Домен домена Gumblar Malware снова активен

Исследователи ScanSafe видят обновленную активность в отношении Gumblar, многофункциональной части вредоносного ПО, распространяющейся при атаке компьютеров, посещающих взломанные веб-страницы.

Gumblar может украсть учетные данные FTP, а также угон Google, заменяя результаты на зараженных компьютерах ссылками на другие вредоносные сайты.

Когда вредоносное ПО Gumblar было найдено в марте, он искал инструкции на сервере в gumblar.cn. В то время этот домен был отключен в автономном режиме, но был реактивирован в течение последних 24 часов, пишет Мэри Ландесман, старший научный сотрудник по безопасности ScanSafe, в блоге компании.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Веб-сайты, зараженные Gumblar, содержат iframe, что позволяет переносить контент с одного веб-сайта на другой. Вредоносные программы обычно делают эти iframes невидимыми. Когда жертва посещает сайт, iframe запускает серию эксплойтов, размещенных на удаленном компьютере, чтобы попытаться взломать гостевой компьютер.

Gumblar проверяет, работает ли на компьютере жертвы неподдерживаемые версии Adobe Systems 'Reader и Acrobat программы. Если это так, машина будет скомпрометирована так называемой загрузочной загрузкой.

Регистраторы доменных имен часто приостанавливают имена доменов, которые использовались для вредоносных целей, а авторы вредоносных программ обычно часто меняют домены, на которые их программное обеспечение выглядит для инструкций, поскольку эти плохие домены занесены в черный список. По какой-то причине домен gumblar.cn был выпущен и снова используется.

Landesman написал, что веб-сайты, все еще зараженные Gumblar, теперь могут перезвонить в недавно активированный домен. Это позволит зараженным компьютерам обновляться с помощью новой вредоносной программы.

«Это беспорядок, - писал Ландесман. «Оставайтесь с нами».