Hopp til navigasjon Hopp til innhold
Gumblar-ormen sprer seg via nettsteder og gir deg en noe spesiell Google-opplevelse... (Ill.: Per Ervland)

«Gumblar» infiserer nettet

Tusenvis av websider angrepet.

I følge sikkerhetsselskapet Websense er rundt 40 000 nettsteder angrepet av «Gumblar» – en ny type styggvare som lurer brukerne inn på falske nettsider.

Falske Google-data

«Gumblar» bruker javaScript-kode som omdirigerer brukerne til en nettside som ser ut som den tilhører Google. Siden er en forfalsket utgave av Google Analytics, som viser trafikkdata for nettsider.

Brukeren blir så loset videre til ytterligere en lure-dside. Denne siden inneholder en testrutine som undersøker om din versjon av Internet Explorer eller Firefox er åpen for angrep.

Trenger inn i databasen

Er dette tilfelle, kommer det opp en feilmelding som forteller deg at maskinen din er infisert av uønsket programvare. Deretter blir du bedt om å laste ned en sikkerhetsfiks som i virkeligheten er en trojaner som åpner PCen din for uvedkommende.

Trojaneren stjeler brukernavn og passord for FTP (filoverføring). Denne informasjonen brukes til å spre viruset til andre maskiner i nettverket.

Ikke oppdaget

Men verre er det at den også fortsetter å herje med nettleseren din. Hver gang du søker på Google, er resultatene du får opp falske. De lenker med andre ord til helt andre og langt farligere ting enn det du har bedt om.

Før helga kunne bare fire av 39 antivirusprogrammer oppdage denne versjonen av trojaneren, men antallet har trolig økt nå.

Grove feil årsak

Gumblar er en gammel kjenning innen sikkerhetsbransjen, men metoden trojaneren nå sprer seg på er ny. Nettstedene som bidrar til å spre den infiseres via såkalt SQL-injeksjon. Det betyr at den setter seg fast i databasen som brukes for å holde orden på sidenettstedets innhold.

Et angrep forutsetter imidlertid at det er gjort grove konfigurasjonsfeil. Nettsteder som følger «boka» og tar de nødvendige forholdsregler skal ikke være utsatt.

Kriminelt nettverk

Domenet som huser styggvaren er registrert i Ukraina, et land som flere anggrep har kommet fra den siste tiden – blant anndre den beryktete Conficker-ormen som angrep både helse Vest og Politiet i Norge.

Sikkerhetseksperter kobler serveren til det beryktene RBN (Russian Busniess Network), et kriminelt nettkonglomerat som står bak en rekke typer svindel og angrep på nettet.

Kilde:
Computerworld.com

Stikkord: angrep, explorer, firefox, Google, helse, internet, internet explorer, ord, passord, svindel, virus