Pesquisadores da ScanSafe registram uma nova atividade do Gumblar, malware multifuncional que se espalha quando PCs visitam páginas web contaminadas. Entre suas características, o Gumblar é capaz de roubar credenciais FTP e até de sequestrar resultados de buscas do Google, substituindo o resultado em PCs infectados com links para outros sites com conteúdo malicioso.
Quando foi identificado em março de 2009, o que se descobriu é que o Gumblar buscava por intsruções em um servidor em gumblar.cn, domínio que foi desativado na ocasião mas que voltou a funcionar na última sexta-feira (6/11), segundo comentário postado no blog da ScanSafe pela pesquisadora Mary Landesman.
Sites infectados com essa praga possuem um iframe – trata-se de uma técnica utilizada que leva conteúdo de um site para dentro de outro. Desenvolvedores de malwares são capazes de tornar esses iframes invisíveis. Quando vítima visita uma página infectada, o iframe carrega instruções que ficam armazenadas em um computador remote para tentar hackear o equipamento que está fazendo o acesso.
O Gumblar, então, verifica se a máquina visitante está executando uma versão não corrigida do Reader ou do Acrobat, ferramentas da Adobe, e caso encontre, irá comprometer o funcionamento do PC a partir de a downloads maliciosos.
Domínios reconhecidos com perigosos em geral são suspensos o que leva os criadores de malware a frequentemente terem de mudar o domínio em que suas pragas vão buscar por instruções. Por alguma razão, o domínio gumblar.cn foi liberado e voltou a ser usado.
A pesquisadora informa que sites que ainda estão infectados com o Gumblar podem, agora, voltar a receber instruções e voltar a agir. “É uma bagunça e precisamos ficar atentos”, escreveu.
