Το Domain Domain Malware του Gumblar είναι ενεργό και πάλι

Η Gumblar μπορεί να κλέψει τα διαπιστευτήρια FTP καθώς και να καταλάβει τις αναζητήσεις Google, αντικαθιστώντας τα αποτελέσματα σε μολυσμένους υπολογιστές με συνδέσμους σε άλλους κακόβουλους ιστότοπους. το κακόβουλο λογισμικό Gumblar βρέθηκε τον Μάρτιο, έψαχνε για οδηγίες σε ένα διακομιστή στο gumblar.cn. Ο τομέας αυτός λήφθηκε εκτός σύνδεσης την εποχή εκείνη, αλλά επανενεργοποιήθηκε μέσα στις τελευταίες 24 ώρες, γράφει ο Mary Landesman, ανώτερος ερευνητής ασφάλειας με το ScanSafe, σε ένα blog της εταιρείας.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από το PC των Windows]

Οι ιστότοποι που έχουν μολυνθεί από το Gumblar περιέχουν ένα iframe, ο οποίος είναι ένας τρόπος να φέρετε περιεχόμενο από μια τοποθεσία Web σε μια άλλη. Οι συγγραφείς κακόβουλων προγραμμάτων συνήθως καθιστούν αυτά τα iframes αόρατα. Όταν ένα θύμα επισκέπτεται τον ιστότοπο, το iframe θα ξεκινήσει μια σειρά εκμεταλλεύσεων που φιλοξενούνται σε έναν απομακρυσμένο υπολογιστή για να προσπαθήσουν να χαράξουν την μηχανή επισκέψεων.

Ο Gumblar ελέγχει αν ο υπολογιστής του θύματος τρέχει χωρίς κωδικό πρόσβασης τις εκδόσεις του Adobe Systems 'Reader και Acrobat προγράμματα. Σε αυτή την περίπτωση, το μηχάνημα θα τεθεί υπό αμφισβήτηση από τη λεγόμενη μονάδα δίσκου.

Οι καταχωρητές ονομάτων τομέα συχνά αναστέλλουν ονόματα τομέων που έχουν χρησιμοποιηθεί για κακόβουλους σκοπούς και οι συγγραφείς κακόβουλων προγραμμάτων συνήθως αλλάζουν συχνά τους τομείς που το λογισμικό τους φαίνεται για οδηγίες, καθώς οι κακοί τομείς είναι μαύροι. Για κάποιο λόγο, ο τομέας gumblar.cn κυκλοφόρησε και είναι ξανά σε χρήση.

Ο Landesman έγραψε ότι οι ιστότοποι που έχουν μολυνθεί ακόμα από τη Gumblar ενδέχεται τώρα να μπορέσουν να επικοινωνήσουν με τον τομέα που ενεργοποιήθηκε πρόσφατα. Θα επέτρεπε στους μολυσμένους υπολογιστές να ενημερώνονται με νέο κακόβουλο λογισμικό.

«Είναι ένα χάος», έγραψε ο Landesman. "Μείνετε συντονισμένοι."