Компания ScanSafe сообщила об активизации во всемирной сети обновлённой версии программы-трояна Gumblar. В октябре текущего года на неё приходилось до трети от всех блокировок вредоносного и потенциально опасного программного обеспечения.
При этом, последняя гиперактивность трояна Gumblar фиксировалась весной 2009 года, когда благодаря взлому и утечке паролей от FTP-ресурсов было заражено значительное количество сайтов, с которых вредоносное программное обеспечение в дальнейшем попадало на компьютеры пользователей сети.
Обновлённая версия Gumblar для внедрения на терминалы задействует не один, а несколько источников: инфицирование происходит через разнообразные уязвимости в пользовательском ПО.
Существует проблема в обнаружении данного трояна: вредоносный код периодически изменяется и модифицируется, что усложняет его идентификацию с помощью традиционных сигнатурных методов.
Уникальность троянской программы Gumblar в том, что после успешного завершения атак, в ходе которых применяются FTP-пароли, вредоносное ПО внедряется в пораженные вэб-ресурсы и создаёт на них бэкдоры, активно используемые в дальнейшем как хосты для размещения и распространения своих копий. Кроме того, попав в компьютер к пользователю, вредоносный код перехватывает весь трафик из системы, а обнаруженные FTP-пароли передаются на основной хост, используемый для атак. Такие пароли используются для дальнейшего построения ботнета под троян Gumblar.
По результатам проведённого анализа исходных материалов вредоносного ПО, которые распространяются через инфицированные хосты, сделаны выводы об ориентированности Gumblar на разные языки заражаемых интернет-ресурсов, как широко используемые – английский и немецкий, так и довольно редкие европейские языки для компьютерных систем: итальянский и испанский.
