Nei giorni scorsi Sophos aveva posto l’accento sull’incredibile diffusione del worm Gumblar (o Troj/JSRedir-R), registratasi nelle ultime settimane. Una ricerca condotta dagli esperti dei laboratori di Sophos ha messo in evidenza come Gumblar abbia surclassato per diffusione qualsiasi altro malware in circolazione. Basti pensare che la seconda minaccia nella classifica di Sophos si sarebbe propagata in Rete con un ritmo sei volte minore rispetto a Gumblar.
Complessivamente, Gumblar deterrebbe il 42% di tutte le infezioni rilevate a livello globale.
Quali sono le ragioni di un “successo” così evidente? In primo luogo, Gumblar utilizza tecniche attraverso le quali cerca di insediarsi all’interno di pagine web assolutamente legittime. Codice JavaScript “offuscato”, viene impiegato per scaricare sul sistema client del visitatore contenuti provenienti da terze parti (alcuni domini cinesi).
Il sistema dell’utente può essere a sua volta infettato nel caso in cui sul personal computer dovessero risultare installate vecchie versioni di Adobe Reader o di Flash Player. Sfruttando vulnerabilità note presenti nelle release più datate di tali software, il malware può riuscire ad eseguire codice dannoso sul sistema del malcapitato.
Nel caso in cui il tentativo di infezione dovesse avere successo, Gumblar installerà falsi software antivirus (“rogue antivirus”), tenterà di sottrarre dati di login a server FTP, inviare spam, disattivare i programmi utilizzati per la difesa del sistema nonché, addirittura, a modificare i risultati delle ricerche operate tramite Google.
Per rilevare credenziali di accesso a server FTP, il malware scarica “winpcap” – una popolare applicazione che consente di “sniffare” ossia di monitorare i pacchetti di dati in transito – e pone la scheda di rete in “modalità promiscua”. In questo modo, Gumblar è in grado di intercettare le comunicazioni riguardanti anche le altre macchine collegate in LAN.
Per quanto concerne la modifica dei risultati delle ricerche effettuate mediante Google, Gumblar installa un componente proxy in ascolto sulla porta 7171 che provvede ad effettuare un reindirizzamento delle richieste operate da parte dell’utente.
La prima operazione da compiere per evitare pericoli di infezione, consiste nel controllare l’utilizzo – sui propri sistemi – delle versioni più aggiornate di tutti i software, in particolare quelli in grado di comunicare con la rete Internet. Per difendersi dalla minaccia Gumblar, è essenziale l’adozione delle versioni più recenti di Adobe Reader e di Flash Player.