Gumblar Malware's Home Domain er aktiv igen

ScanSafe forskere ser fornyet aktivitet vedrørende Gumblar, et multifunktionelt stykke malware, der spredes ved at angribe pc'er, der besøger hackede websider.

Gumblar kan stjæle FTP-legitimationsoplysninger samt kapere Google-søgninger, erstatte resultater på inficerede computere med links til andre ondsindede websteder. Gumblar malware blev fundet i marts, det kiggede efter instruktioner på en server på gumblar.cn. Det domæne blev taget offline på det tidspunkt, men har været genaktiveret inden for de sidste 24 timer, skrev Mary Landesman, en højtstående sikkerhedsforsker med ScanSafe, på en virksomhedsblog.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Websider, der er inficeret med Gumblar, indeholder en iframe, som er en måde at bringe indhold fra et websted til et andet. Malware skribenter gør normalt disse iframes usynlige. Når et offer besøger webstedet, lancerer iframe en række udbytter, der er hostet på en fjerncomputer, for at prøve at hakke den besøgende maskine.

Gumblar kontrollerer for at se, om offerets pc kører upakket versioner af Adobe Systems 'Reader og Acrobat programmer. Hvis det er tilfældet, vil maskinen blive kompromitteret ved en såkaldt drev-download.

Domeneregistratorer vil ofte suspendere domænenavne, der er blevet brugt til ondsindede formål, og malwareforfattere ændrer som regel ofte de domæner, deres software ser ud til til instruktioner, da de dårlige domæner er sortlistede. Af en eller anden grund blev gumblar.cn-domænet frigivet og bruges igen.

Landesman skrev, at websteder, der stadig er inficerede med Gumblar, måske nu kan ringe til det nyaktiverede domæne. Det ville give de inficerede pc'er mulighed for at blive opdateret med ny malware.

"Det er et rod," skrev Landesman. "Bliv afstemt."