Červ Gumblar se vrací a je chytřejší

24. 10. 2009

Sdílet

Gumblar, malware, který se šířil hlavně letos v květnu, zažívá renesanci. Útočníci ho šíří pomocí kompromitovaných legitimních webů přes tag IFrame.

V IFramu je kód odkazující na doménu gumblar.cn, který se snaží zneužít zranitelností v produktech Adobe. Pokud uživatel nemá aktualizovanou verzi Acrobat Readeru nebo přehrávače Flash, jeho počítač může být nepozorovaně infikován už při pouhé návštěvě kompromitovaného webu.

Viz také: Gumblar: sofistikovaný červ z legitimních webů

Výzkumníci z IBM Internet Security Systems upozorňují, že autoři červa jsou vynalézaví, svůj výtvor aktualizují a neustále do něho přidávají nově zjištěné zranitelnosti ve zpracování formátů Flash a PDF. Útočníci samozřejmě vědí, že je jen otázkou času, kdy bude doména gumblar.cn vyřazena z provozu správcem domény nebo poskytovateli Internetu, jejich systém ale údajně umožňuje snadno změnit řídící server a nechat kompromitované weby stahovat kód odjinud. Kompromitovat legitimní weby je samozřejmě výrazně efektivnější, než se snažit uživatele nalákat k návštěvě podvodné stránky.

Zjistit kompromitování webu není údajně snadné, protože útočníci svůj kód nenápadně začleňují do stávající struktury souborů. Tvůrci Gumblaru se snaží zneužívat především diskusní fóra.

zabbix_tip

Červ Gumblar na kompromitovaném počítači hledá přístup k FTP serverům a tímto způsobem se šíří na další weby (při tomto automatickém šíření už samozřejmě neimituje původní strukturu souborů webu). Kromě jiných neplech také upraví Internet Explorer a změní výsledky vyhledávání na Googlu; je tedy spojen s podvody v reklamních systémech pay per click.