26.05.2012 16:22 | Meine Presse Merkliste 0

PC-Schädling Gumblar erwacht: Schlimmer als Conficker

29.05.2009 | 08:04 |   (DiePresse.com)

Gumblar infiziert PCs über manipulierte Webseiten. Danach sucht der Schädling nach Zugangsdaten, mit denen er weitere Webseiten manipulieren kann. Das Zombie-PC-Netz wächst dadurch besonders schnell.

Artikel drucken Drucken Artikel versenden Senden Merken AAA Textgröße Artikel kommentieren Kommentieren

Aus dem Archiv:

Sicherheitsexperten warnen vor einem PC-Schädling, der gefährlicher sein soll als der Conficker-Wurm. Gumblar nistet sich über manipulierte Webseiten auf PCs ein, stiehlt dort Zugangsdaten und manipuliert damit weitere Webseiten. Die Angreifer haben ursprünglich eine chinesische Domain verwendet um mit russischen IP-Adressen Schadcode von britischen Servern zu verbreiten, berichtet Cnet unter Berufung auf das Sicherheitsunternehmen ScanSafe.

Die Angreifer arbeiten mit dynamisch generierten Code, der nur schwer von Sicherheitssoftware entdeckt werden kann. Diese JavaScripts nutzen Sicherheitslücken in Adobes Acrobat Reader und Flash Player, um manipulierte Suchergebnisse zu servieren, wenn auf einem infizierten PC mit Google im Internet Explorer das Web durchsucht wird. Außerdem durchsucht Gumblar das System nach FTP-Zugangsdaten und manipuliert damit weitere Webseiten. Gumblar ist in den ersten Mai-Wochen für 37 Prozent der von ScanSafe blockierten Angriffe verantwortlich. Durch seine Fähigkeit selbstständig immer weitere Webseiten zu infizieren ist Gumblar laut ScanSafe gefährlicher als der Conficker-Wurm. Noch ist unklar, was die Angreifer mit dem wachsenden Zombie-PC-Netz vorhaben.

Um zu überprüfen, ob der eigene Rechner infiziert ist, soll man laut ScanSafe folgende Schritte vornehmen: Zunächst muss die Systemdatei "sqlsodbc.chm" gefunden werden. Sie befindet sich im Systemordner von Windows (unter XP ist das in der Regel C:\\Windows\System32\). Mit einem speziellen Programm soll schließlich das "SHA1" aus der Datei gefiltert werden. Das funktioniert etwa mit dem FileAlyzer. Das "SHA1" kann schließlich mit einer Liste von ScanSafe verglichen werden. Ist kein übereinstimmender Eintarg zu finden, könnte das ein Hinweis auf eine Gumblar-Infektion sein. In diesem Fall empfiehlt ScanSafe die Festplatte zu formatieren und das System neu aufzusetzen.

(Red. )

Testen Sie "Die Presse" 3 Wochen lang gratis: diepresse.com/testabo

Aus dem Archiv:

Als Gast kommentieren

...oder einloggen um als registrierter Benutzer zu kommentieren (Vorteile dieser Variante)


Mit dem Absenden Ihres Kommentares erklären Sie sich mit den Forenregeln einverstanden.

*... Pflichtfelder

Sicherheitscode
(Was bringt das?)*



Schwer lesbar?
Neuen Code generieren

Verbleibende Zeichen

9 Kommentare
Gast: Yussuf
03.06.2009 12:26
» melden » antworten
0 0

Windows- / IE-Problem ..

Nicht das Linux unfehlbar sei, da der Angriff offenbar über proprietäre Flash-Plugins abläuft, ist für viele Linux-Nutzer, die diesen Closed-Source notgedrungen einsetzen müssen, die Gefahr eines Überspringen des Wurms auf die "freie Welt" sogar gegeben. Allerdings wird er, so er tatsächlich Linuxe angreift, erheblich leichter identifieren lassen.

Und so muss man sich mal wieder überlegen, wie hoch die Gesamtkosten (Anschaffungskosten, Kosten für zusatz-Tools und Office-Programme, "Wartung", Arbeitsausfall durch korrumpierte Systeme und nich zuletzt Abfluss sensibler Informationen: PINs, TANs, Geschäftsgeheimnisse) tatsächlich dafür sind, dass man sich in einen informationstechnischen Käfig sperren lässt.

Menschen reagieren in der Masse oft vollkommen irrational, unfassbar ..

Yussuf Schumbitrus
Gast: Yussuf
03.06.2009 11:38
» melden » antworten
0 0

Windows- / IE-Problem ..

Nicht das Linux unfehlbar sei, da der Angriff offenbar über proprietäre Flash-Plugins abläuft, ist für viele Linux-Nutzer, die diesen Closed-Source notgedrungen einsetzen müssen, die Gefahr eines Überspringen des Wurms auf die "freie Welt" sogar gegeben. Allerdings wird er, so er tatsächlich Linuxe angreift, erheblich leichter identifieren lassen.

Und so muss man sich mal wieder überlegen, wie hoch die Gesamtkosten (Anschaffungskosten, Kosten für zusatz-Tools und Office-Programme, "Wartung", Arbeitsausfall durch korrumpierte Systeme und nich zuletzt Abfluss sensibler Informationen: PINs, TANs, Geschäftsgeheimnisse) tatsächlich dafür sind, dass man sich in einen informationstechnischen Käfig sperren lässt.

Menschen reagieren in der Masse oft vollkommen irrational, unfassbar ..

Yussuf Schumbitrus
Gast: AnonionUser
01.06.2009 19:25
» melden » antworten
0 0

"filtern"!?

SHA1 ist eine Checksumme. Checksummen "filtert" man nicht, die "ermittelt" man. Würde ich jedenfalls denken.
Ansonsten informativer Artikel - auch wenn das unter Linux "hinreichend wenig relevant" ist...
Gast: dominik
31.05.2009 10:59
» melden » antworten
0 0

Der Geselle des Glasers

schmeißt in der Nacht Fensterscheiben ein.
Licht der Erkenntnis
30.05.2009 07:11
» melden » antworten
0 0

Vielleicht ist die angebotene Lösung der Schädling?

Saskatoon
29.05.2009 21:20
» melden » antworten
0 0

erstaunlich ist

das bei jedem neuen virus eine andere viren-firma rat und tat anbietet.
Saskatoon
29.05.2009 21:17
» melden » antworten
0 0

wer denkt sich nur immer

diese schönen namen aus
Gast: picard
29.05.2009 09:47
» melden » antworten
0 0

hallo?!

"In diesem Fall empfiehlt ScanSafe die Festplatte zu formatieren und das System neu aufzusetzen."

ein formatieren der festplatte führt in der regel zwingend zum neu aufsetzen des system. Außerdem kann in der regel bei neuaufsetzen die platte gleich formatiert werden...
Antworten Gast: neo721
29.05.2009 21:25
» melden » antworten
0 0

Re: hallo?!

Wow -da hat sich ScanSafe aber eine
clevere Cleanup-Routine einfallen lassen...
;-)

Sommer-Gadgets

Top-Themen

Meistgelesen Tech

Quiz

Technik im Bild