Via gestolen FTP-logins of gaten in de configuratie van normale websites smokkelen hackers nu nieuwe, zeer kwaadaardige code naar binnen. De hiervoor gebruikte verzameling van samenwerkende malware staat bekend als Gumblar. Het verspreidt zich nu snel over steeds meer domeinen. In maart werd bekend dat de lijst van besmette sites al 3.000 domeinnamen omvat. Inmiddels zijn dat er meer.

De malware waart al sinds maart rond en is oorspronkelijk afkomstig van gumblar.cn. Dat is een Chinees domein dat wordt geassocieerd met Russische en Letse ip-adressen. De kwaadaardige code zelf was weer gehost op servers in Groot-Brittannie, meldt beveiligingsbedrijf ScanSafe. Gumblar is al geblokkeerd en neergehaald, maar daarna is het domein martuz.cn, gevolgd door diverse andere domeinnamen, actief geworden voor de distributie van Gumblar.

Vermommen

Het grootschalig schoonmaken van besmette sites begin deze maand is door de makers van deze malware gedetecteerd waarna zij hun kwaadaardige software hebben aangepast. Die is nu voorzien van de mogelijkheid vervuilde JavaScript-code dynamisch te genereren. Daardoor kan de malware zichzelf telkens vermommen en hebben beveiligingsprogramma's grote moeite het te herkennen.

De zo aangemaakte - en telkens veranderende - JavaScript-code draait op vertrouwde, maar besmette websites en probeert dan bezoekers te infecteren. Dat gebeurt door kwetsbaarheden in Adobe Acrobat Reader en Flash Player te gebruiken om code af te leveren op de pc's van de nietsvermoedende bezoekers.

Geïnfecteerde zoekresultaten

Die code zorgt vervolgens dat zoekopdrachten in Google op Internet Explorer plots zijn voorzien van nep-zoekresultaten die leiden naar andere kwaadaardige sites. Dat kan dan weer nieuwe besmettingen opleveren.

Daarnaast wordt de pc van het slachtoffer doorzocht op FTP-inlogggevens waarmee dan weer andere websites zijn te besmetten met de eerste fase van deze 'veel-stapsraket'. Het originele domein werd door de aanvallers veranderd in martuz.cn. Op dit moment is de malware onder meer afkomstig van liteautotop.cn en autobestwestern.cn.

Nieuwe kampioen

Volgens ScanSafe is Gumblar erger dan Conficker, een worm die zich verspreidt via een gat in Windows, om vervolgens namaak antivirussoftware te installeren en de echte uit te schakelen. Gumblar was de eerste twee weken van deze maand goed voor veertig procent van de malware die werd geblokkeerd door ScanSafe.

De worm gedraagt zich anders dan Conficker, hij dringt dieper binnen en onderschept en monitort het webverkeer. Daarnaast wordt er een Trojaans paard geïnstalleerd dat data zoals wachtwoorden en gebruikersnamen steelt, aldus Cnet.

Formatteren en herinstalleren

Daar komt nog bij dat een Conficker-aanval stopt als de besmetting is verholpen. Gumblar gebruikt FTP-logins om zichzelf verder te verspreiden. Om de infectie van deze nieuwe malwarekampioen op te sporen, kunnen er een aantal stappen worden genomen:

1. Zoek het bestand sqlsodbc.chm in de systeemfolder van Windows. (Bij XP is de locatie C:\Windows\System32\)

2. Zoek de Sha1 van sqlsodbc.chm. Dit kan met FileAlyzer.

3. Vergelijk daarna de verkregen Sha1 met de lijst van ScanSafe.

4. Als de Sha1 en de grootte van het bestand niet overeenkomen zou sprake kunnen zijn van een Gumblar infectie.

ScanSafe heeft echter een radicaler advies. Het raadt een format van de harde schijf en een herinstallatie van Windows (en alle applicaties) aan als de meest effectieve manier om de Gumblar te bestrijden. Ook is het raadzaam om alle wachtwoorden te vervangen.