lunes, 16 de noviembre de 2009

GUMBLAR o hay un chino en tu sitio PARTE (1)

GUMBLAR es un malware de origen Chino que se vale de dos caminos para propagarse, el principal es accediendo a un sitio web gracia a contraseñas FTP capturadas e infectarlo o explotando vulnerabilidades de servidor conocidas. Una vez que tiene acceso al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html.

Adicionalmente, cada vez que el script se inserta, es encriptado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.

El segundo camino es cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.

En las últimas infecciones se ha detectado, como no podía ser
de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.

Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios
tienen un nivel de detección de poco más del 50% de los motores según el análisis en VirusTotal.com.


Comentario:
Cualquier comentario acerca del gumblar es bienvenido asi podemos formarnos una idea mas completa del ataque, y ojo con los sitios chinos, es muy comun bajarse nombres de usuario y contraseña para actualizar un antivirus muy conocido cuyo nombre NOD lo tengo muy en presente ahora, ojo que el sitio chino del que se actualizan no les juegue una mala pasada... saludos buena semana ...

No hay comentarios:

Publicar un comentario