Oud malwaredomein staat op uit dood
Gepubliceerd: Maandag 9 november 2009
Auteur: Michiel van Blommestein
Gumblar.cn is terug. Het domein was in maart neergehaald, maar kan sinds afgelopen week weer als eindstation dienen voor de gelijknamige malwarecode.
Gumblar, die een van de grootste malware-uitbraken van het afgelopen jaar veroorzaakte, steelt FTP-inlogcodes en kan Google-zoekopdrachten kapen. Het slachtoffer wordt naar een met een iFrame-besmette website geleidt (bijvoorbeeld door deze als Google-zoekantwoord te presenteren).
De iFrame vuurt vervolgens verschillende bekende exploits op het systeem af, waarbij de hackers hopen dat de Adobe-software op een van die gebieden niet gepatched is. Als een van die aanvallen erdoor komt, krijgt het slachtoffer via zogenaamde drive-by downloads meer troep op zijn systeem. Die malware plaatst het systeem op zijn beurt in een botnet.
Gumblar.cn, het domein waar de malware naar verwijst, werd kort na de ontdekking in mei afgesloten. Afgelopen week blijkt het domein weer online te zijn geweest, zo schrijft onderzoeker Mary Landesman van beveligingsleverancier ScanSafe op het weblog van de firma.
Het gebeurt volgens ScanSafe wel vaker dat geblokkeerde domeinen door registrars later weer worden vrijgegeven. 'Oude' malware die nog in een winterroes verkeren kunnen zo opeens weer een dreiging worden.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
