Gumblar

Gumblar , også kendt som JSRedir-R , er en trojaner, der udnytter sikkerhedshuller i browsertilføjelser såsom PDF eller Adobe Flash . Gumblar manipulerer resultaterne af Google- søgeforespørgsler .

Contagion

Virussen inficerer internetbrowseren på en inficeret computer og manipulerer resultaterne af Google-søgeforespørgsler. Søgeresultaterne behandlet af Gumblar peger på websteder, der er kontrolleret af angriberen. Når et offer klikker på et af de administrerede søgeresultater, føres de til et forberedt websted, der kan indeholde yderligere trusler.

Sammen med den beskrevne manipulation af søgeresultater indeholder de også en komponent, der sporer adgangsdata til FTP-servere. Hackere får adgang til webservere og inficerer dem ved hjælp af FTP-adgang for yderligere at sprede skadedyret. Hvis offeret får adgang til filerne på sin egen webside via FTP for at behandle indholdet eller kontrollere for mulig infektion, vedhæfter malwaren en snigende scriptkode. Besøgende på websteder, der er inficeret på denne måde, kan også blive inficeret. Skadedyret optræder under det ekstra navn "Geno" i Japan og inficerer populære domæner i stort antal.

Derudover installerer Gumblar en bagdør på det beskadigede system , som gør det muligt for angriberen at fjernstyre det beskadigede system og samtidig skaber grundlaget for at skabe et botnet -netværk. Den beskrevne interaktion mellem berørte sider, hvor FTP-adgang til andre hjemmesider bliver stjålet fra besøgende, forklarer den massive vækst i distributionen af ​​Gumblar. Ifølge sikkerhedseksperter er mere end 3.000 domæner allerede blevet inficeret. Dette tal er konstant stigende; skjulte tal kan være mange gange større. Baseret på visse parametre i det beskadigede system modtager hvert offer en individuel version af skadedyret. Kinesiske domæner såsom gumblar.cn og martuz.cn, hvorfra Gumblar har downloadet ondsindet kode indtil nu, er ikke længere tilgængelige. Da der opstod et stort antal bagdøre under infektionsprocessen, er det for tidligt at tale om at eliminere truslen. [en]

Varianter af Gumblar

Forskellige firmaer bruger forskellige navne for gumbler og varianter. Til at begynde med koblede virussen sig til domænet gumblar.cn, men den server blev senere lukket ned. Imidlertid dukkede mange ondsindede varianter op, efter at de blev forbundet til forskellige servere ved hjælp af ondsindet iframe-kode. Alle varianter af Gumblar kan kvalificeres som en IFRAME-virus.

Gumblar dukkede op igen i januar 2010 ved at stjæle FTP - login og adgangskoder og inficere HTML- , PHP- og Javascript -filer på webservere for at hjælpe med at sprede sig selv. [2]

Links

1. ↑ "Gumblar" udnytter sårbarheder i PDF og Flash (downlink) . Arkiveret fra originalen den 20. april 2012. (ubestemt) 
2. ↑ Værktøj til fjernelse af virus fra Gumblar-familien (downlink) . Arkiveret fra originalen den 20. april 2012. (ubestemt) 

• Binning, David . Rapporter om Gumblars død stærkt overdrevne , Computer Weekly  (15. maj 2009). Hentet 7. juli 2009.
• Personale . Ny computervirus på vej, advarer sikkerhedseksperter , The Telegraph (London)  (15. maj 2009). Arkiveret fra originalen den 18. maj 2009. Hentet 7. juli 2009.
• Leyden, John . Gumblar Google-forgiftningsangreb morphs , The Register  (19. maj 2009). Hentet 7. juli 2009.
• Johnson, Bobby . 'Gumblar' PC-virus er rettet mod Google-brugere, advarer eksperter , The Guardian (London)  (22. maj 2009). Hentet 7. juli 2009.
• Mills, Elinor . Gumblar-angreb værre end Conficker, advarer eksperter , ZDNet , CBS Interactive Inc. (29. maj 2009). Arkiveret fra originalen den 12. juni 2009. Hentet 7. juli 2009.
• Dinham, Peter . Ridning the Net risikerer drive-by malware download angreb , iTWire  (7. juli 2009). Arkiveret fra originalen den 8. juli 2009. Hentet 7. juli 2009.

Se også

• Tidslinje for computervirus og orme