Avec 42% du total des pages web infectées la semaine écoulée, JSRedir-R est sans conteste la terreur du moment. C’est en tout cas ce dont se fait l’écho depuis ce matin toute la presse en ligne spécialisée. Il y a forcément de quoi s’auto flageller d’être passé à côté d’une telle alerte majeure !

Mais à bien y regarder, il n’y a qu’une source pour ces informations apparues subitement aujourd’hui : l’éditeur Sophos. Et à mieux y regarder encore, ce JSRedir-R va (allait, plus exactement) chercher son code d’attaque sur un domaine chinois hébergé en Russie, gumblar.cn.

Gumblar ? Voilà en revanche un nom qui est familier : il s’agit d’un code malveillant découvert au mois de mars dernier et que l’on retrouve de plus en plus souvent au sein de pages web piégées.

Voici donc à l’oeuvre l’un des plus vieux coups du marketing antiviral : lorsqu’un parasite est trop médiatique pour qu’un éditeur puisse tirer seul son épingle du jeu, il suffit de lui trouver un petit nom rien qu’à soi.

Pourtant, ici, le code Javascript que le reste du monde appelle Gumblar depuis le mois de mars 2009 est bien ce que Sophos a baptisé JSRedir-R un mois plus tard (et plus justement, d’ailleurs, car le domaine gumblar.cn ne répond plus et le script va chercher son attaque ailleurs désormais).

Aujourd’hui une recherche avec « Gumblar » sur Google renvoie 175 000 résultats de sources variées, tandis que la même chose avec « JSRedir » n’en renvoie que 29 200 mais toutes, ou presque, mentionnent Sophos. Voilà un excellent coup de Search Engine Optimization (SEO) !

Plus d’information sur Gumblar / JSRedir-R :

Une série de posts chez ScanSafe (en anglais)

Une analyse détaillée (en anglais)

Une autre analyse (en français)