Gumblar empezó en marzo de 2009, colocando un script JavaScript ofuscado con nombre único, lo que hace bastante difícil su detección. Este script intenta explotar vulnerabilidades en Adobe Reader y Flash Player, para así enviar código malicioso que muestre resultados falsos utilizando Google en Internet Explorer. Este ataque es grave, pues es capaz de robar las credenciales FTP de nuestros ordenadores.
ScanSafe afirma que Gumblar tiene peores efectos que el famoso gusano Conficker, ya conocido por todos por ser capaz de propagarse a través de dispositivos USB. De hecho, ha sido responsable del 37% del malware bloqueado por ScanSafe durante la primera quincena de mayo.
Hay que resalta que, una vez se desifecta Conficker, se detiene su propagación. Sin embargo, Gumblar puede usar las credenciales FTP robadas para comprometer la seguridad de más sitios web, con lo que se propaga con mucha rapidez.
Aún así, podemos saber si estamos infectados por Gumblar siguiendo estos pasos:
- Buscar el fichero sqlsodbc.chm en la carpeta del sistema de Windows (por defecto, es C:\Windows\System32)
- Obtener la firma SHA1 del fichero sqlsodbc.chm, por ejemplo, con el programa gratuito FileAlyzer
- Comparar la firma SHA1 obtenida con las existentes en este enlace
- Si la firma SHA1 que hemos obtenido del fichero sqlsodbc.chm de nuestro ordenador no coincide con alguna de las de la lista, podríamos estar infectados por Gumblar, aunque no se puede afirmar con seguridad que lo estemos
La forma más efectiva de desinfectarnos, según ScanSafe, es formateando e instalando Windows de nuevo.
Vía | Soft Zone
0 comentaris:
Publicar un comentario