Exploit-ul gumblar. cn – informatii utile si dezinfectie

De cateva zile se raspandeste o infectie sub forma unui script ce descarca si executa un exploit de pe site-ul gumblar .cn.
Script-ul se insereaza in diverse pagini, neinfectate anterior.

Iata cateva lucruri care trebuie stiute despre el:
1. Pagina infectata contine urmatorul cod

2. Fiecare site infectate are propria modificare a cod-ului. Cu toate acestea exista parti comune ce-l identifica drept script gumblar. cn
a. Script-ul porneste cu “(function(“
b. Script-ul este obfuscated. Astfel anumite caractere sunt inlocuite cu cod-ul sau numeric, urmat de caracterul “%” inlocuit cu un cod arbitrar. Iata cateva exemple: “…20a.3d.22Sc.72iptEngin.65…“, “…~76ar~20a~3d~22Scr~69~70~74En~67~69ne…“, “…v_61_72_20_61_3d_22_53_63rip_74E_6e…“
c. In apropierea finalului script-ului se afla o functie “.replace(”
d. Daca functia accepta parametrii, la fiecare final se va gasi o expresie de genul /”/g or /~/g, etc. care va decripta caracterul “%” ce fusese trunchiat.

3. Cand este executat script-ul (cand cineva viziteaza pagina infectata), un alt script de la adresa “gumblar . cn/rss/” este incarcat fara stirea vizitatorului.

4. Acest cod este injectat de regula inaintea tag-ului <body>.

5. Spre deosebire de alte exploit-uri injectate doar in paginile “index.html”, “index.php”, sau alte pagini asemanatoare, aceste este injectat in fiecare pagina.
De asemenea script-ul este injectat in fiecare fisier de tip .js

6. Exploit-ul nu se raspandeste pe tot server-ul ce gazduieste respectivul site infectat.

7. Domeniul gumblar .cn este blocat de Google.

DEZINFECTIE: Se pare ca totul porneste de la cont-ul FTP al carei parole\user sunt furate de catre un spyware\keylogger.
Pentru dezinfectie scanati PC-ul cu Malwarebytes Anti-Malware, apoi schimbati parola cont-ului FTP.

Folositi de fiecare data conexiuni securizate de tip SFTP.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply