Sécurité informatique : Le ver Gumblar est de retour
Dans une version encore plus agressive

Le , par Katleen Erna, Expert éminent sénior
Sécurité informatique : Le ver Gumblar est de retour, dans une version encore plus agressive

Comme la matrice, Gumblar est "reloaded". Des chercheurs en informatique viennent de repérer une résurgence d'activité du code malicieux Gumblar, qui se propage via des sites légitimes mais malheureusement compromis du fait de failles dans leur construction.

En mai dernier, des milliers de sites Internet furent piratés pour alimenter un iframe (ce qui transfert le contenu d'un site web vers un autre). L'iframe redirigeait vers le domaine "gumblar.cn", qui essayait alors d'exploiter l'ordinateur de l'utilisateur qui atterrissait sur ses terres, via des failles présentes dans certains produits Adobe comme Flash ou Reader par lesquelles il tentait d'injecter du code malveillant.

Les pirates ont depuis changé de tactique. Plutôt que d'héberger leur charge utile sur un serveur donné, ils installent désormais ce code sur des sites Internet corrompus. Gumblar semble de plus avoir été mis à jour pour pouvoir exploiter les vulnérabilités les plus récentes de Reader et d'autres programmes d'Acrobat.

Les hackers savent en effet très bien qu'un domaine malveillant est en général très rapidement désactivé par un ISP (fournisseur d'accès à Internet). Leur nouvel angle d'attaque leur offre donc un vecteur d'action décentralisé et dedondant, éparpillé entre plusieurs milliers de sites Internet jugés intègres à travers le monde.

Pour rendre encore plus difficile la détection de leur code, ils l'ont de plus façonné de manière à ce qu'il respecte les critères existants de structures de fichiers avant de l'uploader.

Mais, d'après ScanSafe, Gumblar aurait également été diffusé sur des forums de discussion par ses créateurs. Les internautes pourraient donc devenir victimes d'attaques drive-by, qui les exposent instantanément à des contenus infectés extérieurs au site légitime qu'ils sont en train de visiter (bien évidemment à leur insu)

Pire, dès qu'un PC est infesté, Gumblar se met en quête de nouveaux comptes FTP qu'il pourrait utiliser afin d'exploiter d'autres sites web. Il craque le navigateur et remplace les résultats de recherche Google par ceux d'autres sites, soit infectés, soit potentiellement reliés à une fraude au "pay-per-click".

Cet ennemi est donc particulièrement coriace et dangereux.

Source : Le blog d'IBM Internet Security Systems Frequency X ; le blog de ScanSafe


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kmdkaci kmdkaci - Membre éprouvé http://www.developpez.com
le 21/10/2009 à 13:27
Bonjour,
Est ce que ce ver fonctionne selon le système d'exploitation donné, ou attaque tous les autres systèmes. Je n'ai pas lu de précision dans la news.
Il serait intéressant de préciser quand on parle de virus ou ver de limiter son champs d'action ou son environnement.

Meric
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 21/10/2009 à 16:56
Merci de cette info inquiétante.

Et quels sont les moyens de se prémunir ?
Avatar de tromaltsec tromaltsec - Membre averti http://www.developpez.com
le 21/10/2009 à 17:50
Citation Envoyé par Louis Griffont  Voir le message
Merci de cette info inquiétante.

Et quels sont les moyens de se prémunir ?

couper ta connexion Internet
Avatar de entreprise38 entreprise38 - Inactif http://www.developpez.com
le 21/10/2009 à 20:41
Ou comme d'hab pour 99% des virus et autres saletés : éviter la mule, de trainer sur les sites de warez, porno, jeux gratuits, cracks, etc, avoir un pare-feu un minimum configuré, et juste au cas où, un antivirus.
A partir de là, pas de quoi sombrer dans la psychose.

Ha et j'allais oublier : savoir se servir d'un ordinateur
Nan mais c'est important tout de même.
Avatar de kurapix kurapix - Membre du Club http://www.developpez.com
le 22/10/2009 à 5:06
Un antivirus et un firewall ne sont de nos jours plus suffisants pour arrêter les attaques les plus perfectionnées ... ça arrête au mieux les scripts kiddies.

Plus besoin de surfer sur des sites chelous pour se choper un virus ...
Y'a des virus qui se propagent automatiquement sans nécessiter d'intervention de la part de l'utilisateur (même pas besoin de site web) ... voir Blaster par exemple .
Et comme dit dans la news, ce virus infectent n'importe quel site "viable" ... ça peut donc inclure les sites des banques online par exemple ...

Internet est devenu un champ de bataille permanent qui s'étend de plus en plus au fur et à mesure de notre dépendance de l'informatique.
Tous les sites avec le petits cadenas ... on ne peut même plus savoir s'ils sont good ou non ...
Seul le bon sens sauvera les gens .

De plus, passez à Linux (et oui Mac Os est moins secure que Linux ou autre BSD)! Les auteurs de virus ciblent surtout la plateforme de Microsoft car c'est la plus répandue .

Et pour la news, intéressante .

kurapix
Avatar de messi89 messi89 - Futur Membre du Club http://www.developpez.com
le 22/10/2009 à 18:55
Citation Envoyé par Louis Griffont  Voir le message
Et quels sont les moyens de se prémunir ?

passer sous linux

puisque ya pas de produit adobe sur linux
Avatar de Skyounet Skyounet - Expert éminent sénior http://www.developpez.com
le 22/10/2009 à 19:47
Citation Envoyé par kurapix  Voir le message
Un antivirus et un firewall ne sont de nos jours plus suffisants pour arrêter les attaques les plus perfectionnées ... ça arrête au mieux les scripts kiddies.

Mwé. Ca arrête la plupart des vers et des virus quand même.
Là où ça ne sert pas c'est lors de faille sur des produits tiers (comme dans le cas présent) qui permettent l'exécution de code via un BO.

voir Blaster par exemple

Sauf que Blaster se faisait stopper par un simple firewall...

Et comme dit dans la news, ce virus infectent n'importe quel site "viable"

Non, Gambler ne fonctionne pas par magie. Une fois une machine cliente infectée il se mets à la recherche de code FTP pour infecter un nouveau site web et installer une backdoor. Donc à moins que l'administrateur d'une banque en ligne se fasse voler ses codes FTP y'a pas trop de risques.

Citation Envoyé par messi89  Voir le message
puisque ya pas de produit adobe sur linux

Tiens donc, y'a pas de Flash Player sous Linux ?

Pour info dans les failles utilisées par Gambler on trouve celle-ci
http://www.iss.net/security_center/r...tionScript.htm
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 23/10/2009 à 8:32
Skyounet ton lien est une arnaque ! C'est impossible, la preuve

Systems affected
Gentoo Linux, Novell SuSE Linux: 9.0, Novell Linux Desktop: 9, Sun Solaris: 10 SPARC, Sun Solaris: 10 x86, RedHat RHEL Extras: 3, RedHat RHEL Extras: 4, Adobe Flash Player: 9, Novell SUSE Linux Enterprise Desktop: 10 SP1, RedHat RHEL Desktop Supplementary: 5 Client, RedHat RHEL Supplementary: 5 Server, Apple Mac OS X: 10.5, Apple Mac OS X Server: 10.5, Apple Mac OS X: 10.4.11, Apple Mac OS X: 10.5.1, Apple Mac OS X Server: 10.4.11, Apple Mac OS X Server: 10.5.1, Adobe Flash Player: 9.0.28, Adobe Flash Player: 9.0.31, Adobe Flash Player: 8.0.34.0, Adobe Flash Player: 8.0.35.0, Adobe Flash Player: 9.0.45.0, Adobe Flash Player: 9.0.47.0, Adobe Flash Player: 9.0.48.0, Adobe Flash Player: 9.0.115.0, Adobe Flash Player: 8.0, Adobe Flash Player: 9.0.16, Adobe Flash Player: 9.0.18d60, Adobe Flash Player: 9.0.20.0, Adobe Flash Player: 9.0.28.0, Adobe Flash Player: 9.0.31.0, Apple Mac OS X: 10.5.2, Apple Mac OS X Server: 10.5.2, Adobe Flex: 3.0, Adobe AIR: 1.0, Adobe Flash Player: 8.0.24.0, Adobe Flash Player: 9.0.114.0, Adobe Flash Player: 9.0.20, Novell OpenSUSE: 10.2, Novell OpenSUSE: 10.3, Sun OpenSolaris: 2008.5 x86, Sun OpenSolaris: 2008.5 SPARC, Adobe Flash Player: 8.0.39.0

Herve Loiret viiiiiiite y en a un qui dit que MAC OS n'est pas parfait à 2000 % !
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 23/10/2009 à 8:52
Citation Envoyé par Katleen Erna  Voir le message
Mais, d'après ScanSafe, Gumblar aurait également été diffusé sur des forums de discussion par ses créateurs.

On est où là ?

Citation Envoyé par Louis Griffont
Skyounet ton lien est une arnaque ! C'est impossible, la preuve

H.L. viiiiiiite y en a un qui dit que MAC OS n'est pas parfait à 2000 % !

Essaye d'employé un ton sérieux plutôt que ce ton de débile ça sera peut-être moins insultant à défaut d'être plus constructif.
Et si ça peux te rassurer, j'ai la version 10,0,32,18 de flash d'installé je ne semble donc pas concerné.

Cordialement,
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 23/10/2009 à 9:04
Citation Envoyé par Herve-Loiret  Voir le message
Essaye d'employé un ton sérieux plutôt que ce ton de débile ça sera peut-être moins insultant à défaut d'être plus constructif.
Et si ça peux te rassurer, j'ai la version 10,0,32,18 de flash d'installé je ne semble donc pas concerné.

Cordialement,

C'était une boutade, et une pique plutôt méritée au vue de l'acharnement à tenter de démontrer l'inattaquabilté (joli mot, non ) de MAC OS, dont tu fait preuve.

Sans rancune ?
Offres d'emploi IT
Développeur ruby backend h/f
MATIERE GRISE - Ile de France - Paris (75000)
Intégrateur sécurité des si h/f
Atos - Ile de France - Les Clayes-sous-Bois (7834)
Développeur connected living h/f
Worldline - Nord Pas-de-Calais - Lille (59000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil