Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social digg  Bookmarking social delicious  Bookmarking social reddit  Bookmarking social stumbleupon  Bookmarking social slashdot  Bookmarking social yahoo  Bookmarking social google  Bookmarking social blogmarks  Bookmarking social live      

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


"Gumblar" en los medios

Ver el tema anterior Ver el tema siguiente Ir abajo

"Gumblar" en los medios

Mensaje por Gaillimh el Sáb Mayo 23, 2009 9:49 am

Hispasec - una-al-día 22/05/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------


"Gumblar" en los medios
-----------------------

Gumblar es un espécimen de origen chino que llevaba cierto tiempo
circulando, se detectó y comenzó a seguir desde finales de marzo. Los
medios se han fijado en él (siempre recordando que la noticia origen es
de una casa antivirus) por el preocupante y rápido aumento de infectados
que se ha contabilizado en las últimas semanas. Ha llegando a doblar el
número de victimas semanalmente; también se le atribuye el 42 por ciento
de las nuevas infecciones detectadas en sitios web.

El comportamiento del ejemplar es interesante. Gumblar se nutre de dos
vías diferentes, la principal es infectando un sitio web a través de
contraseñas FTP capturadas o explotando vulnerabilidades de servidor
conocidas. Una vez consigue acceder al servidor web, inyecta código
javascript en las páginas alojadas pero intenta evadir aquellas que son
más susceptibles de ser examinadas ocasionalmente por un administrador,
como la página principal o un index.html. Adicionalmente, cada vez que
el script se inserta, es ofuscado de diferente forma para eludir la
identificación mediante firma de los motores de los antivirus.

La segunda vía toma forma cuando el sitio web infectado es visitado. El
script es ejecutado por el cliente e intenta explotar en el un abanico
de exploits que van desde vulnerabilidades multiplataforma en el
reproductor Flash o el lector de archivos PDF Adobe Reader hasta
específicas de Internet Explorer. Si consigue su objetivo (entre otras
acciones ya comunes entre el malware) instalará un troyano en la máquina
del visitante que se dedicará a inspeccionar el tráfico con, a su vez,
dos funciones a destacar: examinar el tráfico en busca de contraseñas
de servidores FTP para usarlas en nuevas infecciones y la inyección de
tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole
resultados manipulados que apuntan a sitios fraudulentos. Ser el
"Google" particular (e insospechado) de un buen número de "clientes"
puede resultar muy lucrativo.

En las últimas infecciones se ha detectado, como no podía ser de otra
forma, la instalación de un componente para asociar al nodo infectado
a una botnet.

Los dominios principales de los que se sirve el malware son entre otros
"gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware
descarga otros componentes desde otras localizaciones que todavía siguen
activas. Estos binarios tienen un nivel de detección de poco más del 50%
de los motores según el análisis en VirusTotal.com.

El comportamiento combinado de Gumblar no deja de ser interesante aunque
todavía no se conozca la incidencia a largo plazo del espécimen.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3863/comentar

Más información:

Malicious JSRedir-R script found to be biggest malware threat on the web
http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/

Inside the Massive Gumblar Attack
http://www.martinsecurity.net/2009/05/20/inside-the-massive-gumblar-attacka-dentro-del-enorme-ataque-gumblar/

Unmask Parasites
http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

ScanSafe
http://blog.scansafe.com/journal/2009/5/14/gumblar-qa.html


David García
dgarcia@hispasec.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.