Megbízhatónak gondolt weboldalak megfertőzésével terjeszti magát egy új drive-by (a felhasználó tudta nélkül programot telepítő) károkozó, amely azokon a számítógépeken, amelyekre feltelepül, a Google-keresések találati listáját is manipulálja – figyelmeztettek tegnap biztonsági szakemberek. A Gumblar névre keresztelt program életképességét mutatja, hogy bár már márciusban felfedezték, még most is meredeken nő a fertőzött szájtok száma.

A Gumblar több lépcsőben terjed. Először – mutat rá a US-CERT ismertetője – megpróbál megbízhatónak vélt weboldalak szervereire feltelepülni, elsősorban megszerzett ftp-azonosítók segítségével, vagy kihasználva a nem megfelelő biztonsági beállításokat, a webes alkalmazások sebezhetőségeit. A második lépcsőben a fertőzött oldalra látogatók gépei a célpontok: ezekre az Adobe Reader és a Flash Player ismert biztonsági résein keresztül próbál meg bejutni – tehát e stádiumban csak azok a felhasználók vannak veszélyben, akiknél nincsenek telepítve a legújabb patchek. Ha ez sikerül, a károkozó jellemzően belépési kódokat igyekszik megszerezni, illetve átirányítja a Google-ban megjelenített találati linkeket a támadók által választott oldalakra.

Amint a PC World írásából kiderült, ma több mint 3000 Gumblar által fertőzött oldalt tartanak nyilván, holott egy héttel korábban még csak 800-nál tartott a számláló. Pedig egy ilyen régóta ismert malware esetében az lenne a jellemző tendencia, hogy a kompromittált oldalak száma az idő előrehaladtával csökken, ahogy a rendszeradminisztrátorok lepucolják a fertőzést a szerverekről. Ebben az esetben azonban, úgy tűnik, nehezebb felismerni a fertőzést. Ráadásul – mutatnak rá szakértők – a jellemzően ftp-s behatolást követően a támadók további hátsó kapukat nyitnak arra az esetre, ha a jelszavakat megváltoztatnák, ezért nem olyan egyszerű megszabadulni tőlük.