Sites e PCs ainda infectados por esta antiga praga estão recendo novas instruções para agirem novamente.
Pesquisadores da ScanSafe registram uma nova atividade do Gumblar, malware multifuncional que se espalha quando PCs visitam páginas web contaminadas. Entre suas características, o Gumblar é capaz de roubar credenciais FTP e até de sequestrar resultados de buscas do Google, substituindo o resultado em PCs infectados com links para outros sites com conteúdo malicioso.
Quando foi identificado em março de 2009, o que se descobriu é que o Gumblar buscava por intsruções em um servidor em gumblar.cn, domínio que foi desativado na ocasião mas que voltou a funcionar na última sexta-feira (6/11), segundo comentário postado no blog da ScanSafe pela pesquisadora Mary Landesman.
Sites infectados com essa praga possuem um iframe - trata-se de uma técnica utilizada que leva conteúdo de um site para dentro de outro. Desenvolvedores de malwares são capazes de tornar esses iframes invisíveis. Quando vítima visita uma página infectada, o iframe carrega instruções que ficam armazenadas em um computador remote para tentar hackear o equipamento que está fazendo o acesso.
O Gumblar, então, verifica se a máquina visitante está executando uma versão não corrigida do Reader ou do Acrobat, ferramentas da Adobe, e caso encontre, irá comprometer o funcionamento do PC a partir de a downloads maliciosos.
Domínios reconhecidos com perigosos em geral são suspensos o que leva os criadores de malware a frequentemente terem de mudar o domínio em que suas pragas vão buscar por instruções. Por alguma razão, o domínio gumblar.cn foi liberado e voltou a ser usado.
