Con il suo nome da troll maligno, come non prendere sul serio Gumblar? Beh, il già noto malware pare avere un fratellino ancora innominato, ma altrettanto antipatico.
Dove Gumblar ha infettato 60.000 siti, il suo parente stretto ne ha toccati 30.000. Le differenze sono comunque sostanziali, perchè questo nuovo malware usa un sentiero leggermente diverso. Infatti i codici sono diversi, pur facendo all’incirca la stessa cosa: SQL injection di javascript malevoli camuffati con firme polimorfiche, che li fanno sembrare degli innocenti frammenti di codice di Google Analytics.
Anche qui il malware reindirizza lo sfortunato utente a siti pericolosi che sfruttano circa una decina di brutte falle di sicurezza, nella speranza di trovare qualche ingresso non ancora chiuso dagli aggiornamenti software (e di utenti negligenti ce ne sono!).
Se non trova dei buchi, il malware non demorde e gioca l’ultima carta: cerca di convincere l’utente ad installare un falso antivirus. Peraltro, l’infezione sebbene sia piuttosto standard è difficile da scovare. Il codice polimorfico infatti garantisce una certa protezione dagli antivirus (quelli veri).
Foto CC di Twenty_Questions
I commenti sono chiusi.