Domain Rumah Gumblar Malware Aktif Lagi

Para peneliti ScanSafe melihat pembaruan aktivitas terkait Gumblar, perangkat lunak perusak multifungsi yang menyebar dengan menyerang PC yang mengunjungi halaman Web yang diretas.

Gumblar dapat mencuri kredensial FTP serta membajak pencarian Google, menggantikan hasil pada komputer yang terinfeksi dengan tautan ke situs jahat lainnya.

Ketika malware Gumblar ditemukan pada bulan Maret, itu mencari petunjuk di server di gumblar.cn. Domain itu diambil offline saat itu, tetapi telah diaktifkan kembali dalam 24 jam terakhir, tulis Mary Landesman, seorang peneliti keamanan senior dengan ScanSafe, di blog perusahaan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Situs web yang terinfeksi Gumblar mengandung iframe, yang merupakan cara untuk membawa konten dari satu situs ke situs lain. Penulis malware biasanya membuat iframes itu tidak terlihat. Ketika seorang korban mengunjungi situs tersebut, iframe akan meluncurkan serangkaian eksploitasi yang di-host di komputer jarak jauh untuk mencoba dan meretas mesin yang mengunjungi.

Pemeriksaan gumblar untuk melihat apakah PC korban menjalankan versi Adobe Reader dan Acrobat yang tidak di-patch program. Jika demikian, mesin akan dikompromikan oleh apa yang disebut drive-by download.

Pendaftar nama domain sering kali akan menangguhkan nama domain yang telah digunakan untuk tujuan jahat, dan penulis malware biasanya akan sering mengubah domain yang terlihat oleh perangkat lunak mereka untuk instruksi karena domain-domain buruk tersebut masuk daftar hitam. Untuk beberapa alasan, domain gumblar.cn dirilis dan sedang digunakan lagi.

Landesman menulis bahwa situs Web yang masih terinfeksi Gumblar sekarang dapat memanggil kembali ke domain yang baru diaktifkan. Ini akan memungkinkan PC yang terinfeksi itu diperbarui dengan malware baru.

"Ini berantakan," tulis Landesman. "Nantikan."