Gumblar Malware's Home Domain Is Active Again

يرى باحثو ScanSafe متجددًا نشاط Gumblar ، وهو عبارة عن قطعة من البرامج الضارة متعددة الوظائف تنتشر عن طريق مهاجمة أجهزة الكمبيوتر التي تزور صفحات الويب التي تم اختراقها.

Gumblar يمكنه سرقة بيانات اعتماد FTP بالإضافة إلى خطف عمليات بحث Google ، واستبدال النتائج على أجهزة الكمبيوتر المصابة بالارتباط مع مواقع ضارة أخرى.

عندما تم العثور على البرامج الضارة Gumblar في مارس ، بدا للحصول على تعليمات على الخادم في gumblar.cn. تم أخذ هذا النطاق دون اتصال في ذلك الوقت ، ولكن تم إعادة تنشيطه خلال الـ 24 ساعة الماضية ، كما كتب ماري لاندسمان ، وهو باحث أمن كبير مع ScanSafe ، على مدونة الشركة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تحتوي مواقع الويب المصابة بـ Gumblar على iframe ، وهي طريقة لنقل المحتوى من موقع ويب إلى آخر. عادةً ما يجعل كتّاب البرامج الضارة تلك الإطارات غير مرئية. عندما يزور أحد الضحايا الموقع ، سيطلق iframe سلسلة من الاستغلالات المستضافة على كمبيوتر بعيد لمحاولة اختراق الجهاز الزائر.

يتحقق Gumblar لمعرفة ما إذا كان جهاز الكمبيوتر الخاص بالضحية يشغل إصدارات غير مقرؤة من Adobe Systems 'Reader و Acrobat البرامج. إذا كان الأمر كذلك ، فسيتم اختراق الجهاز من خلال ما يسمى بالتنزيل من خلال محرك الأقراص.

غالبًا ما يوقف مسجلي اسم النطاق أسماء النطاقات التي تم استخدامها لأغراض ضارة ، وكثيراً ما يقوم كتّاب البرامج الضارة بتغيير المجالات التي يتطلع عليها برنامجهم إلى للحصول على التعليمات نظرًا لأن هذه النطاقات السيئة مدرجة في القائمة السوداء. لسبب ما ، تم إصدار النطاق gumblar.cn وهو قيد الاستخدام مرة أخرى.

كتب Landesman أن مواقع الويب التي ما زالت مصابة بـ Gumblar قد تكون الآن قادرة على الاتصال مرة أخرى بالمجال الذي تم تنشيطه حديثًا. وكتب Landesman أنه سيسمح لتلك الحواسيب المصابة بالحصول على تحديث بالبرامج الضارة الجديدة.

"إنها فوضى". "ترقبوا".