Gumblar

Gumblar , cunoscut și sub numele de JSRedir-R , este un troian care exploatează lacunele de securitate din suplimentele browserului, cum ar fi PDF sau Adobe Flash . Gumblar manipulează rezultatele interogărilor de căutare Google .

Contagiune

Virusul infectează browserul de internet al unui computer infectat și manipulează rezultatele interogărilor de căutare Google. Rezultatele căutării procesate de Gumblar indică site-uri web care sunt controlate de atacator. Odată ce o victimă face clic pe unul dintre rezultatele căutării gestionate, este dusă la un site web pregătit care poate conține amenințări suplimentare.

Pe lângă manipularea descrisă a rezultatelor căutării, acestea conțin și o componentă care urmărește datele de acces la serverele FTP. Hackerii obțin acces la serverele web și le infectează folosind accesul FTP pentru a răspândi și mai mult dăunătorul. Dacă victima accesează fișierele propriei pagini web prin FTP pentru a procesa conținutul sau pentru a verifica posibile infecții, malware-ul atașează un cod de script insidios. Vizitatorii site-urilor web infectate în acest mod pot fi, de asemenea, infectați. Dăunătorul apare sub numele suplimentar „Geno” în Japonia și infectează domenii populare în număr mare.

În plus, Gumblar instalează o ușă din spate pe sistemul deteriorat , care permite atacatorului să controleze de la distanță sistemul deteriorat și, în același timp, creează baza pentru crearea unei rețele botnet . Interacțiunea descrisă a paginilor afectate, în care accesul FTP la alte site-uri web este furat de la vizitatori, explică creșterea masivă a distribuției Gumblar. Potrivit experților în securitate, peste 3.000 de domenii au fost deja infectate. Această cifră este în continuă creștere; numerele ascunse pot fi de multe ori mai mari. Pe baza anumitor parametri ai sistemului deteriorat, fiecare victimă primește o versiune individuală a dăunătorului. Domeniile chinezești precum gumblar.cn și martuz.cn, de pe care Gumblar a descărcat până acum cod rău intenționat, nu mai sunt disponibile. Deoarece un număr mare de uși din spate au apărut în timpul procesului de infecție, este prea devreme să vorbim despre eliminarea amenințării. [unu]

Variante de Gumblar

Diferite companii folosesc nume diferite pentru gumblar și variante. Inițial, virusul s-a conectat la domeniul gumblar.cn, dar acel server a fost ulterior închis. Cu toate acestea, multe variante rău intenționate au apărut după ce au fost conectate la diverse servere folosind cod iframe rău intenționat. Toate soiurile de Gumblar pot fi calificate drept virus IFRAME.

Gumblar a reapărut în ianuarie 2010 prin furtul autentificărilor și parolelor FTP și infectând fișierele HTML , PHP și Javascript ale serverelor web pentru a ajuta la răspândirea. [2]

Link -uri

1. ↑ „Gumblar” exploatează vulnerabilitățile din PDF și Flash (downlink) . Arhivat din original pe 20 aprilie 2012. (nedefinit) 
2. ↑ Instrument de eliminare a virușilor din familia Gumblar (link în jos) . Arhivat din original pe 20 aprilie 2012. (nedefinit) 

• Binning, David . Rapoartele despre moartea lui Gumblar au exagerat mult , Computer Weekly  (15 mai 2009). Preluat la 7 iulie 2009.
• Personalul . Un nou virus informatic în creștere, avertizează experții în securitate , The Telegraph (Londra)  (15 mai 2009). Arhivat din original pe 18 mai 2009. Preluat la 7 iulie 2009.
• Leyden, John . Gumblar Google-Poisoning attack morphs , The Register  (19 mai 2009). Preluat la 7 iulie 2009.
• Johnson, Bobby . Virusul pentru PC „Gumblar” vizează utilizatorii Google, avertizează experții , The Guardian (Londra)  (22 mai 2009). Preluat la 7 iulie 2009.
• Mills, Elinor . Atacul Gumblar mai rău decât Conficker, avertizează experții , ZDNet , CBS Interactive Inc. (29 mai 2009). Arhivat din original pe 12 iunie 2009. Preluat la 7 iulie 2009.
• Dinham, Peter . Riding the Net riscă un atac de descărcare de programe malware , iTWire  (7 iulie 2009). Arhivat din original pe 8 iulie 2009. Preluat la 7 iulie 2009.

Vezi și

• Cronologia virușilor și viermilor informatici