Gumblar – Verbreitung einer Infektion

Um den 20. Oktober herum erhielten wir von unserem Büro in der Türkei einige Mails über „die mögliche Ausbreitung eines neuen Virus.“ Und unsere Kollegen hatten recht: Etwas war im Gange. Einige Tage vorher davor, am 16. Oktober, hatten wir Veränderungen auf einigen Webseiten festgestellt registriert, die wir seit Mai 2009 beobachtet überwacht hatten, als sich „gumblar“ ausbreitete. Verbreitung von Während im April/Mai der Angriff nur mit Iframes funktionierte, die auf zwei Schad-Webseiten umleiteten (gumblar.cn, martuz.cn), sind dieses Mal die ausbreitenden Server weiter verbreitet – wir haben mehr als 202 Standorte identifiziert.

Es folgt die Top-20-Liste der Länder mit infizierten Hosts, welche auf diese Schad-URLs leiten.

7271    VEREINIGTE STAATEN VON AMERIKA
704      RUSSISCHE FÖDERATION
675      REPUBLIK KOREA
619      ISLAMISCHE REPUBLIK IRAN
540      TÜRKEI
510      DEUTSHLAND
499      INDIEN
487      JAPAN
400      THAILAND
382      POLEN
379      BRASILIEN
345      ARGENTINIEN
298      TSCHECHISCHE REPUBLIK
187      UNGARN
182      BELGIEN
173      ITALIEN
163      RUMÄNIEN
159      UKRAINE
157      FRANKREICH
117      VIETNAM

*Hinweis: Die US-Zählung enthält mehr als 4000 Einträge, die auf eine persische Blog-Seite leiten, welche wahrscheinlich der bisher größte missbrauchte Eintrag gewesen ist.

Unter den infizierten Hosts befanden sich auch viele .gov-Maschinen. Gegenwärtig zählen wir nicht weniger als 71 .gov-Einträge, 47 davon befinden sich in der Türkei. Wir sehen auch etwa 65 .edu sites und ca. 79 .ac domains, die hauptsächlich über Thailand, Indien und Korea verbreitet sind.

Eine gründlichere Analyse der Zählungen in Japan hat mindestens 487 infizierte Seiten offenbart, davon sind noch 357 mit Schad-URLs infiziert, während dieser Beitrag hier geschrieben wird.

Einige geschätzte Zugriffs-Zahlen:

21760    www.es***ne.com
20823    www.sport***.mk
19574    www.fortun***.ru
11937    www.***jinja.or.jp
10434    www.***land*.it

Für eine Woche hat unsere Kumulativzählung insgesamt 443748 Zugriffstreffer gezeigt, und das ist nur ein Teil des gesamten Geschehens. Während mehrerer Tage, nachdem wir diese neue Bedrohung festgestellt und unsere Angaben um die Aufdeckung der Schad-Dateien, die auf Adobe Reader und Flash Player zielen, ergänzt hatten, wurde in IT-Sicherheitskreisen überraschenderweise wenig darüber gesprochen. Es brauchte einige Zeit, bis ’new gumblar‘ in größerem Maßstab erkannt wurde, und viele scheinen ihn immer noch nicht erkannt zu haben. Er ist jedoch in der Tat sehr aktiv, und als Nebenwirkung sind verschiedene PC-Händler-Suppportlines mit Fragen bezüglich plötzlicher Neustarts usw. überschüttet worden. Es wird auch darüber berichtet, dass Rechner, die mit einer Schadversion von gumblar infiziert sind, nicht vollständig hochgefahren werden können, der Bildschirm bleibt schwarz, und nur der Mauszeiger ist zu sehen.

Natürlich sind die oben angegebenen Zahlen nicht endgültig, und sie steigen jeden Tag.