فا

‫ انتشار خطرناك Gumblar

 

شماره: IRCNE200905210

 

يكي از شركتهاي امنيتي به نام ScanSafe اعلام كرده حمله جديدي به نام Gumblar در جريان است كه به سوءاستفاده از وب سايتها مي پردازد. اين ويروس دامنه هاي جديدي را براي نصب بدافزار بر روي رايانه هاي قرباني به ليست خود اضافه كرده است و همچنين به سرقت اطلاعات عبور FTP، براي سوءاستفاده از وب سايتهاي قانوني بيشتر پرداخته و در جريان قانوني ترافيك وب سايت اختلال ايجاد مي كند.

حمله Gumblar در ماه مارس با سوءاستفاده از وب سايتهاي قانوني و قرار دادن كدهاي پنهان بر روي آنها شروع شده است. مبدأ بدافزاري كه بر روي وب سايتهاي مذكور نصب مي شود، دامنه اي به نام Gumblar.cn مي باشد. دامنه مذكور يك دامنه چيني است كه آدرسهاي IP روسي و ليتوانيايي نيز با آن همكاري دارند. همچنين آنها كدهاي خرابكار خود را از سرورهايي در انگليس ارسال مي كنند. اطلاعات فوق را شركت امنيتي ScanSafe هفته گذشته منتشر كرده است.

بنابر اطلاعات ارائه شده توسط ScanSafe، زماني كه مسئولان وب سايت به پاكسازي وب سايت خويش مي پردازند، مهاجمان كد خرابكار اوليه را با كد جاوااسكريپت ديگري كه به صورت پويا ايجاد شده است جايگزين مي كنند. كد مذكور يك كد گمراه كننده است كه تشخيص آن براي ابزارهاي آنتي ويروس به سختي امكان پذير است. مهاجمان همچنين دامنه مبدأ كدهاي خرابكار را به Martuz.cn تغيير مي دهند. البته بنا بر اظهارات ScanSafe  در حال حاضر هر دو دامنه مذكور مسدود شده اند.

يكي از كارشناسان ارشد ScanSafe مي گويد:

"از آنجايي كه مهاجمان تغييراتي را در تنظيمات سرور ميزبان وب سايت آلوده ايجاد مي كنند، قادرند همچنان به كنترل وب سايتهاي آلوده ادامه دهند و دامنه هاي جديدي را براي دريافت و نصب كدهاي فرصت طلب بر روي رايانه هاي بازديد كنندگان وب سايتهاي آلوده اضافه كنند. به همين دليل با وجود مسدود كردن دامنه هاي اصلي متعلق به ويروس مذكور، حمله فوق به وب سايتها دوباره آغاز خواهد شد."

وي در ادامه عنوان مي كند كه ويروس Gumblar در حال ايجاد دو شبكه خرابكار  به صورت همزمان است، يكي شبكه اي از وب سايتهاي آلوده و ديگري شبكه اي از رايانه هاي آلوده مي باشد. او مي گويد كه بازديدكنندگان از وب سايت هاي آلوده نيز در صورت فعال بودن امكان جاوااسكريپت در مرورگرشان آلوده خواهند شد و به شبكه رايانه هاي خرابكار  خواهند پيوست.

كارشناس مزبور در مورد نحوه عملكرد ويروس Gumblar توضيح مي دهد:

"اسكريپت خرابكاري كه از طريق وب سايتهاي متعلق به Gumblar به رايانه هاي شخصي ارسال مي شود، يك كد فرصت طلب را بر روي رايانه هاي قرباني نصب مي كند كه چندين كار را انجام مي دهد. كد مذكور به صورت اتوماتيك فايلهاي PDF و فلش را باز مي كند و سعي در سوءاستفاده از آسيب پذيري هاي موجود در دو برنامه كاربردي فوق دارد. اين كد همچنين خود را در مرورگر IE تزريق كرده و تبادل اطلاعات رايانه آلوده با وب را مسدود مي كند و نتايج جستجوي گوگل را با جايگزين كردن وب سايتهاي مورد نظر مهاجمان با وب سايتهاي قانوني، دستكاري مي كند. در نهايت كد فرصت طلب مذكور اطلاعات عبور FTP موجود بر روي رايانه آلوده را به اميد سوءاستفاده از وب سايتهاي بيشتر سرقت مي كند. ويروس Gumblar كاربران IE و گوگل را هدف قرار داده است."

بنابر اظهارات كارشناس ScanSafe در دو هفته اول ماه مي 37 درصد بدافزار هاي مسدود شده توسط ScanSafe مربوط به Gumblar بوده اند و ظرف اين مدت 30000 وب سايت آلوده شده اند. تخمين زده مي شود كه تعداد وب سايتهاي آلوده بيش از دهها هزار باشد و تعداد رايانه هاي شخصي آلوده نيز همچنان يك راز است چراكه آنتي ويروسها در تشخيص بدافزار مذكور بسيار ضعيف عمل مي كنند.

براي تشخيص آلودگي رايانه از روش زير استفاده كنيد:

 

1.       فايل sqlsodbc.chm را در فولدر ويندوز پيدا كنيد.

2.       Sha1 (Secure Hash Algorithm) را از فايل مذكور بازيابي كنيد. براي اين منظور مي توانيد از ابزار رايگان FileAlyzer استفاده كنيد.

3.       Sha1 به دست آمده را با ليستي كه در ScanSafe STAT Blog قرار دارد مقايسه كنيد.

4.       در صورتي كه اندازه SHA1 به دست آمده با اندازه فايل متناظرش در ليست مذكور همخواني ندارد، احتمالاً دچار Gumblar شده ايد.

 

 

شركت امنيتي ScanSafe عنوان مي كند، مؤثرترين راه براي مقابله با آلودگي مذكور فرمت كامل رايانه است. همچنين لازم است كلمات عبور ذخيره شده بر روي رايانه آلوده، تغيير پيدا كنند.

 

اخبار مرتبط:

گسترش حمله Gumblar

  

 


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 7 خرداد 1388

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0