Program omdirigerer Google-søgninger

Artiklen blev oprindeligt publiceret den 18/5/2009

Det skadelige program Gumblar omdirigerer resultatet af Google-søgninger til farlige sider.

Uvæsnet hentes blandt andet fra en server ved navn gumblar.cn. Denne server er for nylig blevet lukket, men ifølge bloggen Unmask Parasites henviser lignende programmer nu til domænet martuz.cn.

Truslen består i et stykke software, der installeres på websteder, folk har tillid til. Det sker typisk ved at udnytte en sårbarhed.

Når andre besøger webstedet, forsøger programmet at udnytte en række kendte sårbarheder til at inficere deres browser.

Hvis det lykkes, installeres et program, som søger efter brugernavne og adgangskoder til FTP-servere.

Desuden overvåger programmet Internet Explorer-processer. Det medfører, at når man søger efter noget på Google, vises søgeresultaterne i en forvansket form, hvor der henvises til websteder med skadeligt indhold.

Scriptet herfra ændres løbende, så det ser forskelligt ud på forskellige websteder og på forskellige websider på samme websted. Det gør det svært at finde og fjerne.

Angrebet har stået på siden marts. Ifølge sikkerhedsfirmaet ScanSafe er mængden af sider, der er inficeret, steget voldsomt for nylig – på en uge steg antallet 215 procent.

Sikkerhedsfirmaet Sophos oplyser, at det skadelige program i sidste uge udgjorde 42 procent af alle skadelige programmer fundet på websteder. Sophos kalder programmet JSRedir-R.

Links

• Blogindlæg fra ScanSafe
• Spørgsmål og svar om Gumblar fra ScanSafe
• Blogindlæg fra Sophos
• Blog fra udvikleren af Unmask Parasites
• Blog fra udvikleren af Unmask Parasites om martuz.cn-domænet