Malware Gumblar está ativo novamente, adverte pesquisadora

[RafaelSonyLock 18]

Sites e PCs ainda infectados por esta antiga praga estão recendo novas instruções para agirem novamente.

 

Pesquisadores da ScanSafe registram uma nova atividade do Gumblar, malware multifuncional que se espalha quando PCs visitam páginas web contaminadas. Entre suas características, o Gumblar é capaz de roubar credenciais FTP e até de sequestrar resultados de buscas do Google, substituindo o resultado em PCs infectados com links para outros sites com conteúdo malicioso.

 

Quando foi identificado em março de 2009, o que se descobriu é que o Gumblar buscava por intsruções em um servidor em gumblar.cn, domínio que foi desativado na ocasião mas que voltou a funcionar na última sexta-feira (6/11), segundo comentário postado no blog da ScanSafe pela pesquisadora Mary Landesman.

 

Sites infectados com essa praga possuem um iframe - trata-se de uma técnica utilizada que leva conteúdo de um site para dentro de outro. Desenvolvedores de malwares são capazes de tornar esses iframes invisíveis. Quando vítima visita uma página infectada, o iframe carrega instruções que ficam armazenadas em um computador remote para tentar hackear o equipamento que está fazendo o acesso.

 

O Gumblar, então, verifica se a máquina visitante está executando uma versão não corrigida do Reader ou do Acrobat, ferramentas da Adobe, e caso encontre, irá comprometer o funcionamento do PC a partir de a downloads maliciosos.

 

Domínios reconhecidos com perigosos em geral são suspensos o que leva os criadores de malware a frequentemente terem de mudar o domínio em que suas pragas vão buscar por instruções. Por alguma razão, o domínio gumblar.cn foi liberado e voltou a ser usado.

 

A pesquisadora informa que sites que ainda estão infectados com o Gumblar podem, agora, voltar a receber instruções e voltar a agir. “É uma bagunça e precisamos ficar atentos”, escreveu.

 

Fonte: http://pcworld.uol.com.br/noticias/2009/11/09/malware-gumblar-esta-ativo-novamente-adverte-pesquisadora/

[Silas Martins 0]

Ta ai um virus que vai fazer frente ao Conficker.

[Mário Monteiro 179]

mas se já é um vírus conhecido os antivírus não deveriam ser mais eficazes?

[Silas Martins 0]

Ai que ta Mário, por ficar muito tempo inativo os Antivirus colocam ele em uma lista de pragas "mortas". (whitelist). Assim quando "voltam" vem com maior poder de fogo, como foi o caso do induc.a. Pegou todas as empresas de segurança de surpresa, o mesmo ta acontecendo com o Glumbar.

 

E o maior problema pelo que eu vi, lendo em alguns sites é que ele entra no seu sistema e a cada nova conexão ele inseri seu código em uma pagina diferente , as pagina não são escolhidas de forma aleatória e sim por conterem falhas estruturais que facilitem a inserção da DIV maliciosa.

 

Lembrando que para pegar esse malware não precisa ir até ele como acontece normalmente, pois você navegando em paginas infectadaspelo código do Glumabr, e tidas como seguras, e seu adobe reader estando desatualizado. Fatalmente você será contaminado.

E só vai perceber tardiamente, ainda não procurei me informar totalmente sobre essa praga, estou procurando por amostras dela, pra tentar entender o seu funcionamento.

[Mário Monteiro 179]

interessante isso silas

 

então existem casos disso ser feito de forma proposital ou é algo ocasional esta volta de pragas?

[Silas Martins 0]

Não se sabe ainda mas creio ser sim proposital, ainda mais com uma praga antiga como essa.