Powrót Gumblara

Specjaliści ds. bezpieczeństwa z firm IBM oraz ScanSafe poinformowali o wykryciu wzmożonej aktywności złośliwego programu o nazwie Gumblar. Aplikacja jest rozpowszechniana za pośrednictwem "legalnych" stron WWW, na których - dzięki błędom w zabezpieczeniach i konfiguracji - przestępcom udało się osadzić złośliwy kod.

O Gumblarze pierwszy raz usłyszeliśmy w maju bieżącego roku, kiedy to przestępcy zdołali osadzić na tysiącach legalnych stron WWW oprogramowanie, automatycznie przekierowujące użytkowników na stronę Gumblar.cn. Na witrynie tej umieszczony był skomplikowany exploit, próbujący zainstalować w systemach internautów cały zestaw złośliwego oprogramowania (najczęściej wykorzystywał do tego luki w aplikacjach Adobe Flash lub Reader).

Przez kilka ostatnich miesięcy Gumblar (czyli ów explioit) pozostawał nieaktywny - wydawało się, że przestępcy o nim zapomnieli. Ale z najnowszych informacji, przedstawionych przez specjalistów z firm IBM oraz ScanSafe, wynika, że to były tylko pozory - Gumblar był przez ten czas udoskonalany i teraz stał się znacznie groźniejszy. Po pierwsze, przystosowano go do osadzania na stronach WWW - wcześniej "legalna" strona jedynie przekierowywała użytkownika na witrynę z Gumblarem, zaś teraz exploit może zostać umieszczony na dowolnej stronie (o ile przestępcy zdołają uzyskać do niej dostęp - np. dzięki jakiejś luce). Po drugie - przestępcy wyposażyli program w obsługę wielu nowych błędów w oprogramowaniu (Gumblar potrafi zaatakować system m.in. przez wykryte przed kilkoma tygodniami błędy we Flashu i Readerze)

"Przestępcy doskonale wiedzą, jak zwalczamy witryny rozsiewające złośliwe oprogramowanie - zwykle kontaktujemy się z firmą hostującą stronę, przedstawiamy odpowiednie dowody i żądamy zamknięcia strony. Ta metoda świetnie działa w przypadku stron tworzonych przez przestępców, których jedynym celem jest dystrybuowanie wirusów. Ale nowy Gumblar potrafi schować się na legalnych witrynach - a to znacznie utrudnia jego zwalczanie" - tłumaczą przedstawiciele działającego w strukturach koncernu IBM zespołu Internet Security Systems Frequency X.

Co więcej, "szkodnik" stosuje kilka sztuczek, które mają za zadanie utrudnić jego wykrycie na stronie - - jego kod jest odpowiednio zaciemniony i zaszyfrowany, a na dodatek Gumblar dostosowuje się do struktury plików strony (tak, by przypominał jej element).

Z analiz przeprowadzonych przez specjalistów z firmy ScanSafe wynika z kolei, że twórcy Gumblara w ostatnich dnia próbują również umieszczać swój program na najróżniejszych - również niszowych - forach internetowych. Warto dodać, że po zainfekowaniu komputera Gumblar szuka na dysku haseł i loginów FTP - w nadziei, że uda mu się zdobyć dane niezbędne do uzyskania dostępu do strony WWW użytkownika (o ile ten posiada witrynę).

Gumblar na razie nie wykorzystuje do atakowania komputerów żadnej luki typu 0-day (czyli takiej, która nie została jeszcze załatana przez producenta aplikacji) - dlatego też najprostszym sposobem zabezpieczenia się przed atakiem jest zadbanie o to, by wszystkie zainstalowane w systemie aplikacje (a także sam OS) były uaktualnione.


Zobacz również