Die Home-Domain von Gumblemar-Malware ist wieder aktiv

ScanSafe-Forscher sehen sich erneuert Aktivität in Bezug auf Gumbar, eine multifunktionale Malware, die sich verbreitet, wenn Hacker angegriffene Webseiten besuchen.

Gumblar kann FTP-Zugangsdaten stehlen und Google-Suchen entführen, indem er Ergebnisse auf infizierten Computern durch Links zu anderen bösartigen Websites ersetzt.

Wann Die Gumblar-Malware wurde im März gefunden, sie suchte nach Instruktionen auf einem Server bei gumblar.cn. Diese Domain wurde damals offline genommen, aber innerhalb der letzten 24 Stunden reaktiviert, schrieb Mary Landesman, Senior Security Researcher bei ScanSafe, in einem Firmenblog.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Websites, die mit Gumblar infiziert sind, enthalten einen Iframe, mit dem Sie Inhalte von einer Website in eine andere übertragen können. Malware-Autoren machen diese Iframes normalerweise unsichtbar. Wenn ein Opfer die Site besucht, startet der iFrame eine Reihe von Exploits, die auf einem Remote-Computer gehostet werden, um den besuchenden Rechner zu hacken.

Gumblar prüft, ob der PC des Opfers ungepatchte Versionen von Adobe Systems Reader und Acrobat ausführt Programme. Wenn dies der Fall ist, wird die Maschine durch einen sogenannten Drive-by-Download kompromittiert.

Domain-Registrare sperren häufig Domain-Namen, die für bösartige Zwecke verwendet wurden, und Malware-Autoren ändern häufig häufig die Domains, nach denen ihre Software sucht für Anweisungen wie diese schlechten Domains sind auf der schwarzen Liste. Aus irgendeinem Grund wurde die Domain gumblar.cn veröffentlicht und wird wieder verwendet.

Landesman schrieb, dass Websites, die immer noch mit Gumblar infiziert sind, nun in der Lage sind, zu der neu aktivierten Domain zurückzurufen. Es würde den infizierten PCs erlauben, sich mit neuer Malware zu versorgen.

"Es ist ein Durcheinander", schrieb Landesman. "Bleib dran."