Virus je VEOMA opasan iz razloga sto koristi propuste u plugin-ovima za adobe pdf ili flash player, sto znaci DA SE MOZETE ZARAZITI SAMIM POSECIVANJEM NEKOG SAJTA (mislim da sam se ja tako zarazio), A DA TOGA NE BUDETE UOPSTE SVESNI!
Kako? Naime, analize su pokazale da se on doda na sajtove kao hidden (sakriveni) iframe, koji poziva javascript da odredi da li imate pdf/flash plugin, i ako ima - forsira ucitavanje zarazenog pdf/ flash fajla u tom skrivenom iframe-u. Posto ga gomila antivirusa ne pronalazi - ja sam se zarazio na tom windowsu sa avira antivirusom, spybot-om i firefox-om - lako mu je da se doda u sistem i pokrene prilikom restarta masine. Fajlove koje sam nasao da su zarazeni sam pogledao preko virustotal sajta, i svaki dan od ponedeljka se povecava broj antivirusa koji detektuju ovo cudo (gde su bili u subotu &%$$%^&$#). SWF fajl trenutno pronalazi samo 8 antivirusa, a pdf 16 od 40
SWF:
http://www.virustotal.com/anal...d7c51647fa7575879f9-1244015513
PDF:
http://www.virustotal.com/anal...53c5c7c180829a11c52-1244015334
Virus je veoma opasan narocito za WEBMASTERE- zato sto krade vase ftp naloge i salje ih "tamo negde" nekoj mrezi zarazenih racunara (botnet) , gde se posle koriste vasi podaci da zaraze vase sajtove. Ovaj "moj" virus se ogranicio na index.php i index.htm* fajlove, dodavajuci skriveni iframe ka nekom beidzan.com sajtu. Prvo sto treba da uradite je da promenite lozinku sa nezarazenog racunara, kao i da ili izbacite skriveni sadrzaj iz svojih fajlova na serveru ili da vratite neki nezarazeni backup. Gumblar varijante umeju da zaraze i mnoge druge fajlove osim index.php/htm*.
Virus tipa gumblar osim sto salje vase podatke, pravi i "lazne" antiviruse, blokira ostale antiviruse i slicne programe, "lazira" google upite - trazite jedno a dobijete drugo,i ono najvaznije - krece da spamuje sa vaseg racunara (gomila otvorenih konekcija ka raznim smtp serverima i portu 25). Tako sam ga i primetio - jer a) krenula je aktivnost na mrezi a da nista nisam pokrenuo i b) antivirus je bio ugasen.
I jos nesto, nove varijante virusa umeju da "zaobidju" zastitu google chrome-a tako da ni tu niste sigurni!
( http://news.digitaltrends.com/...-virus-becoming-a-major-threat )
KAKO SE ZASTITITI- zasad, posto virus koristi javascript parce koda da odredi sta imate od plugina - dovoljno bi bilo privremeno iskljuciti javascript. Mada - opet ostaje mogucnost napada na pdf/swf direktnim linkovima... tako da - flash blocker za firefox, a za pdf... neki pdf download za firefox ili tako nesto - mada nisam siguran da li bi vas to "spasilo". U svakom slucaju - naporno, ali trebalo bi proveriti svaki sajt na koji idete preko http://www.unmaskparasites.com/ - upisete tamo adresu sajta, pa ako nema nekih skrivenih iframe-ova - moze.
Isto, ne snimajte nigde ftp lozinke, update-ujte flash i acrobat reader/sta vec koristite na najnovije verzije, i ako ste vec "fasovali" virus - promenite lozinke sa sigurnog (citaj - nekog npr. live linux) racunara.
Vise o svemu tome procitajte na sledecim stranama:
http://news.digitaltrends.com/...-virus-becoming-a-major-threat
http://www.switched.com/2009/0...er-virus-was-bad-meet-gumblar/
http://news.cnet.com/8301-1009...ag=feed&subj=News-Security
http://blog.unmaskparasites.co...go2me-hidden-iframe-injection/
http://blog.unmaskparasites.co...ncarnation-of-gumblar-exploit/
http://blog.unmaskparasites.co...ncome-iframes-from-cn-domains/
http://www.webologist.co.uk/20...he-internet-how-to-remove.html
Analize svega toga (kako radi, sta radi):
http://www.martinsecurity.net/...xploits-employado-por-gumblar/
http://www.martinsecurity.net/...tro-del-enorme-ataque-gumblar/
http://wepawet.iseclab.org/vie...2&t=1243014899&type=js
http://blog.unmaskparasites.co...ts-about-this-injected-script/
Jos analiza fajova koje sam nasao kao zarazene:
http://camas.comodo.com/cgi-bi...b7dfbbddd7328d1aae16bcbd785e0b
http://camas.comodo.com/cgi-bi...8389e49bc0fbf07fe95386e6b2d873
http://www.virustotal.com/anal...28d1aae16bcbd785e0b-1244020630