Nieuw Gumblar domein actief
18-05-2009,22:44 door
Voor meer informatie verwijs ik even naar de site van securty.nl voor een beter begrip:
http://www.security.nl/artikel/29066/1/Gumblar_virus_steelt_FTP-gegevens%2C_besmet_websites.html
Ik had eerder een bijdrage geleverd dat het domein down was, en dit blijkt inderdaad ook door anderen gemeld te zijn. Zie daarvoor de site van het Internet Storm Centrum;
http://www.dshield.org/diary.html?storyid=6403
Er is echter aan de kant van kwaadwillenden niet stil gezeten. Er is een nieuw domein opgedoken dat het gumblar-domein lijkt te vervangen. Wie het IP-adres wil blokkeren kan dit invoeren in de software Firewall. Het gaat om het onderstaand IP-adres:
95.129.145.58 (domein martuz.cn)
Zoals gezegd begint de aanval via een drive-by download (besmette website). Vandaar wordt er geprobeerd een ongepatchte Adobe Flash of Adobe Reader applicatie te installeren. Eenmaal actief op het systeem plaatst de malware zich in de browser en wijzigt de Google zoekresultaten.Daarnaast worden er FTP-gegevens verzameld, waardoor er nieuwe sites worden gecompromitteerd, in dit geval van het slachtoffer die de besmetting heeft opgelopen. Een goede reden dus om het genoemde IP-adres te blokkeren in de Firewall om zo te voorkomen dat er exploits en malware worden opgehaald.
http://www.security.nl/artikel/29066/1/Gumblar_virus_steelt_FTP-gegevens%2C_besmet_websites.html
Ik had eerder een bijdrage geleverd dat het domein down was, en dit blijkt inderdaad ook door anderen gemeld te zijn. Zie daarvoor de site van het Internet Storm Centrum;
http://www.dshield.org/diary.html?storyid=6403
Er is echter aan de kant van kwaadwillenden niet stil gezeten. Er is een nieuw domein opgedoken dat het gumblar-domein lijkt te vervangen. Wie het IP-adres wil blokkeren kan dit invoeren in de software Firewall. Het gaat om het onderstaand IP-adres:
95.129.145.58 (domein martuz.cn)
Zoals gezegd begint de aanval via een drive-by download (besmette website). Vandaar wordt er geprobeerd een ongepatchte Adobe Flash of Adobe Reader applicatie te installeren. Eenmaal actief op het systeem plaatst de malware zich in de browser en wijzigt de Google zoekresultaten.Daarnaast worden er FTP-gegevens verzameld, waardoor er nieuwe sites worden gecompromitteerd, in dit geval van het slachtoffer die de besmetting heeft opgelopen. Een goede reden dus om het genoemde IP-adres te blokkeren in de Firewall om zo te voorkomen dat er exploits en malware worden opgehaald.
