We have 88 guests online
അംഗങ്ങൾ : 304
ലേഖനങ്ങൾ : 151
ലേഖനങ്ങൾ : 151
| ഗംബ്ലാർ- സൈബർ സ്പെയിസിലെ പുതിയ ഭീഷണി |
 |
| Written by RMR |
| Friday, 26 June 2009 00:38 |
കോൺഫ്ലിക്കർ വേം സൃഷ്ടിച്ച അലകളടങ്ങും മുൻപെ ഇന്റർനെറ്റ് ഉപയോക്താക്കളെ ഭീതിയിലാഴ്ത്തിക്കൊണ്ട് പുതിയ മാൽവെയർ സ്പ്രെഡ് ചെയ്യുന്നതായി സെക്യൂരിറ്റി ഗവേഷകർ കണ്ടെത്തി. ഇത്തവണ അതിന്റെ പേര് ഗംബ്ലാർ(?) എന്നാണു (Gumblar- Troj/JSRedir-R ) പാസ്വേഡുകൾ മോഷ്ടിക്കപ്പെട്ട എഫ് റ്റി പി അക്കൊണ്ടുകൾ വഴിയും മാൽവെയറുകൾ ഇൻജക്റ്റ് ചെയ്തിരിക്കുന്ന വെബ്സൈറ്റുകൾ വഴിയുമാണു ഗംബ്ലാർ വൈറസ് പരക്കുന്നത്, ഡ്രൈവ് ബൈ ഡൗൺലോഡുകൾ വഴി, ഇൻഫ്കെറ്റ് ചെയ്യപ്പെട്ട വെബ്സൈറ്റുകൾ സന്ദർശിക്കുന്ന ഉപയോക്താക്കളെയാണു ഗംബ്ലാർ വേം പ്രധാനമായും ലക്ഷ്യം വെക്കുന്നത്.ഗംബ്ലാർ വേം അധീനതയിലാക്കിയ വെബ്സൈറ്റുകൾ സന്ദർശിക്കുന്നതു വഴിയാണു പ്രധാനമായും വിൻഡോസ് പ്ലാറ്റ് ഫോമായിട്ടുള്ള സിസ്റ്റങ്ങൾ കോമ്പ്രമൈസ്ഡ് ആകുന്നുതെന്ന് റിപ്പോർട്ടുകൾ സൂചിപ്പിക്കുന്നു. കഴിഞ്ഞ മാസം പതിനെട്ടിനു സെർട്ട് യു എസ് എ (CERT, USA) ഇന്റർനെറ്റ് ഉപയോക്താക്കൾക്ക് ഗംബ്ലാർ വേമിനെക്കുറിച്ചൊരു മുന്നറിയിപ്പും നൽകുകയുണ്ടായി. മാർച്ചിലാണു ഗമ്പ്ലാർ വേം ആദ്യമായി ഇന്റർനെറ്റിൽ പ്രത്യക്ഷപ്പെടുന്നത്. അഡോബിന്റെ പി ഡീ എഫ് റീഡറിലേയും ഫ്ലാഷ് പ്ലെയറിലേയും വൾനറബിലിറ്റികൽ മുതലെടുത്താണു ഗംബ്ലാർ വെബ്സൈറ്റുകളിൽ ഇൻഫെക്റ്റ് ചെയ്യുന്നത്. വെബ്സൈറ്റുകളിൽ ജാവ കോഡുകൾ ഇൻജക്റ്റ് ചെയ്താണൂ ഇവ സൈറ്റുകളെ അധീനതയിലാക്കുന്നതും. ഗൂഗിൾ റിസൾട്ടുകളെ റീഡയറക്റ്റ് ചെയ്യുന്ന വിധത്തിലാണു ഗംബ്ലാർ വേം ഡിസൈൻ ചെയ്തിരിക്കുന്നതെന്നു ആദ്യ വിവരങ്ങൾ സൂചിപ്പിക്കുന്നു. തുടർന്ന് ഇവ മാൽവെയർ കോഡുകൾ ഇൻജക്റ്റ് ചെയ്തിരിക്കുന്ന സൈറ്റുകളിലേക്ക് ഉപയോക്താക്കളെ വഴി തിരിക്കുകയും അവയിൽ കയറുന്ന മാത്രയിൽ മറ്റു മാൽവെയറുകൾ സിസ്റ്റത്തിലേക്ക് ഇൻസ്റ്റാൾ ചെയ്യുകയും ചെയ്യുന്നു. മാത്രമല്ല ഗംബ്ലാർ വേം അധീനതയിലാക്കിയ കമ്പ്യൂട്ടറുകളിലെ വിലപ്പെട്ട വിവരങ്ങളും ഗംബ്ലാർ വേം മദർഷിപ്പിലേക്കയക്കുന്നു. ഫേക്ക് ആന്റിവൈറസുകൾ സിസ്റ്റത്തിലേക്ക് ഇൻസ്റ്റാൾ ചെയ്യുകയും, നിലവിലില്ലാത്ത മാൽവെയറുകൾ സിസ്റ്റത്തിൽ ഇൻസ്റ്റാൾ ചെയ്യപ്പെട്ടുവെന്ന് മുന്നറിയിപ്പുകൾ നൽകി അവയുടെ ഫുൾ വേർഷനുകൾ ഉപയോക്താവിനെക്കൊണ്ട് വാങ്ങുവാനും പ്രേരിപ്പിക്കുന്നു. gumblar.cn എന്ന ചൈനീസ് ഡൊമയിനിൽ നിന്നുമാണു ഈ മാൽവെയർ ആദ്യമായി ഡൗൺലോഡ് ചെയ്യപ്പെടുന്നതു. തുടർന്ന് ഈ വെബ്സൈറ്റ് ഓഫ്ലൈൻ ആകുകയും പകരം martuz.cn എന്ന മറ്റൊരു വെബ്സൈറ്റ് അതിന്റെ സ്ഥാനത്ത് മാൽവെയർ കോഡുകൾ ഇൻസ്റ്റാൾ ചെയ്തു ഹാക്കർമാർ റീപ്ലെയിസ് ചെയ്യുകയും ചെയ്തു. . ഏകദേശം നാല്പത്തിയൊന്നോളം ട്രോജനുകളും 6000 ത്തോളം സ്ക്ര്പ്റ്റിംഗ് എക്സ്പ്ലോയിറ്റുകളും gumblar.cn ഹോസ്റ്റ് ചെയ്തിരിക്കുന്നതായാണു ഗൂഗിൾ ഡയഗ്നോസ്റ്റിക്റ്റിന്റെ റിപ്പോർട്ട്. ഇൻഫെക്റ്റഡ് ആയ സൈറ്റുകൾ സന്ദർശിക്കുന്നതിലൂടെ ഉപയോക്താവ് അറിയാതെ തന്നെ കമ്പ്യൂട്ടറിലേക്ക് ഇൻസ്റ്റാൾ ചെയ്യപ്പെടുന്ന രീതിയിലാണു ഗംബ്ലാർ വേം ഡിസൈൻ ചെയ്യപ്പെട്ടിരിക്കുന്നത്. ജാവാ സ്ക്രിപ്റ്റുകളിലെ ദൗർബല്യങ്ങളാണു പ്രധാനമായും ഇവ മുതലെടുക്കുന്നത്. കൂടാതെ അഡോബിന്റെ പി ഡി എഫ് റീഡറിലെ ചില വേർഷനുകളിലും, ഫ്ലാഷ് പ്ലയറിലുമുള്ള ചില വൾനറബിളിലിറ്റികളും ഗംബ്ലാർ എക്സ്പ്ലൊയിറ്റ് ചെയ്യുന്നു. ഇൻഫെക്റ്റഡ് ആയ വെബ്സെർവറുകളിലെ മാൽവെയർ കോഡുകൾ നീക്കം ചെയ്തു കഴിഞ്ഞാലും അവ വീണ്ടും റീപ്ലേസ് ചെയ്യുന്ന രീതിയിലാണു ജാവാ കോഡുകൾ എഴുതപ്പെട്ടിരിക്കുന്നത് എന്നുള്ളതാണ് ഗംബ്ലാറിന്റെ ഏറ്റവും വലിയ പ്രത്യേകത. രണ്ടു തരത്തിൽപെട്ട ബോട് നെറ്റുകളാണ് ഗംബ്ലാർ വേം വഴി ബിൽഡ് ചെയ്യപ്പെടുന്നത് അധീനതയിലാക്കിയ വെബ്സൈറ്റുകളുടെ ഒരു ശൃംഖലയും സോംബി സിസ്റ്റങ്ങളുടെ മറ്റൊരു ശൃംഖലയും. കോമ്പ്രമൈസ് ചെയ്യപ്പെട്ട വെബ്സൈറ്റുകൾ സന്ദർശിക്കുന്ന ഉപയോക്താക്കൾ ജാവസ്ക്രിപ്റ്റ് എനേബീൾ ചെയ്തിട്ടുണ്ടെങ്കിൽ അവരുടെ സിസ്റ്റങ്ങളും കോമ്പ്രമൈസ് ചെയ്യപ്പെടുകയും തുടർന്ന് സോംബിയാകുകയും ബോട്നെറ്റ് ശൃംഖലയുടെ ഭാഗമായിത്തീരുകയും ചെയ്യുന്നു. ചുരുങ്ങിയ കാലയളവിൽ തന്നെ ഒട്ടനനവധി സിസ്റ്റങ്ങളെയും വെബ്സൈറ്റുകളെയും ഗംബ്ലാർ. ഇൻഫെക്റ്റ് ചെയ്തുവെന്ന് കരുതപ്പെടുന്നു. മാർച്ചിൽ മാത്രം ഏകദേശം 3000 ത്തോളം വെബ്സൈറ്റുകൾ ഇൻഫെക്റ്റ് ചെയ്യപ്പെട്ടുവെന്ന് റിപ്പോർട്ടുകൾ സൂചിപ്പിക്കുന്നത്. . ഗുമ്പ്ലാറിനെക്കുറിച്ചുള്ള കൂടൂതൽ വിവരങ്ങൾ ലഭ്യമല്ലാത്തതിനാൽ ഇതുവരെ എത്രത്തോളം സിസ്റ്റങ്ങൾ ഇൻഫെക്റ്റ് ചെയ്യപ്പെട്ടുവെന്നതിനെക്കുറിച്ച് ആന്റിവൈറസ് നിർമ്മാതാക്കൾക്കും യാതൊരു ഐഡിയയും നിലവിലില്ല. മാത്രമല്ല സെക്യൂരിറ്റി വെണ്ടെഴ്സ് ഗംബ്ലാറിനു നൽകിയിരിക്കുന്ന ത്രെട് ലെവൽ വെരി ഹൈ ആണു അനുബന്ധ വായനക്ക് (1) http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/ (2) http://securitylabs.websense.com/content/Blogs/3401.aspx (3) http://www.webpayments.ie/blog/Gumblar-What-is-it-How-to-I-remove-it-.html (4) http://news.softpedia.com/news/Gumblar-Morphs-Becomes-Martuz-112079.shtml (5) https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/272 |
അഭിപ്രായങ്ങൾ