Gumblar: sofistikovaný červ z legitimních webů

21. 5. 2009

Sdílet

Malware na infikovaném počítači vyhledá namapované FTP servery a rozšíří se i na ně – především sem uploaduje příslušné soubory ve formátech PDF a Flash.

Americký CERT upozorňuje na nový, rychle se šířící útok. Na tisících legitimních webů (společnost ScanSafe odhaduje tento počet asi na 3 000) jsou umístěny soubory, které ohrožují uživatele v důsledku zranitelností v aplikacích Adobe. Uživateli, který navštíví kompromitovaný server, se může stát, že se mu do počítače nainstaluje malware.

Malware na infikovaném počítači vyhledá namapované FTP servery a rozšíří se i na ně – především sem uploaduje příslušné soubory ve formátech PDF a Flash. Přitom na FTP serveru navíc různě čaruje s oprávněními k jednotlivým souborům a složkám, aby správcům serveru ztížil odhalení a odstranění nahraných souborů.

Červ uživateli také modifikuje vyhledávání na Internetu – namísto odpovědí Googlu se budou uživateli zobrazovat odkazy dodané útočníky. Odtud se buď stahuje další malware, nebo se útočníci snaží tímto způsobem získat peníze přes PPC reklamní systémy a prodej zboží.

Poslední útok je znám jako Gumblar, protože při něm byla jako řídící doména použita doména Gumblar.cn, nicméně útočníci již mezitím používají domény jiné.

John Harrison z týmu Symantec Security Response Team uvádí, že Gumblar sám o sobě podle něj není zase tak výraznou hrozbou, ale ilustruje situaci, kdy přibývá útoků pomocí kompromitovaných webových serverů a útoků typu drive-by-download. Kdo má aktualizovaný Acrobat Reader a Flash, měl by být před tímto novým útokem nicméně chráněn i při návštěvě kompromitovaného serveru.

 

bitcoin_skoleni

Viz také: Aktualizaci Acrobat Readeru se nevyplatí odkládat