โดเมนโฮมของ Gumblar Malware กำลังทำงานอีกครั้ง

นักวิจัยของ ScanSafe กำลังติดตามการต่ออายุ กิจกรรมเกี่ยวกับ Gumblar ซึ่งเป็นมัลแวร์มัลติฟังก์ชั่นที่แพร่กระจายโดยการโจมตีเครื่องพีซีไปยังเว็บเพจที่ถูกแฮ็ก

Gumblar สามารถขโมยข้อมูลประจำตัว FTP รวมทั้งการแย่งชิงการค้นหาของ Google โดยแทนที่ผลลัพธ์บนคอมพิวเตอร์ที่ติดไวรัสโดยมีลิงก์ไปยังไซต์ที่เป็นอันตรายอื่น ๆ

พบมัลแวร์ Gumblar ในเดือนมีนาคมพบว่ามีการค้นหาคำแนะนำบนเซิร์ฟเวอร์ที่ gumblar.cn ขณะนี้โดเมนดังกล่าวถูกเปิดใช้งานแบบออฟไลน์ แต่ได้รับการเปิดใช้งานใหม่ภายใน 24 ชั่วโมงที่ผ่านมา Mary Landesman นักวิจัยด้านความปลอดภัยอาวุโสของ ScanSafe กล่าวในบล็อกของ บริษัท

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

เว็บไซต์ที่ติดไวรัส Gumblar มี iframe ซึ่งเป็นวิธีนำเนื้อหาจากเว็บไซต์หนึ่งไปยังอีกเว็บไซต์หนึ่ง นักเขียนมัลแวร์มักทำ iframe ที่มองไม่เห็น เมื่อเหยื่อเข้าชมไซต์ iframe จะเปิดตัวการโจมตีแบบต่างๆที่โฮสต์บนคอมพิวเตอร์ระยะไกลเพื่อลองสับเครื่องจักรที่เข้าเยี่ยมชม

Gumblar ตรวจสอบเพื่อดูว่าเครื่องพีซีของเหยื่อนั้นกำลังใช้ Adobe Reader และ Acrobat เวอร์ชันที่ยังไม่ได้รับการติดตั้ง โปรแกรม ถ้าเช่นนั้นเครื่องจะถูกบุกรุกโดยการดาวน์โหลดไดรฟ์ที่เรียกว่า

การจดทะเบียนชื่อโดเมนมักจะระงับชื่อโดเมนที่ถูกใช้เพื่อจุดประสงค์ที่เป็นอันตรายและนักเขียนมัลแวร์มักจะเปลี่ยนโดเมนที่ซอฟต์แวร์ของตนต้องการ สำหรับคำแนะนำเป็นโดเมนที่ไม่ดีเหล่านั้นจะถูกจัดอยู่ในรายการที่ไม่อนุญาต ด้วยเหตุผลบางอย่างโดเมน gumblar.cn ได้รับการเผยแพร่และใช้งานอีกครั้ง

Landesman เขียนว่าเว็บไซต์ที่ยังคงติดไวรัส Gumblar อาจสามารถโทรกลับไปยังโดเมนที่เพิ่งเปิดใช้งานได้ มันจะช่วยให้เครื่องพีซีที่ติดเชื้อเหล่านี้ได้รับการอัพเดทด้วยมัลแวร์ใหม่ ๆ "เป็นเรื่องที่ยุ่งเหยิง" Landesman เขียน "คอยติดตาม"