Wyświetlenie strony internetowej zajmuje niewiele czasu, jednak skutki jej uruchomienia możemy odczuwać długo. Jeżeli w efekcie generowania strony dostanie się na nasz komputer wirus typu drive-by download, utracimy kontrolę nad własną maszyną. Nawet jeżeli tego w pierwszej chwili nie zauważymy, szkodnik przegląda nasze konta bankowe, wysyła spam bądź wykorzystuje komputer do innych celów, wypełniając rozkazy hakera.

Metoda, dzięki której wirus dostaje się na komputer, oraz sposób ukrywania się w systemie są skomplikowanymi procesami. Przyjrzyjmy się im dokładnie, niczym naukowcy oglądający prawdziwe wirusy przez mikroskop. Wraz z Magnusem Kalkuhlem, analitykiem wirusów z firmy Kaspersky, przeanalizowaliśmy wirusa Gumblar. Wirus – ze względu na podstępną metodę rozpowszechniania – ma potencjał, by stać się większym zagrożeniem niż robak Conficker. Pokażemy metodę, którą stosuje szkodnik, by łamać zabezpieczenia komputera i zagnieżdżać się głęboko w jądrze systemu.

Nowe zagrożenie
Gumblar – wirus typu drive-by download ukrywa się na zarażonych stronach.
Nie są to jednak tylko wątpliwej reputacji strony hakerskie czy pornograficzne, ale też normalne strony internetowe. Nawet nasz ulubiony blog może nieświadomie rozpowszechniać złośliwe oprogramowanie.

Szybsze rozprzestrzenianie
Kaspersky Lab informuje, że tylko w listopadzie 2009 roku dokonano około 1,7 miliona odwołań do stron zarażonych Gumblarem. Według ScanSafe, firmy zajmującej się bezpieczeństwem, Gumblar stanowi 29 proc. wszystkich blokowanych szkodliwych aplikacji.

Trudny do wykrycia
Gdy Gumblar zagnieździ się w systemie, wykorzystuje do ukrywania się wyjątkowo sprytną technikę, stosowaną przez rootkity i polegającą na wstrzyknięciu kodu w proces. W efekcie wirus staje się w Menedżerze zadań niewidoczny.

Ponadto wspólnie z producentem oprogramowania ochronnego Panda Security rozszyfrowaliśmy konia trojańskiego TDSS, który – podobnie jak Gumblar – wyposażony został w podstępną funkcję typu rootkit.  Przejdźmy teraz jednak do protokołu przeprowadzonego ataku w sekundowych krokach:

0,124
Odwiedzamy niewinnie wyglądającą stronę prowadzoną przez orkiestrę dętą z niewielkiego miasteczka. Do surfowania wykorzystujemy przeglądarkę Internet Explorer, choć akurat pod tym względem ani Firefox, ani Opera nie zapewniają lepszej ochrony.

 

 

 

0,361
Przeglądarka interpretuje kod źródłowy, strona wygląda podobnie jak wówczas, gdy odwiedzaliśmy ją wcześniej. Jednak dzisiaj wiele się zmieniło – szkodnik Gumblar już dawno przejął kontrolę nad stroną. W jej kodzie źródłowym został umieszczony bezpośrednio przed znacznikiem <body> niepozorny fragment. Złośliwy kod składa się z jednego dynamicznie generowanego polecenia Java-Script, na które nie zwróci uwagi ani użytkownik, ani niektóre pakiety ochronne. Skrypt wywołuje w tle kod PHP.

0,758
Ten plik PHP znajduje się na innej skompresowanej stronie internetowej, będącej tylnymi drzwiami dla szkodnika – złośliwe oprogramowanie pobierane jest za pośrednictwem JavaScript.

W naszym przypadku szkodnik znajduje się na serwerze w Brazylii. Nazwa wirusa wzięła się od pierwszej wersji szkodnika, która powstała na początku roku 2009 i pobierała skrypt z chińskiej strony www.gumblar.cn. Choć teraz strona jest już offline, aktualnie złośliwe oprogramowanie rozprowadza około 2000 innych serwerów. Ten stan rzeczy utrudnia skuteczne zwalczanie wirusa. W przypadku dotychczas pojawiających się szkodników problem dotyczył tylko kilku domen, co umożliwiało stosunkowo proste opanowanie sytuacji. Strona orkiestry dętej nie jest więc jedyną, za pośrednictwem której
koń trojański się ostatnio rozpowszechnia.

Gumblar wykorzystuje nie tylko typowe metody wstrzykiwania kodu, ale też infekuje niezliczoną liczbę stron internetowych i w efekcie zaraża tysiące domowych komputerów. Według Kaspersky Lab w listopadzie 2009 roku Gumblar przeprowadził 1,7 miliona ataków na komputery – a jest ich coraz więcej. Zagrożenie, jakie powoduje Gumblar, jest tak poważne, ponieważ szkodnik nie zna barier językowych. Zarażone strony internetowe znajdują się nie tylko w angielskim obszarze językowym, ale też wielu innych językach.