Bejelentett támadó webhely: Gumblar a pusztító és a gifimg.php vírusírtása I.
Posted by zpetrasovits On május - 25 - 2009Azt mondod a weboldaladról megjelent a következő felírat a Googleban: Bejelentett támadó webhely ! – akkor az elég kínos időtöltés lesz!
Néhány napja rendszer hiba miatt hívott fel egy barátom és kérdezte, miért tiltotta le a Google a weboldalát egy hatalmas nagy bordó felirattal. Ezt a feliratot már csak azért is mellékelem be mert bizony ez sok böngésző közül a Firefoxban biztosan látható, ám az a Explorer rövid gondolkodás után megkísérelte betölteni ezt a kedvességet tartalmazó vírus fertőzött weboldalt. Ez azok számára akiknek sikeresen “elkapja” a gépét a manipulatív Gumblar vírus, bizony az egyik legrosszabb időszaka következik. Ez sajnos nem riogatás, ez horrorisztikus tény.
klikk a képre a nagyításhoz
Mint a képen is látható a bejelentett támadó webhelynek elnevezett weboldal, már letiltásra is került a Googleban. A Google ezt az oldalt bejelentett támadó webhelyként tartja számon és nem foglalkozik azzal ki a tulajdonosa, de nem ám, repülnek a Google rendszeréből igazán prominens weblapok is ezzel a tiltó táblával.
A kép nagyítás utáni verzióján látható a Google felsorol minden olyan kritériumot amely szerint a figyelmeztetéssel ellátott weboldal üzemeltetője is el fog tudni indulni a hiba keresése irányába.
Hogyan irtsuk ki a GUMBLAR vírust?
A Gumblar vírus egyik sajátossága, hogy jelszó lopó vírusok, Trojai és és Malware segítségével generálja a szerveren kialakult fájljait, és a százezres lakossági hálózaton működő zombi gépein pedig ellopja az ftp jelszavakat a szerverekhez történő belépéshez. A ScanSafe biztonsági cég által Gumblar-nek nevezett támadás céges honlapok feltörésével, és ott rosszindulatú kódsor elhelyezésével kezdődik, mely kódsorokat bizony eleinte nem is igen veszik észre az érintettek.
A kódsor a látogatók gépein kutat biztonsági hibák után, és ha ilyet talál, akkor megpróbálja installálni rosszindulatú programját. Elsősorban a PDF és Flash megjelenítők hibáit aknázza ki a jelenlegi támadás, de néhány régebbi Windows hibát is fel tud használni a támadás, írta meg a PC World. A sikeres támadás esetén a gépre feltelepülő szoftver az Internet Explorerben megjelenő keresési találatokat módosítja, és káros oldalakra próbál átirányítani. Önmaga terjesztése érdekében a fertőzött gépen található FTP jelszavakat próbálja meg ellopni, és saját célra felhasználni bármilyen, a PC által irányított honlapot. Jelenleg csak 1500 ilyen oldalról van tudomása a cégnek, a személyes tapasztalatunk szerint, mivel az elmúlt hetekben több mint 300 ilyen esettel találkoztunk, a cég által kiadott 1500-as számot erősen alul értékeltnek látjuk.
Az elsődleges megoldások sorban
Lakossági Windows gépek Gumblar fertőzésének vírusirtása a Malwarebytes Anti-Malware szoftvert ajánlom. Kicsit idő igényes, de rendkívül eredményes. Számtalan vírusirtó lehetősége mutatkozik, ezek közül az egyik legkedveltebb változat az un. Internet Security formáció ami Antivírus és Tűzfal védelem is egyben. A paletta óriási, a Kaspersky Internet Security 2009 által kezelt gépek, fertőzés mentesen állták a további ütközet küzdelmeit. Természetesen a vírusvédelmi tanácsadó kollégák sokan esküsznek még az Avg, Comodo, Eset, Nod32, Agnitium, Ashampoo, Panda Antivírus programokra is, ám a mi esetünkben a Kaspersky Internet Security 2009 mutatkozott a legéletképesebbnek. Weboldalunkon hamarosan még bővebben mutatjuk be az összes vírusirtó program sajátosságait, köntörfalazás nélkül és ejtünk szót vírusirtásról, a vírus elleni küzdelemről.
RBL listing, kimenő levelező tiltás: VIGYÁZZ, értesítést nélkül letiltásra kerülhet a kimenő levelezésed!
Ez a szomorú tény annak a következménye ,hogy a Malware elkezdi a maga önálló életét és kifelé leveleket küldözget, a meglévő ismerőseidnek, vagy más címlistáknak a felhasználásával. A témával a Googleoptimalizalas.com weboldalon már korábban foglalkoztam, a cikket ezért csupán ide linkelem számodra.
Szerverek és webhosting tárhelyek Gumblar és gifimg.php mentesítése
Jelentősen rutinosabb megoldás igényel a gifimp.php nevet viselő image fileket is módosítani képes behatoló. Tele írja első sorban a futó php filek fejrészét a <php> – fejrész kezdet helyett <php if X655gfrrr%dddd……….stb kódsorral, majd az összes jsc filet is tele dobálja futó komponensel a script alsó részében, simán hozzáfűzéssel a tartalom végéhez.
klikk a képre a nagyításhoz
Aki rutinosnak hiszi magát a rizs válogatásban, az hamupipőke üzemmódban is órákat fog mazsolázni ha szemenként akarja kiszedni ezt a rafinált kódsort. Az egyik legbiztosabb megoldás az ha fogod az egész forrást és letörölsz mindent a szerverről, majd újra telepíted az archiválásból. Ennek hiányában, valóban napokig tartó rémálom részese lehetsz, ahol a gifimg.php eltávolítását követően megkeresheted minden php-ban a fenti kódsor részletet, aztán az összes .js filben.
Annak meg aki a Gumblar vírust megírta sok álmatlan éjszakát és kevésbé boldog ám annál hosszabb, rossz életet kívánok, mert ez már nem játék : ez már olyan rombolás amit nem lehet higgadtan és mérsékelten kezelni. Kérdésed és észrevételed van a témában? Kérlek keress meg bátran emailban!
Amennyiben vírusirtó és tesztelő vagy vírus vadászó tapasztalataid vannak, bátran keress meg bennünket és mond el Te is a véleményed vagy szállj be a csapatba.
Zoltan Petrasovits
május 25th, 2009 at 18:17
Helló, ez az első hozzászólás.