Website napada poznat kao Gumblar je dodao nove nazive domena u svoju mrežu i na taj nacin onemogućio blokiranje virusa putem gumblar.cn domena. Tzv. “Gumblar” napad je virus koji se instalira na računar korisnika i krade njegove FTP podatke, koje kasnije koristi da ubacuje maliciozne kodove.
Napad Gumblar počeo je u martu ove godine sa domena gumblar.cn – kineskog internet domena povezanog sa ruskim i latvijskim IP adresama. Kada su internet provajderi očistili svoje stranice, virus je promijenio način djelovanja tranformisanjem u dinački generisan i skriven Javascript kod koji je mnogo teže otkriti.
Virus takođe iskorištava propuste u Adobe Acrobat Reader i Flash player da ubaci maliciozni kod u Internet Explorer kao i da ukrade FTP podatke.
Smatra se da je Gumblar veca opasnost od Confickera, “crva” koji se širio preko USB memorija i deaktivirao antivirusne programe i instalirao lazne.
Gumblar trenutno predstavlja više od 30% svih otkrivenih malicioznih propusta (po ScanSafe-u) i predstavlja vecu opasnost od Conficker-a jer prati sav internet protok i instalira skriptu za kradju podataka
4 komentara
Molimo Vas da pročitate sledeća pravila prije komentarisanja:
Komentari koji sadrže uvrede, nepristojan govor, prijetnje, rasističke ili šovinističke poruke neće biti objavljeni. Nije dozvoljeno lažno predstavljanje, ostavljanje lažnih podataka u poljima za slanje komentara. Molimo Vas da se u pisanju komentara pridržavate pravopisnih pravila. Komentare pisane isključivo velikim slovima nećemo objavljivati. Zadržavamo pravo izbora i skraćivanja komentara koji će biti objavljeni. Mišljenja sadržana u komentarima ne predstavljaju stavove poslovnog portala CAPITAL.ba. Komentare koji se odnose na uređivačku politiku možete poslati na adresu [email protected]
“krade njegove FTP podatke, koje kasnije koristi da ubacuje maliciozne kodove”?! Pokusavam da shvatim sta ovo znaci? Ovo objavljivanje IT vijesti me podsjeca na igru gluvih telefona izmedju strana koje objavljuju vijesti, samo sto ovdje nije saptanje, vec prevodjenje i kopiranje zbog kojih dolazi do besmislenih clanaka …
@bl
Da instalira se Trojan/Malware koji snifa ftp protokol i na taj nacin dolazi do username/password-a FTP (file transfer protocol) naloga korisnika. Kada dobije FTP naloge preko automatizovanih skripti ulazi preko FTP na te sajtove i unosi maliciozni kod na html, php i js fajlove.
Na php unosi skriptu koja random generise obfuscate-ovan javascript kod koji se upisuje u html i javascript fajlove?
Ne znam sta je ovdje besmisleno?
kako ga skinuti sa servera? ima li lijeka protiv ove napasti?
Pa ima,
a) Pokusati identifikovati virus na lokalnom racunaru – ili u krajnjem slucaju formatirati racunar i reinstalirati windows
b) Promijeniti sve FTP i email passworde nakon reinstalacije..
Ocistiti fajlove koji sadrze virus -> preko text process alata (search and replace)