Gumblar-Netzwerk wieder aktiv Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


19.10.2009 Rudolf Felser

Gumblar-Netzwerk wieder aktiv

Mary Landesman, Senior Security Researcher bei Scansafe, warnt in einem Blog-Eintrag vor neuen, bedenklichen Aktivitäten im Gumblar-Netzwerk.

Mary Landesman, Senior Security Researcher bei Scansafe, warnt in einem Blog-Eintrag: Nach einer Pause von fünf Monaten ist das Gumblar-Netzwerk wieder aktiv (siehe dazu "Google-Attacke verbreitet sich schnell"). Im Mai dieses Jahres ist ein Netz von infizierten Webseiten gebildet worden, das jetzt diese Seiten als Host für seine Malware verwendet. "In einer typischen Outbreak-Situation liegt die Malware auf einer gehackten Seite. In diesem Fall befindet sich die Malware jedoch auf tausenden legitimen - aber infizierten - Websites.“ Scansafe zufolge hat signatur-basierende Sicherheitssoftware hier kaum eine Chance.

Die Attackierenden haben einen cleveren Trick, um den Internetverkehr direkt zur Malware zu führen, die auf diesen Seiten geparkt ist: "Ein iframe, der zu dem Malware-Script auf der infizierten Seite führt, wird in diversen Foren abgelegt. Die betroffenen Foren, die wir uns bis jetzt angesehen haben, benutzen Feed-Aggregatoren, um ihre Posts aus dem Forum zu Abonnenten zu bringen, die dann durch den iframe infiziert werden“, so Landesman. "Dieses infizierte Script - das im ersten Schritt der Gumblar-Attacke bestimmte unique Komponenten enthält, sucht die Version von Adobe Reader und Adobe Flash und liefert dieselbe URL mit einer uniquen SID, die auf diesen Ergebnissen basiert."

Das Skript enthält auch ein Exploit für die Microsoft Office Web Komponenten, das im August 2009 gepatcht wurde (beschrieben in MS09-043). Erfolgreiche Exploit-Ergebnisse in einer durch Zufallsgenerator benannten Datei wurden im System abgelegt.

Genau wie bei der ursprünglichen Gumblar-Attacken modifiziert die Malware folgenden Registry Key: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32

"Dadurch wird die Malware geladen, sobald eine x-beliebige Ton-fähige Anwendung bzw. irgendein Browser, gestartet wird. Die Malware liest auch sqlsodbc.chm, eine Datei, die bereits Ziel früherer von Gumblar verteilter Malware war", sagt Landesman. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: