Domowa domena Gumblara jest znowu aktywna

Naukowcy z firmy ScanSafe są odnawiani aktywność dotycząca Gumblara, wielofunkcyjnego szkodliwego oprogramowania, które rozprzestrzenia się poprzez atakowanie komputerów odwiedzanych przez zhakowane strony internetowe.

Gumblar może wykraść poświadczenia FTP, a także przejąć kontrolę nad wyszukiwarkami Google, zastępując wyniki na zainfekowanych komputerach łączami do innych złośliwych witryn.

Kiedy złośliwe oprogramowanie Gumblar zostało znalezione w marcu, szukało instrukcji na serwerze pod adresem gumblar.cn. Ta domena została w tym czasie wyłączona, ale została reaktywowana w ciągu ostatnich 24 godzin - napisał na blogu firmy Mary Landesman, starszy specjalista ds. Bezpieczeństwa ScanSafe.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Witryny sieci Web zainfekowane Gumblar zawierają element iframe, który jest sposobem na przeniesienie treści z jednej witryny sieci Web do drugiej. Twórcy szkodliwego oprogramowania zazwyczaj sprawiają, że te elementy iframe są niewidoczne. Kiedy ofiara odwiedza witrynę, element iframe uruchamia serię exploitów hostowanych na komputerze zdalnym, aby spróbować zhakować odwiedzaną maszynę.

Gumblar sprawdza, czy na komputerze ofiary znajdują się niepotwierdzone wersje programu Adobe Reader Reader i Acrobat programy. Jeśli tak, maszyna zostanie zaatakowana przez tzw. "Drive-by download".

Rejestratorzy nazw domen często zawieszają nazwy domen, które zostały użyte do złośliwych celów, a twórcy szkodliwego oprogramowania zwykle często zmieniają domeny, na które patrzy ich oprogramowanie instrukcje, ponieważ te złe domeny są na czarnej liście. Z jakiegoś powodu domena gumblar.cn została zwolniona i jest ponownie używana.

Landesman napisał, że witryny sieci Web wciąż zainfekowane przez Gumblara mogą teraz oddzwaniać do nowo aktywowanej domeny. Pozwoliłoby to zarażonym komputerom zaktualizować nowe złośliwe oprogramowanie.

"To bałagan", napisał Landesman. "Stay tuned."