Gumblar Malware Home Domain är aktiv igen

ScanSafe-forskare ser förnyade Gumblar kan stjäla FTP-uppgifter och kapabla Google-sökningar, ersätta resultat på infekterade datorer med länkar till andra skadliga webbplatser.

När det gäller Gumblar, en multifunktionell del av skadlig kod som sprider sig genom att attackera datorer som besöker hackade webbsidor. Gumblar malware hittades i mars, det letade efter instruktioner på en server på gumblar.cn. Den här domänen togs offline, men har återaktiverats inom de senaste 24 timmarna, skrev Mary Landesman, en senior säkerhetsforskare med ScanSafe, på en företagsblogg.

[Läs mer: Så här tar du bort skadlig kod från din Windows-dator]

Webbplatser som är infekterade med Gumblar innehåller en iframe, vilket är ett sätt att ta med innehåll från en webbplats till en annan. Malware skribenter gör vanligtvis de iframes osynliga. När ett offer besöker webbplatsen startar iframe en serie exploater som finns på en fjärrdator för att försöka hacka besökarmaskinen.

Gumblar kontrollerar om offrets dator körs oöverförda versioner av Adobe Systems Reader och Acrobat program. Om så är fallet kommer maskinen att äventyras av en så kallad nedladdning av drivrutiner.

Domännamnregistratorer upphäver ofta domännamn som har använts för skadliga ändamål, och skribenter skadar vanligtvis ofta de domäner som deras program ser ut att för instruktioner eftersom de dåliga domänerna är svartlistade. Av någon anledning släpptes gumblar.cn-domänen och används igen.

Landesman skrev att webbplatser som fortfarande är smittade med Gumblar kan nu ringa tillbaka till den nyligen aktiverade domänen. Det skulle låta de infekterade datorerna uppdateras med ny skadlig kod.

"Det är en röra", skrev Landesman. "Stanna med."