Gumblar Malware's Home Domain er aktiv igjen

ScanSafe-forskere ser fornyet Aktivitet angående Gumblar, et multifunksjonelt stykke skadelig programvare som spres ved å angripe PCer som besøker hackede nettsider.

Gumblar kan stjele FTP-legitimasjon samt hijack Google-søk, erstatte resultater på infiserte datamaskiner med koblinger til andre skadelige nettsteder.

Når Gumblar malware ble funnet i mars, det så etter instruksjoner på en server på gumblar.cn. Det domenet ble tatt offline på det tidspunktet, men har blitt reaktivert i løpet av de siste 24 timene, skrev Mary Landesman, en senior sikkerhetsforsker med ScanSafe, på en bedriftsblogg.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC]

Nettsteder som er infisert med Gumblar inneholder en iframe, som er en måte å bringe innhold fra et nettsted til en annen. Malware skribenter gjør vanligvis de iframes usynlige. Når et offer besøker nettstedet, vil iframe lansere en rekke utgaver som er vert på en ekstern datamaskin for å prøve å hacke besøksmaskinen.

Gumblar sjekker om offerets PC kjører upakket versjon av Adobe Systems Reader og Acrobat programmer. Hvis det er tilfelle, vil maskinen bli kompromittert av en såkalt kjøre-nedlastning.

Domenenavnregistratorer vil ofte suspendere domenenavn som har blitt brukt for ondsinnede formål, og malwareforfattere vil ofte endre domenene deres programvare ser ut til for instruksjoner som de dårlige domenene er svarteliste. Av en eller annen grunn ble gumblar.cn-domenet frigitt og brukes igjen.

Landesman skrev at nettsteder som fortsatt er infisert med Gumblar, nå kan ringe tilbake til det nylig aktiverte domenet. Det ville tillate at de infiserte PCene blir oppdatert med ny malware.

"Det er et rot," skrev Landesman. "Hold deg oppdatert."