Červ Gumblar opět operuje ze své původní domény


Společnost ScanSafe zaznamenala novou aktivitu červa Gumblar. Objevil se poprvé letos v březnu a byl spojen především s doménou gumblar.cn, kam se obracel o instrukce k řídicímu serveru. Doména se pak ocitla off-line, nyní však na ní byla zjištěna další aktivita.

Červ Gumbral na infikovaném počítači krade přístupová hesla k FTP serverům a pokouší se na ně zkopírovat svůj útočný kód – přes Iframe ho načte z řídicího serveru. K ovládnutí dalšího počítače pak stačí, aby měl uživatel při návštěvě kompromitovaného webu nezáplatované produkty Adobe pro práci s PDF. V tomto případě jde o útok typu drive-by download.

Červ také mění výsledky vyhledávání Googlu a přidává do nich odkazy na další servery obsahující malware.

Není jasné, jak se mohlo stát, že registrátoři domén povolili v Číně útočníkům doménu opět používat.

 











Komentáře