Kaspersky Lab warnt vor neuen Gumblar-Attacken

Gefahrenpotential deutlich größer als vor einem halben Jahr

(06.11.09) - Kaspersky Lab warnt vor neuen Gumblar-Attacken. Bei Gumblar handelt es sich um einen gefährlichen Trojan-Downloader, der bereits im Mai 2009 für Aufsehen gesorgt hat und sich per Drive-by-Download unbemerkt vom Anwender verbreitet [1]. Das Unternehmen geht davon aus, dass das Gefahrenpotential von Gumblar dieses Mal deutlich größer ist als vor einem halben Jahr.

Während Gumblar im April und Mai mittels iFrames auf lediglich zwei verseuchte Webseiten weiterleitete (gumblar.cn und martuz.cn), haben Kaspersky-Experten aktuell zahlreiche Webserver an über 202 Orten weltweit entdeckt, über die sich der Trojan-Downloader verbreitet. Dabei tauchen die meisten verseuchten Adressen in den USA auf (7.271 URLs), wobei allein 4.000 Einträge auf einen persischen Blog verweisen. Auf Platz zwei liegt Russland mit 704 und auf Platz drei Südkorea mit 675 verseuchten Web-Adressen. Deutschland nimmt mit 510 infizierten URLs Platz sechs ein. Interessant ist, dass bei den infizierten Hosts häufig Webseiten von Regierungen und Bildungseinrichtungen betroffen sind. So führten insgesamt 71 Einträge auf Webseiten mit der Endung .gov - wovon 47 aus der Türkei kamen - und 65 Einträge auf Seiten mit der Endung .edu. Die Hauptangriffsziele von Gumblar bleiben weiterhin Schwachstellen in den populären Programmen Adobe Reader und Flash Player.

[1] Gumblar leitet dabei den Anwender auf eine Webseite, von der aus unbemerkt vom Nutzer eine schädliche ausführbare Datei herunter geladen und installiert wird. Diese Datei beeinflusst den Datenverkehr des Nutzers, indem sie Google-Suchergebnisse manipuliert. Außerdem sucht sie auf dem infizierten Rechner nach Passwörtern für FTP-Server, um diese ebenfalls zu infizieren. Cyberkriminelle schaffen so aus den infizierten Rechnern ein Botnetz.

(Kaspersky: ma)