»Gumblar«: Wandlungsfähiger Wurm greift an

Virenschutzexperten warnen vor erhöhter Angriffsaktivität der unter dem Namen Gumblar zusammengefassten Kategorie von Trojanern. Laut dem aktuellen Gefahreneport des Sicherheitsdienstleisters ScanSafe war der Wurm im Oktober an 29 Prozent aller in den eigenen Hosting-Rechenzentren blockierten Angriffe beteiligt. Dabei veränderte er auch sein Verhalten grundlegend und benutzte erstmals seit seiner Entdeckung auch sein eigenes Netz infizierter Webseiten als Malware-Host. »Gumblar ist heute eine der heimtückischsten Bedrohungen, sowohl für Web-Surfer als auch Website-Betreiber«, meint Mary Landesman, Senior Security Researcher bei ScanSafe. »Wir entdeckten darüber hinaus Anfang November, dass andere Angreifer-Gruppen den Backdoor-Trojaner verwendeten, der auf den infizierten Websites geparkt war, um die Sites unter ihre Kontrolle zu bringen. Das verschärft die Lage noch weiter.«

Besonders gefährlich wird Gumblar durch mehrere Wirkungsweisen und Komponenten, die schnell angepasst werden können: Indem die Schadsoftware beispielsweise erst dynamisch zum Zeitpunkt des Eintritts erzeugt wird, erhalten die Nutzer unterschiedliche Exploits - abhängig von ihrem Browser-Typ und anderen Details - und dadurch potenziell unterschiedliche Malware. Diese dynamischen Scripts sind auch für Virenscanner nur schwer zu erkennen und nutzen Sicherheitslücken in Adobe Reader und Adobe Flash aus, um »Traffic Sniffer« und Backdoor-Trojaner auf einem Rechner einzuschleusen. Darüber wird es möglich, Suchergebnisse bei einer Google-Suche mit dem Internet Explorer zu manipulieren und den Verkehr umzuleiten. Interessanterweise zeigt eine Untersuchung des Source-Codes der Malware, der über die Gumblar-Backdoor Websites eingeschleust wurde, dass die Schadsoftware sprach-spezifisch arbeitet. Sie zielt bisher ausschließlich auf englische, niederländische, deutsche, italienische und spanische Internet-Besucher ab.