Como funciona o ataque do malware Glumbar

Algumas pessoas podem ter visto algumas máterias sobre o reaparecimento do malware Glumbar, O ataque original do Gumblar ( Maio de 2009) envolveu o ataque em massar de inúmeros sites legítimos com um produtos maliciosos,. O propósito disto era infeccionar computadores com um dados-roubando de um trojan conhecido como Troj/Daonol-Fam, A carga dos ataques recentes parece semelhante, ao código malicioso agora sendo detectado como Mal/Daonol-UM.

A intenção do Glumabar no momento é capturar credenciais de ftp para inserir seu código em sites "seguros" o que facilitaria e muito a propagação do malware. Existem indicios que códigos em php estejam sendo usados para crackers para facilitar a captura de logins de contas ftp.

O script de PHP pode ser usado pelos agressores injetar um código malicioso em todas páginas convenientes no PC de vítima. Os arquivos do malware gira em torno de 200kB para menos, cuja extensão combina qualquer do seguir são apontados:

. rar . gz . jpg . gif . avi . mp3 . wma . mpg . png . txt . swf . css . js .
. pdf . ppt *. fla
Algumas técnicas simples são usadas para fazer com que os código sejam injetados sem muita dificuldade usando técnicas poliformicas, Estes incluem substituição função/variável e outros métodos.

Veja abaixo trecho do código inserido:

/applications/core/interface/imageproxy/imageproxy.php?img=http://www.sophos.com/blogs/sophoslabs/images/blogs/sophoslabs/2009/11/gumb1.jpg&key=34eef8829bc0ea1ed2494658d3284c472b3701d3e3020ded963946449dd60cd3" alt="Imagem Postada" />

O propósito do código injetado é simples - adicionando um elemento de script à página que causará o internautar carregar conteúdo mais malicioso ainda, que provem de um servidor remoto.

Ainda não se tem vacina para a praga, porém algumas companhias como a Sophos e McAfee já conseguem bloquear a ação do Glumbar.

Está matéria foi cedida a mim por Graham Cluley, e não autorizo a cópia da mesma.