Sécurité informatique : Le ver Gumblar est de retour
Dans une version encore plus agressive
Le 2009-10-21 11:52:35, par Katleen Erna, Expert éminent sénior
Sécurité informatique : Le ver Gumblar est de retour, dans une version encore plus agressive
Comme la matrice, Gumblar est "reloaded". Des chercheurs en informatique viennent de repérer une résurgence d'activité du code malicieux Gumblar, qui se propage via des sites légitimes mais malheureusement compromis du fait de failles dans leur construction.
En mai dernier, des milliers de sites Internet furent piratés pour alimenter un iframe (ce qui transfert le contenu d'un site web vers un autre). L'iframe redirigeait vers le domaine "gumblar.cn", qui essayait alors d'exploiter l'ordinateur de l'utilisateur qui atterrissait sur ses terres, via des failles présentes dans certains produits Adobe comme Flash ou Reader par lesquelles il tentait d'injecter du code malveillant.
Les pirates ont depuis changé de tactique. Plutôt que d'héberger leur charge utile sur un serveur donné, ils installent désormais ce code sur des sites Internet corrompus. Gumblar semble de plus avoir été mis à jour pour pouvoir exploiter les vulnérabilités les plus récentes de Reader et d'autres programmes d'Acrobat.
Les hackers savent en effet très bien qu'un domaine malveillant est en général très rapidement désactivé par un ISP (fournisseur d'accès à Internet). Leur nouvel angle d'attaque leur offre donc un vecteur d'action décentralisé et dedondant, éparpillé entre plusieurs milliers de sites Internet jugés intègres à travers le monde.
Pour rendre encore plus difficile la détection de leur code, ils l'ont de plus façonné de manière à ce qu'il respecte les critères existants de structures de fichiers avant de l'uploader.
Mais, d'après ScanSafe, Gumblar aurait également été diffusé sur des forums de discussion par ses créateurs. Les internautes pourraient donc devenir victimes d'attaques drive-by, qui les exposent instantanément à des contenus infectés extérieurs au site légitime qu'ils sont en train de visiter (bien évidemment à leur insu)
Pire, dès qu'un PC est infesté, Gumblar se met en quête de nouveaux comptes FTP qu'il pourrait utiliser afin d'exploiter d'autres sites web. Il craque le navigateur et remplace les résultats de recherche Google par ceux d'autres sites, soit infectés, soit potentiellement reliés à une fraude au "pay-per-click".
Cet ennemi est donc particulièrement coriace et dangereux.
Source : Le blog d'IBM Internet Security Systems Frequency X ; le blog de ScanSafe
Comme la matrice, Gumblar est "reloaded". Des chercheurs en informatique viennent de repérer une résurgence d'activité du code malicieux Gumblar, qui se propage via des sites légitimes mais malheureusement compromis du fait de failles dans leur construction.
En mai dernier, des milliers de sites Internet furent piratés pour alimenter un iframe (ce qui transfert le contenu d'un site web vers un autre). L'iframe redirigeait vers le domaine "gumblar.cn", qui essayait alors d'exploiter l'ordinateur de l'utilisateur qui atterrissait sur ses terres, via des failles présentes dans certains produits Adobe comme Flash ou Reader par lesquelles il tentait d'injecter du code malveillant.
Les pirates ont depuis changé de tactique. Plutôt que d'héberger leur charge utile sur un serveur donné, ils installent désormais ce code sur des sites Internet corrompus. Gumblar semble de plus avoir été mis à jour pour pouvoir exploiter les vulnérabilités les plus récentes de Reader et d'autres programmes d'Acrobat.
Les hackers savent en effet très bien qu'un domaine malveillant est en général très rapidement désactivé par un ISP (fournisseur d'accès à Internet). Leur nouvel angle d'attaque leur offre donc un vecteur d'action décentralisé et dedondant, éparpillé entre plusieurs milliers de sites Internet jugés intègres à travers le monde.
Pour rendre encore plus difficile la détection de leur code, ils l'ont de plus façonné de manière à ce qu'il respecte les critères existants de structures de fichiers avant de l'uploader.
Mais, d'après ScanSafe, Gumblar aurait également été diffusé sur des forums de discussion par ses créateurs. Les internautes pourraient donc devenir victimes d'attaques drive-by, qui les exposent instantanément à des contenus infectés extérieurs au site légitime qu'ils sont en train de visiter (bien évidemment à leur insu)
Pire, dès qu'un PC est infesté, Gumblar se met en quête de nouveaux comptes FTP qu'il pourrait utiliser afin d'exploiter d'autres sites web. Il craque le navigateur et remplace les résultats de recherche Google par ceux d'autres sites, soit infectés, soit potentiellement reliés à une fraude au "pay-per-click".
Cet ennemi est donc particulièrement coriace et dangereux.
Source : Le blog d'IBM Internet Security Systems Frequency X ; le blog de ScanSafe
-
kmdkaciMembre éprouvéBonjour,
Est ce que ce ver fonctionne selon le système d'exploitation donné, ou attaque tous les autres systèmes. Je n'ai pas lu de précision dans la news.
Il serait intéressant de préciser quand on parle de virus ou ver de limiter son champs d'action ou son environnement.
Mericle 21/10/2009 à 13:27 -
Louis GriffontInactifMerci de cette info inquiétante.
Et quels sont les moyens de se prémunir ?le 21/10/2009 à 16:56 -
tromaltsecMembre avertile 21/10/2009 à 17:50
-
entreprise38InactifOu comme d'hab pour 99% des virus et autres saletés : éviter la mule, de trainer sur les sites de warez, porno, jeux gratuits, cracks, etc, avoir un pare-feu un minimum configuré, et juste au cas où, un antivirus.
A partir de là, pas de quoi sombrer dans la psychose.
Ha et j'allais oublier : savoir se servir d'un ordinateur
Nan mais c'est important tout de même.le 21/10/2009 à 20:41 -
kurapixMembre régulierUn antivirus et un firewall ne sont de nos jours plus suffisants pour arrêter les attaques les plus perfectionnées ... ça arrête au mieux les scripts kiddies.
Plus besoin de surfer sur des sites chelous pour se choper un virus ...
Y'a des virus qui se propagent automatiquement sans nécessiter d'intervention de la part de l'utilisateur (même pas besoin de site web) ... voir Blaster par exemple.
Et comme dit dans la news, ce virus infectent n'importe quel site "viable" ... ça peut donc inclure les sites des banques online par exemple ...
Internet est devenu un champ de bataille permanent qui s'étend de plus en plus au fur et à mesure de notre dépendance de l'informatique.
Tous les sites avec le petits cadenas ... on ne peut même plus savoir s'ils sont good ou non ...
Seul le bon sens sauvera les gens.
De plus, passez à Linux (et oui Mac Os est moins secure que Linux ou autre BSD)! Les auteurs de virus ciblent surtout la plateforme de Microsoft car c'est la plus répandue.
Et pour la news, intéressante.
kurapixle 22/10/2009 à 5:06 -
messi89Membre à l'essaile 22/10/2009 à 18:55
-
SkyounetExpert éminent séniorMwé. Ca arrête la plupart des vers et des virus quand même.
Là où ça ne sert pas c'est lors de faille sur des produits tiers (comme dans le cas présent) qui permettent l'exécution de code via un BO.Sauf que Blaster se faisait stopper par un simple firewall...voir Blaster par exempleNon, Gambler ne fonctionne pas par magie. Une fois une machine cliente infectée il se mets à la recherche de code FTP pour infecter un nouveau site web et installer une backdoor. Donc à moins que l'administrateur d'une banque en ligne se fasse voler ses codes FTP y'a pas trop de risques.Et comme dit dans la news, ce virus infectent n'importe quel site "viable"
Tiens donc, y'a pas de Flash Player sous Linux ?
Pour info dans les failles utilisées par Gambler on trouve celle-ci
http://www.iss.net/security_center/r...tionScript.htmle 22/10/2009 à 19:47 -
Louis GriffontInactifSkyounet ton lien est une arnaque ! C'est impossible, la preuveHerve Loiret viiiiiiite y en a un qui dit que MAC OS n'est pas parfait à 2000 % !Systems affected
Gentoo Linux, Novell SuSE Linux: 9.0, Novell Linux Desktop: 9, Sun Solaris: 10 SPARC, Sun Solaris: 10 x86, RedHat RHEL Extras: 3, RedHat RHEL Extras: 4, Adobe Flash Player: 9, Novell SUSE Linux Enterprise Desktop: 10 SP1, RedHat RHEL Desktop Supplementary: 5 Client, RedHat RHEL Supplementary: 5 Server, Apple Mac OS X: 10.5, Apple Mac OS X Server: 10.5, Apple Mac OS X: 10.4.11, Apple Mac OS X: 10.5.1, Apple Mac OS X Server: 10.4.11, Apple Mac OS X Server: 10.5.1, Adobe Flash Player: 9.0.28, Adobe Flash Player: 9.0.31, Adobe Flash Player: 8.0.34.0, Adobe Flash Player: 8.0.35.0, Adobe Flash Player: 9.0.45.0, Adobe Flash Player: 9.0.47.0, Adobe Flash Player: 9.0.48.0, Adobe Flash Player: 9.0.115.0, Adobe Flash Player: 8.0, Adobe Flash Player: 9.0.16, Adobe Flash Player: 9.0.18d60, Adobe Flash Player: 9.0.20.0, Adobe Flash Player: 9.0.28.0, Adobe Flash Player: 9.0.31.0, Apple Mac OS X: 10.5.2, Apple Mac OS X Server: 10.5.2, Adobe Flex: 3.0, Adobe AIR: 1.0, Adobe Flash Player: 8.0.24.0, Adobe Flash Player: 9.0.114.0, Adobe Flash Player: 9.0.20, Novell OpenSUSE: 10.2, Novell OpenSUSE: 10.3, Sun OpenSolaris: 2008.5 x86, Sun OpenSolaris: 2008.5 SPARC, Adobe Flash Player: 8.0.39.0le 23/10/2009 à 8:32 -
GanYoshiMembre chevronnéOn est où là ?Essaye d'employé un ton sérieux plutôt que ce ton de débile ça sera peut-être moins insultant à défaut d'être plus constructif.
Envoyé par Louis Griffont
Et si ça peux te rassurer, j'ai la version 10,0,32,18 de flash d'installé je ne semble donc pas concerné.
Cordialement,le 23/10/2009 à 8:52 -
Louis GriffontInactifC'était une boutade, et une pique plutôt méritée au vue de l'acharnement à tenter de démontrer l'inattaquabilté (joli mot, non
) de MAC OS, dont tu fait preuve.
Sans rancune ?le 23/10/2009 à 9:04