Gumblar
Gumblar es un malévolo JavaScript caballo de Troya archivo que redirige a un usuario Búsquedas en Googley luego instala Rogue security software. También conocido como Troj/JSRedir-R[1] Esto botnet apareció por primera vez en 2009.
Contenido
- 1 Infección
- 1.1 Computadoras personales Windows
- 1.2 Servidores
- 2 Gumblar variantes
- 3 Véase también
- 4 Referencias
- 5 Enlaces externos
Infección
Computadoras personales Windows
Gumblar.X infecciones fueron consideradas ampliamente en sistemas más viejos sistemas operativos de Windows.[2] Los visitantes de un sitio infectado serán redirigidos a un sitio alternativo que contiene más malware. Inicialmente, este sitio alternativo fue gumblar.cn, pero desde entonces cambió a una variedad de dominios. El sitio envía al visitante un infectado PDF que es abierto por el explorador del visitante o Acrobat Reader. El PDF luego a explotar una vulnerabilidad conocida en Acrobat para acceder a la computadora del usuario. Nuevas variaciones de Gumblar redirección a los usuarios a sitios ejecutando software antivirus falso.
El virus encuentra como clientes FTP FileZilla y Dreamweaver y descarga las contraseñas almacenadas de los clientes. Gumblar también permite modo promiscuo en la tarjeta de red, lo que le permite detectar el tráfico de red local para los datos de FTP. Es uno de los primeros virus para incorporar un automatizado sniffer de red.
Servidores
Usando contraseñas obtenidas de los administradores del sitio, el sitio host se accede a un sitio web vía FTP e infectar ese sitio Web. Descargar grandes porciones de la página web e inyectar código malicioso en los archivos del sitio web antes de cargar los archivos en el servidor. El código se inserta en cualquier archivo que contenga un < cuerpo > etiqueta, tales como archivos HTML, PHP, JavaScript, ASP y ASPx. El código PHP insertado incluye codificada en base64 JavaScript infectará a equipos que ejecutan el código. Además, algunas páginas pueden tener iframes. inserta en ellos. Por lo general, código iframe contiene enlaces ocultos a sitios Web maliciosos.
El virus también modificará .htaccess ORGANIZA los archivos y crear archivos are en directorios llamados 'imágenes'. La infección no es una proeza de nivel de servidor. Sólo infectará a sitios en el servidor que tiene las contraseñas.
Gumblar variantes
Diferentes empresas utilizan diferentes nombres para Gumblar y variantes. Inicialmente, el malware estaba conectando gumblar.cn dominio pero este servidor fue cerrado en mayo de 2009.[3] Sin embargo, han surgido muchas variantes de malware después de eso y que se conectan a otros servidores maliciosos mediante código iframe.
Gumblar reapareció en enero de 2010, robar FTP nombres de usuario y contraseñas e infectando HTML, PHP y JavaScript archivos en servidores web para ayudar a difundir a sí mismo.[4] Esta vez utilizó varios dominios, por lo que es más difícil de detectar/parada.[5]
Véase también
- Malware
- Correo basura
- Crimen de Internet
Referencias
- ^ Matthew Broersma. "'Gumblar' ataques propagando rápidamente ". 26 de julio 2012.
- ^ https://www.f-secure.com/v-Descs/Trojan-downloader_js_gumblar_x.shtml
- ^ Binning, David (15 de mayo de 2009). "Los informes de la muerte de Gumblar muy exagerados". Ordenador semanal. 2009-07-07.
- ^ "Gumblar-familia virus removal tool".
- ^ "Malware Gumblar Sucuri MW:JS:151 - dominios usados".
Enlaces externos
- Personal (15 de mayo de 2009). "Nuevo virus en subida, advierten los expertos en seguridad". El telégrafo (Londres). 2009-07-07.
- Leyden, John (19 de mayo de 2009). "Envenenamiento con Gumblar Google morfos de ataque". El registro. 2009-07-07.
|