Bisher kaum Gegenmaßnahmen

Dieser Aufbau macht Gumblar zu einem bisher einzigartigen Stück Malware, da sich die Hintermänner nicht über die übliche direkte Einschleusung von Code Zugang zu einem fremden Rechner verschaffen, sondern ges tohlene FTP-Anmeldedaten dazu nutzen. Anschließend installiert er PHP Hintertür-Trojaner auf den infizierten Webseiten und nutzt diese Hintertüren als Malware-Host - eine bisher einmalige Abweichung von der Norm. Um die Malware von der infizierten Website zu laden, werden in zehntausende anderer kompromittierten Websites i-Frames eingebettet. Dadurch sind Web-Surfer, die eine dieser verseuchten Sites besuchen, gleich einer ganzen Sammlung von verschiedenen Exploits ausgeliefert, die im Hintergrund heimlich, still und leise die Gumblar Malware installieren. Auf Windows-Systemen wird die Malware dann geladen, sobald auf Ton-fähige Websites oder Geräte zugegriffen wird. Darüber hinaus befällt der Schädling den Internet Explorer-Prozess und fängt jeden Web-Datenverkehr zum und vom Computer ab. Dabei wird jede FTP-Anmeldeinformation registriert und dem Angreifer zugesendet, wodurch das Gumblar Website Botnet weiter wächst.

Die Gegenmaßnahmen sind begrenzt: »Bei einem typischen Ausbruch sind meist nur einige wenige aktuelle Malware-Domänen beteiligt. Im Falle von Gumblar gibt es konservativ geschätzt mindestens 2000 Websites mit Backdoor-Trojanern, die als Malware-Hosts dienen. Das bedeutet, dass es keine oder nur wenige Möglichkeiten gibt, den Ausgangspunkt der Malware auszuschalten,« konstatiert Landesman. Ob ein PC mit Gumblar infiziert ist, lässt sich am besten über die Prüfsumme der Datei sqlodbc.chm erkennen, die durch die Malware modifiziert wird. Ist der PC erst einmal verseucht, sollten die Festplatten formatiert und das Betriebssystem neu aufgesetzt werden. Außerdem wird empfohlen, danach sofort alle Login-Daten und Passwörter zu ändern.