший московскую "прописку", больше не отвечает, поэтому киберпреступники, стоящие за этим трояном, разработали его новую версию.

Домен gumblar.cn использовался JavaScript-кодом, подгружающимся при просмотре зараженных веб-страниц, для загрузки на компьютер пользователя вредоносного ПО. Поскольку он уже не действует, дальнейшее распространение этой версии трояна приостановлено.

Однако злоумышленники не собираются сдаваться: новая модификация трояна взаимодействует с другим доменом — martuz.cn, зарегистрированным на некоего Чена (Chen), причём сам сервер находится в Великобритании. Во многом эта версия схожа с предыдущей, но отличается от нее более сильной защитой.

Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он и раньше скрывался при помощи замены части символов их цифровыми кодами, но теперь, даже если скрипт декодировать, поиск строки типа "martuz.cn" ничего не даст. Всё очень просто: строка с именем загрузочного домена в скрипте случайным образом разбивается на две (например, "martu"+"z.cn" или "mart"+"uz.cn").

Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome, который пользуется глобальными "чёрными списками" для распознавания вредоносного ПО, после чего выдаёт соответствующее предупреждение. С последней модификацией такой способ не пройдёт: при просмотре странички, зараженной Martuz-модификацией трояна, в Google Chrome попытки подгрузить вредоносный код не производится, и браузер не выдает предупреждение.

Впрочем, как верно отмечается в блоге We Watch Your Website, если сайт уже проиндексирован поисковиком Google и на нём были обнаружены зараженные страницы, веб-мастер может запустить поиск всех страниц своего сайта. Каждая зараженная страничка в результатах запроса помечается дополнительной ссылкой "Этот сайт может нанести вред вашему компьютеру".

Источник 

Спецоперация с посылкой: мошенники начали превращать жертв в курьеров

МВД России предупредило о новой мошеннической схеме, в которой человека могут не просто развести на деньги, но и втянуть в преступление. Аферисты представляются сотрудниками Центробанка, спецслужб, правоохранительных органов или финансовых организаций и просят «помочь» с якобы важной операцией: забрать посылку, перевезти деньги или задекларировать чужие средства.

В Управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД предупреждают: если специалист Центрального банка просит забрать посылку и задекларировать чужие деньги — это мошенники.

И самое неприятное: человек, который согласится, рискует стать не помощником, а соучастником преступления. Схема строится на старой, но всё ещё рабочей легенде: жертве внушают, что она участвует в тайной проверке, расследовании или спецмероприятии.

Для убедительности аферисты прикрываются громкими названиями ведомств и должностей, давят срочностью и требуют никому ничего не рассказывать. В итоге владелец смартфона превращается в курьера, который своими руками помогает преступникам.

В МВД подчёркивают: государственные организации не нанимают случайных граждан для внештатной работы по телефону и не просят участвовать в секретных операциях. Центробанк, полиция и спецслужбы не отправляют людей за чужими деньгами, не поручают перевозить посылки и не просят декларировать средства неизвестного происхождения.

Так что если на том конце провода внезапно появился сотрудник ЦБ с просьбой помочь стране, банку или следствию, лучший вклад в безопасность уже понятен: положить трубку и не играть в курьера для мошенников.

RSS: Новости на портале Anti-Malware.ru