Legális weboldalak ezrei fertőznek

Nem újdonság, hogy a feltört webszerverek látszólag teljesen jól működnek – közben pedig vírust és egyebeket terjesztenek. Ezt a weboldalon kívülre mutató oldalrészlettel érték el – egészen mostanáig.

Az új módszer lényege, hogy a fertőző fájl egy régebben is létező, ismert állomány helyét veszi át. Ez a változtatás különösen nehézzé teszi a víruskeresők és még a rendszergazdák számára is annak eldöntését, hogy az oldaluk egyáltalán fertőző-e.

A Gumblar nevű fertőzés legutóbb májusban került a figyelem középpontjába. Akkor a weboldalakon elhelyezett, minden fertőző oldalon más forráskódú javascript kóddal szaporodott. A fertőzött gépeket aztán a Google kereséseinek befolyásolására, újabb sebezhető weboldalak és FTP jelszavak ellopására használta.

A jelenlegi fertőzés pillanatnyilag legalább kétezer weboldalt érint. Ellentétben az előző fertőzéssel, itt nem elég pár webcímet kivetetni a nyilvántartásból. Így – főleg, hogy sok fertőzött KKV oldal üzemeltetői nem tudnak rendesen angolul – sokkal több ideig fertőz egy-egy lap.

Míg a weboldalak maguk eleinte kis látogatottságúak voltak, a vírus ezt is kiküszöbölte: különböző online fórumokba szúrta be a linkjüket. Főleg olyanokba, amelyek olvasói RSS segítségére támaszkodnak – és így automatikusan megkapják a fertőző linket.

Az oldalakra kerültek semmi gyanúsat nem vesznek észre – de a háttérben a fertőzés ellenőrzi, hogy milyen verziójú Adobe Reader és Flash található a gépen. Amennyiben bármelyik sebezhető, ezt ki is használja. Az ezen programokon keresztül nem sebezhetőeket pedig a Microsoft Windows sebezhetőségeivel próbálja lépre csalni.