Červ Gumblar se vrací a je chytřejší

24. 10. 2009

Sdílet

Gumblar, malware, který se šířil hlavně letos v květnu, zažívá renesanci. Útočníci ho šíří pomocí kompromitovaných legitimních webů přes tag IFrame.

V IFramu je kód odkazující na doménu gumblar.cn, který se snaží zneužít zranitelností v produktech Adobe. Pokud uživatel nemá aktualizovanou verzi Acrobat Readeru nebo přehrávače Flash, jeho počítač může být nepozorovaně infikován už při pouhé návštěvě kompromitovaného webu.

Viz také: Gumblar: sofistikovaný červ z legitimních webů

Výzkumníci z IBM Internet Security Systems upozorňují, že autoři červa jsou vynalézaví, svůj výtvor aktualizují a neustále do něho přidávají nově zjištěné zranitelnosti ve zpracování formátů Flash a PDF. Útočníci samozřejmě vědí, že je jen otázkou času, kdy bude doména gumblar.cn vyřazena z provozu správcem domény nebo poskytovateli Internetu, jejich systém ale údajně umožňuje snadno změnit řídící server a nechat kompromitované weby stahovat kód odjinud. Kompromitovat legitimní weby je samozřejmě výrazně efektivnější, než se snažit uživatele nalákat k návštěvě podvodné stránky.

Zjistit kompromitování webu není údajně snadné, protože útočníci svůj kód nenápadně začleňují do stávající struktury souborů. Tvůrci Gumblaru se snaží zneužívat především diskusní fóra.

bitcoin školení listopad 24

Červ Gumblar na kompromitovaném počítači hledá přístup k FTP serverům a tímto způsobem se šíří na další weby (při tomto automatickém šíření už samozřejmě neimituje původní strukturu souborů webu). Kromě jiných neplech také upraví Internet Explorer a změní výsledky vyhledávání na Googlu; je tedy spojen s podvody v reklamních systémech pay per click.