Gumblar-haittaohjelmien kotisivut toimivat aktiivisesti

ScanSafe-tutkijat näkevät uudistuneen

Gumblar voi varastaa FTP-tunnistetietoja sekä kaapata Google-haut ja korjata tulokset tartunnan saaneilla tietokoneilla, joissa on linkkejä muihin haittaohjelmia sivustoihin.

When Gumblarin haittaohjelma löydettiin maaliskuussa, ja se etsii ohjeita palvelimelta osoitteessa gumblar.cn. Tämä verkkotunnus otettiin offline-tilassa tuohon aikaan, mutta se on aktivoinut uudelleen viimeisen 24 tunnin aikana, kirjoitti yritysblogissaan ScanSafe: n johtava tietoturva-tutkija Mary Landesman.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Gumblarilla tartunnan saaneet verkkosivustot sisältävät iframe-tiedoston, joka on tapa tuoda sisältöä yhdestä verkkosivustosta toiseen. Haittaohjelmien kirjoittajat yleensä tekevät kyseisistä iframeista näkymätön. Kun uhri vierailee sivustolla, iframe käynnistää useita haasteita, jotka on isäntänä etätietokoneessa, yrittävät hakata vierailevaa laitetta.

Gumblar tarkistaa, onko uhrin tietokoneella Adobe Systemsin Readerin ja Acrobatin epävirallisia versioita ohjelmia. Jos näin on, kone vaarantuu ns. Drive-by-latauksella.

Verkkotunnusten rekisterinpitäjät keskeyttävät usein verkkotunnuksia, joita on käytetty haitallisiin tarkoituksiin, ja haittaohjelmien kirjoittajat yleensä muuttavat usein verkkotunnuksia, joiden ohjelmisto näyttää ohjeita, kun nämä huonot verkkotunnukset ovat mustalle listalle. Jostain syystä gumblar.cn-toimialue vapautettiin ja sitä käytetään uudelleen.

Landesman kirjoitti, että Gumblarin kanssa vielä tartunnan saaneet verkkosivustot voivat nyt soittaa takaisin vasta käyttöön otettuun verkkotunnukseen. Se sallii näiden tartunnan saaneiden tietokoneiden päivityksen uusilla haittaohjelmilla.

"Se on sotku", Landesman kirjoitti. "Pysy kuulolla."