Botnet Gumblar muda de tática para evitar detecção

Os criminosos por trás da botnet Gumblar têm adaptado as suas técnicas, como os atacantes estão acostumados a fazer, tendo em vista não só evitar a detecção como impedir os investigadores de baixar e analisar as novas versões do malware.

Uma análise da atividade recente da Gumblar mostra que a versão atual (ou uma das versões correntes) tem uma nova funcionalidade que verifica em qual país a máquina recentemente infectada está localizada durante a rotina de infecção inicial. O objetivo dos bandidos é evitar que o Gumblar infecte outras novas máquinas no Japão, onde os pesquisadores têm conseguido localizar e desmontar partes da rede da rede.

O vírus Gumblar vem infectando PCs e servidores por mais de um ano, com uma elevada taxa de sucesso. A nova alteração de orientação por parte dos atacantes mostra que ainda não estão contentes.

Os desenvolvedores do Gumblar notaram uma atividade incessante de muitos IPs japoneses visando seu sistema. O duro trabalho de análise dos dados colhidos no Japão resultou em uma resposta dos cibercriminoso. Há pouco tempo nos deparamos com uma nova variante do script infector criado pelos desenvolvedores do Gumblar, que verifica de que país o cliente remoto está vindo. O script usa um banco de dados IP para localizar o país do cliente. E se o país acaba é o Japão, o script pára e não ataca. Abaixo está a parte do código que implementa essa tarefa:

A nova pesquisa, feita por Vitaly Kamluk, do escritório japonês da Kaspersky, descobriu que a rede de Gumblar agora compreende pelo menos 4.460 servidores. Esse é um número bastante grande de servidores, e uma fração desse número seria suficiente para montar uma botnet muito grande.

“Neste momento ninguém tem informações sobre quantas as máquinas-cliente comprometidas estão na botnet Gumblar, mas acreditamos que é mais do que apenas o número de servidores comprometidos, porque o número de servidores representa apenas a contagem de usuários infectados que têm seus próprios sites e usam clientes FTP no sistema infectado “, Kamluk escreveu.

Anúncios

Deixe um comentário

Ainda sem comentários.

Comments RSS TrackBack Identifier URI

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s