- Otras noticias
Primer troyano para MAC que detecta la virtualización
Encuentran diversas vulnerabilidades en Winamp
Alerta ante las páginas que intentan arreglarte el navegador 
Denegación de servicio en SpamAssasin 3.jpg)
El primer virus de PC cumple 20 años
EL virus Mydoom consigue neutralizar la página web de SCO
Microsoft corrige 20 vulnerabilidades en 7 boletines de seguridad 
Las empresas cada vez son más atacadas por los cibercriminales
Descubren el primer fallo de seguridad en Windows Vista
Descubren fallos en los microprocesadores que podrían provocar agujeros de seguridad
- En el foro
-
alerta
"Gumblar", una amenaza vírica "in crescendo"
25 May 2009 | HISPASEC.COM
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en VirusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
La cosa se pone interesante. Al fin los que hacen virus están agudizando el ingenio. Esto promete ser una batalla muy movida, aunque ya sabemos cuál será el resultado.
eso de ser el google de "unos cuantos" contiene un poder flipante,
buen articulo, bien redactado, bien explicado.