Gumblar atakuje. Wyniki wyszukiwań Google zarażone

Amerykański oddział CERT ostrzega przed nową wersją złośliwego oprogramowania Gumblar rozpowszechnianego w linkach z wyników wyszukiwań Google.

Robak Gumblar, rozprzestrzeniający się głównie poprzez linki do stron umieszczone w wyszukiwaniach Google, powrócił w nowej formie.

Amerykański oddział CERT alarmuje, że nowa wersja złośliwego kodu zaraziła w ostatnich dniach kilka tysięcy stron, do których odnośniki można znaleźć na pierwszych stronach wyników wyszukiwań Google.

Program wykorzystuje dziury w oprogramowaniu Adobe Flash oraz PDF i instaluje na komputerach ofiar aplikacje ułatwiające potem właściwy atak hakerom. Co więcej, Gumblar kradnie i przekazuje dalej również loginy i hasła do zasobów FTP. Aplikacja podmienia także wyniki wyszukiwań Google z domyślnej przeglądarki - tak, że użytkownik po wpisaniu interesującego go hasła trafia niemal wyłącznie pod zarażone adresy (dotyczy tylko Internet Explorera).

Firma ScanSafe odnotowała już ponad 3 tysiące zarażonych stron. Wśród nich znalazły się takie witryny jak tennis.com czy variety.com.

Poprzednia wersja robaka Gumblar została zdiagnozowana w marcu bieżącego roku. Google zaczęło natychmiast usuwać zarażone strony ze swoich wyników wyszukiwań. Widać jednak, że twórcy kodu cały czas pracują nad tym, by był on niewykrywalny.

John Harrison z firmy Symantec uspokaja, że Gumblar nie stanowi większego wyjątku spośród dziesiątek tysięcy podobnych aplikacji. Dodaje, że Symantec odnotował w ostatnim czasie około 18 milionów ataków na swoich klientów. Z tego jedynie 10 tysięcy dokonane zostało z użyciem opisywanego kodu.