Gumblar est un code Javascript malicieux redirigeant les recherches d'un utilisateur utilisant le moteur de recherches Google [1] vers des sites vérolés. Le cheval de troie s'installe ensuite sur l'ordinateur de sa victime et vole les identifiants de toute personne utilisant les logiciels FileZilla ou Dreamweaver. Ce cheval de troie est également connu sous le nom de Troj/JSRedir-R [2]. Il a fait pour la première fois son apparition en 2009.

InfectionModifier

L'infection Gumblar se propage par le biais des fichiers PDF et Flash (.pdf et .swf) via des sites web infectés. L'infection est généralement déclenchée si les logiciels Adobe Acrobat Reader ou Adobe Flash Player ne sont pas à jour et contiennent donc des vulnérabilités [3].

ServeursModifier

Gumblar a également la possibilité de voler les identifiants de sites web contenus sur une machine infectée. Le cheval de troie va alors infecter tous les sites web auquel il a accès via la balise <body>. Tous les fichiers type HTML, PHP, JavaScript, ASP et les fichiers ASPx sont donc concernés. Le code PHP malicieux inséré sur le site web est encodé en base64 (technique courante d'obfuscation). Certains sites web peuvent également être infectés via une balise <frame> ou <iframe> cachant le code malicieux.

Le cheval de troie modifie également le fichier .htaccess et les fichiers HOST et crée un fichier images.php dans un répertoire appelé « images ».

RéférencesModifier