Inicio / Alerta Temprana / Avisos Seguridad / Amenaza emergente: virus Gamburl

Amenaza emergente: virus Gamburl

Fecha de publicación: 
09/06/2009
Importancia: 
3 - Media
Descripción: 

Se trata de una familia de virus que ha sido detectada el pasado mes de Marzo y que está creciendo muy rápidamente, infectando páginas web y ordenadores y realizando una amplia variedad de actividades maliciosas.

Impacto: 

Se trata de un programa malicioso que está siendo muy activo y se están creando nuevas variantes en la actualidad por lo que su impacto todavía está siendo determinado, en las variantes actuales que han sido estudiadas las consecuencias son muy claras.

La pagina web infectada seria detectada como distribuidora de software malicioso y podría pasar a formar parte de diferentes listas negras, bloqueándose el acceso a la misma. Además, las credenciales FTP quedan comprometidas, por lo que es muy importante cambiar las contraseñas del FTP.

Si la infección es de un ordenador, este pasaría a formar parte de una red zombi, con todas sus implicaciones (distribución de SPAM, ataques DDoS, etc.). Las contraseñas que pudiese haber en el equipo estarían comprometidas por lo que es muy importante cambiar dichas contraseñas.

Solución: 

Se trata de una amplia familia de virus que todavía está en estudio, pero se pueden tomar medidas preventivas y reactivas.

Para administradores de páginas

Realizar un análisis exhaustivo de la página para poder detectar la inyección de código, existen herramientas que pueden ayudar al análisis:

  • Unmask parasites: Pagina que detecta la presencia de código malicioso en las páginas.
  • NoScript: Se puede detectar con esta extension, mirando los scripts que se autorizan.

Para usuarios

Las páginas que pueden estar infectadas no cambian su apariencia, por lo que la posibilidad de infección es muy difícil de detectar y esta se produce nada más entrar en la página infectada. Se recomienda:

  • Tener el JavaScript del navegador desactivado.
  • El análisis periódico con software de seguridad: antivirus y antiespías.
  • Utilizar analizadores de URL para la navegación.
  • Mantener todo el software actualizado, incluso analizar con herramienta en línea que no van a poder ser manipuladas por el virus, si se sospecha que el equipo puede estar comprometido estas medidas se vuelven obligadas.
  • Por último, una manera de saber si el ordenador puede estar infectado es buscar en el directorio de sistema (normalmente C:/Windows/System32) el fichero sqlsodbc.chm, este fichero se encuentra normalmente en una instalación de Windows y el virus lo modifica por lo que si se obtiene el SHA1 del fichero y si no coincide con esta lista de Microsoft, es un importante indicativo de la existencia del virus.
Detalle: 

El virus tiene un ciclo de infección que todavía se está estudiando, ya que utiliza un gran número de técnicas para contagiar los equipos y tiene una alta tasa de mutación en los scripts que inyecta.

Utiliza credenciales FTP robadas y vulnerabilidades conocidas de servidores, para infectar páginas web mediante la inclusión de un script de Java -que se inserta ofuscado y se modifica en cada infección, dificultando su detección-, cuando el usuario ingresa en la página se ejecuta el script en el lado del cliente, quedando este infectado.

Este script ejecuta varios exploits, que afectan a Adobe Acrobat Reader y al reproductor Flash Player, además determina la versión del navegador Internet Explorer con el fin de ejecutar exploits más precisos.

Según la variedad del malware que se trate, la infección de equipo del usuario puede tener varias de estas consecuencias:

  • Modifica el buscador de Google mediante la instalación de un proxy en el puerto 7171, para que muestre páginas con enlaces a webs maliciosas con el software Daonol.
  • Busca credenciales de servidores FTP para robarlas y poder seguir infectando otras páginas web. Además intenta activar el modo promiscuo de la tarjeta wireless para poder conectarse a otros equipos de la misma subred y robar más credenciales.
  • Instala un componente que asocia el equipo a una botnet.
  • Instala una falsa solución de seguridad.
  • Bloquea las soluciones de seguridad que haya instaladas en el equipo.

Otros detalles

- Alrededor del 40% de sitios web infectados[enlace] tienen alguna variante de este virus.

- La empresa de seguridad ScanSafe[enlace] ha reportado un crecimiento del 188% en una semana y de un 61% en un solo día.

- También se le conoce como Gumblar o JS/Redir.