شماره: IRCNE200911486
محققان امنيتي فعاليتهاي جديدي را از Gumblar مشاهده كرده اند. ويروس مذكور در واقع از جمله بدافزارهايي است كه از طريق مشاهده وب سايتهاي آلوده توسط رايانه هاي خانگي، گسترش پيدا مي كنند.
بدافزار Gumblar اولين بار در ماه مارس سال جاري مشاهده شد كه در آن زمان دستوراتش را از سروري با آدرس Gumblar.cn دريافت مي كرد. دامنه مذكور در آن زمان غير فعال شد ولي از 24 ساعت گذشته علائمي مبني بر فعاليت مجدد آن مشاهده شده است. اطلاعات مذكور را Mary Landesman يك محقق امنيتي ارشد در ScanSafe ارائه كرده است.
وب سايتهايي كه توسط Gumblar آلوده شده اند شامل يك iframe هستند كه ابزاري براي برقراري ارتباط بين دو وب سايت است. نويسندگان بدافزار معمولاً iFrame مذكور را نامرئي مي سازند و بنابراين زماني كه قرباني وب سايت آلوده را مورد مشاهده قرار مي دهد، iFrame مذكور به يك سري از كدهاي فرصت طلب بر روي يك رايانه ميزبان از راه دور دسترسي پيدا كرده و سعي مي كند تا به رايانه مشاهده كننده نفوذ پيدا كند.
ويروس Gumblar رايانه قرباني را در مورد وجود نسخه هاي اصلاح نشده Adobe Reader و Acrobat بازرسي مي كند و در صورت پيدا كردن آنها رايانه قرباني دچار حمله Drive-by download مي شود يعني برنامه هايي بدون اطلاع كاربر بر روي رايانه قرباني نصب مي شوند.
معمولاً تأمين كنندگان نام دامنه، دامنه هايي را كه مشكوك به فعاليت هاي خرابكارانه هستند، غيرفعال مي سازند و نويسندگان بدافزار نيز دامنه اي را كه بدافزار دستوراتش را از آنجا مي گيرد تغيير مي دهند. اما در اين مورد معلوم نيست كه به چه علت دامنه مورد استفاده Gumblar يعني gumblar.cn آزاد شده و دوباره مورد سوءاستفاده قرار گرفته است.
خانم Landsman به وب سايتهايي كه همچنان آلوده به Gumblar باقي مانده اند، هشدار داد كه بدافزار مذكور دوباره بيدار شده است و احتمالاً دستورات و بدافزارهاي جديد را از سرور دريافت خواهد كرد.
- 3