Появилась новая версия трояна Gumblar

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Домен gumblar.cn, имевший московскую "прописку", больше не отвечает, поэтому киберпреступники, стоящие за этим трояном, разработали его новую версию.

Домен gumblar.cn использовался JavaScript-кодом, подгружающимся при просмотре зараженных веб-страниц, для загрузки на компьютер пользователя вредоносного ПО. Поскольку он уже не действует, дальнейшее распространение этой версии трояна приостановлено.

Однако злоумышленники не собираются сдаваться: новая модификация трояна взаимодействует с другим доменом — martuz.cn, зарегистрированным на некоего Чена (Chen), причём сам сервер находится в Великобритании. Во многом эта версия схожа с предыдущей, но отличается от нее более сильной защитой.

Идентифицировать вредоносный скрипт на сайте стало ещё сложнее. Он и раньше скрывался при помощи замены части символов их цифровыми кодами, но теперь, даже если скрипт декодировать, поиск строки типа "martuz.cn" ничего не даст. Всё очень просто: строка с именем загрузочного домена в скрипте случайным образом разбивается на две (например, "martu"+"z.cn" или "mart"+"uz.cn").

Некоторые вебмастера для проверки сайта на предмет заражения трояном Gumblar открывали его в браузере Google Chrome, который пользуется глобальными "чёрными списками" для распознавания вредоносного ПО, после чего выдаёт соответствующее предупреждение. С последней модификацией такой способ не пройдёт: при просмотре странички, зараженной Martuz-модификацией трояна, в Google Chrome попытки подгрузить вредоносный код не производится, и браузер не выдает предупреждение.

Впрочем, как верно отмечается в блоге We Watch Your Website, если сайт уже проиндексирован поисковиком Google и на нём были обнаружены зараженные страницы, веб-мастер может запустить поиск всех страниц своего сайта. Каждая зараженная страничка в результатах запроса помечается дополнительной ссылкой "Этот сайт может нанести вред вашему компьютеру".

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp не удаляет ваши файлы у собеседников, использующих iPhone

Функция WhatsApp, позволяющая удалить ваши сообщения у собеседников, как оказалось, не до конца отрабатывает на iPhone, оставляя отправленные медиафайлы на смартфонах от Apple. Представители мессенджера заявили, что не считают это уязвимостью.

Напомним, что разработчики внедрили возможность удалить отправленное по ошибке сообщение для собеседника два года назад. С тех пор многих пользователей не раз выручала данная функция.

Если вы ошиблись адресатом, WhatsApp даёт вам 1 час 8 минут и 16 секунд на его удаление для всех участников чата.

Однако в случае с iPhone мессенджер не удаляет медиафайлы, сохранённые на смартфоне. Если же участники беседы используют Android, отправленные ошибочно файлы будут удалены с устройства.

Проблему конфиденциальности обнаружил исследователь Шитеш Сачан, консультант в области безопасности приложений.

Баг проявляет себя в том случае, когда у получателя, использующего iPhone, установлены настройки WhatsApp по умолчанию — сохранять принимаемые медиафайлы на устройстве. Стоит отметить, что эти настройки редко кто меняет.

Команда безопасности WhatsApp заявила эксперту, что вышеозначенная функция призвана удалить сообщение в чате. А застраховать от различных нестандартных ситуаций — сохранения файлов вручную, снятия скриншота чата — она не может.

Похожий баг недавно был обнаружен у главного конкурента WhatsApp — Telegram. Оказалось, что получатель мог просмотреть содержимое сообщения даже после его удаления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru