Malware se propaga através de web sites e redireciona consultas do Google

O Us-CERT divulgou que recebeu vários reportes de contaminação de um malware intitulado Gumblar, ou Troj/JSRedir-R, que se propaga através de sites, como principal vetor de propagação. Os sites são contaminados através de contas de FTP roubadas, ou de vulnerabilidades das aplicações web, e usuários que acessam estes sites com as recentes vulnerabilidades do Flash Player e do Acrobat Reader também são contaminados ( segundo vetor de propagação).

O acesso a Internet das máquinas contaminadas é monitorado para que novas credenciais de FTP ou aplicações web possam ser roubadas, e novos sites possam ser infectados. Além disso, o Gumblar passa a redirecionar consultas do Google, embora nenhum site tenha publicado qual o destino destes redirecionamentos.

O JSRedir-R está sendo apontado como o maior malware do momento, segundo as estatísticas da Sophos, responde por aproximadamente 40% das infecções dos últimos sete dias, como pode ser observado no gráfico.
Através de código javascript inserido em sites legítmos, o malware é baixado sem a autorização do usuário, a partir de domínios na China, inicialmennte através de gumblar.cn, de onde veio primeiro nome dado ao malware, e atualmente utiliza o domínio martuz.cn.

Para se prevenir contra o malware recomendo a atualização do Flah Player e do Acrobat Reader, adicionalmente, o Firefox possui vários complementos que podem ser utilizados para bloquear e identificar a execução de javascript.

Fontes:
ttp://isc.sans.org/diary.html?storyid=6403
http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web
http://news.zdnet.co.uk/security/0,1000000189,39653848,00.htm
http://www.us-cert.gov/current/index.html#gumblar_malware_attack_circulating