Les chercheurs en sécurité avertissent que les menaces Web les plus couramment répandue, techniquement appelée JSRedir-R, mais généralement appelé Gumblar, s’est transformée pour résister à démonter l’tentatives. La nouvelle itération de cet exploit dispose d’un nouveau nom de domaine en plus de dissimulation complexe.Gumblar est un réseau complexe d’exploiter. Apparemment, elle compromet sites Web au moyen d’identification FTP volé les ordinateurs infectés utilisés pour les administrer.
Une fois dans, elle ajoute obfuscated code pour de nombreux types de fichiers, HTML, JavaScript, PHP et même des images. Il installe également des portes dérobées, par exemple dans le fichier. Htaccess, ce qui rend le nettoyage plus difficile.
Le produit de code déguisées à infecter les visiteurs à travers une méthode appelée « drive-by download. Plus précisément, il tente d’exploiter les vulnérabilités connues dans Adobe Reader ou Flash Player via des fichiers malveillants servi à partir d’un domaine appelé gumblar.cn, d’où son nom. Récemment, Sophos a signalé que JSRedir montants de R à plus de 40% des infections détectées sur le Web.
Les chercheurs en sécurité de ScanSafe avertir qu’une nouvelle version de cet exploit a été vue dans la nature. « Les attaques se sont métamorphosés Gumblar nouveau, cette fois de tirer la malcode martuz.cn. En outre, la référence d’URI reste un peu occulté – peut-être une tentative de déjouer les listes noires rudimentaires. Par exemple, l’URI résultante du script injecté peut apparaître comme mar « + » au lieu de simplement tuz.cn martuz.cn « , expliquent-ils.
Symantec analystes confirment les nouvelles attaques et d’ajouter que «La mise à jour JavaScript malicieux effectue également un test pour offrir une charge utile différentes pour les utilisateurs de navigateurs Google Chrome, puisque Chrome a une liste noire des domaines douteuses et malveillantes. » Il n’y a encore aucune indication que la nouvelle version se propage plus vite que le précédent, mais, indépendamment de cela, les chercheurs «s’attendre à des domaines et JavaScript malveillant dans les sites Web de changer continuellement comme un grain de beauté est buté, et une autre s’ouvre ».
Les Xevonautes peuvent utiliser le logiciel gratuit en ligne Démasquent Parasites scanner Beta, qui vérifie les pages Web pour le contenu illicite cachée inséré par le piratage. Sites Web compromis avec Gumblar n’apparaîtra que comme «suspectes» après le scan, mais cela devrait être suffisant pour servir de point de départ pour complément d’enquête.
ScanSafe Mary Landesman prévient que, « Les assaillants ont accès initial par le biais d’identification FTP qui ont été volés à la suite de cette infection. Donc, ne pas nettoyer juste votre site, vous aurez envie de nettoyer l’un des ordinateurs utilisés pour gérer cette site web. «