Специалисты из Websense предупреждают о массовом заражении вебсайтов новым вредоносным кодом. К прошлой пятнице количество таких сайтов достигло 30 000.
При открытии зараженного сайта JavaScript-код незаметно перенаправляет пользователя на сервер, который анализирует программное обеспечение его компьютера. В зависимости от результатов анализа производится попытка использовать одну или несколько из десятка различных уязвимостей и установить фальшивый антивирус.
Если же на компьютер пользователя установлены «заплатки», закрывающие эти уязвимости, то используется другой план заражения. Всплывающее окно пугает пользователя сообщением о том, что его компьютер заражен, и предлагает установить «антивирус» самостоятельно.
Предполагается, что на сайты этот вредоносный код проникает за счёт использования какой-то известной уязвимости с помощью SQL-инъекцией. При этом встраиваемый скрипт маскируется под код Google Analytics, что затрудняет его обнаружение. Сам лже-антивирус является полиморфом, что также мешает его определению (по данным Virustotal от 29 апреля, этот вредонос вычисляли только 4 из 39 антивирусных программ).
Также отмечается, что JavaScript активно использует цифровые коды вместо символов. Подобной техникой воспользовались и авторы недавних JavaScript-троянов Gumblar/Martuz, которые, по прикидкам Websense, захватили в короткий срок около 60 000 сайтов.
Однако, специалисты считают, что несмотря на некоторую схожесть, новый вредонос не имеет отношения к Gumblar. Напротив, не исключена возможность, что он каким-то образом связан с русским хостингом RBN. На такую гипотезу сотрудников Websense натолкнуло использование той же тактики, которой придерживались в RBN: JavaScript, если его раскодировать, указывает на веб-адреса, очень похожие на легитимные домены Google Analytics.