Hace una semana os hablábamos de Gumblar, la nueva infección que recorre la red y que está causando auténticos estragos dado que se propagado muy rápido, debido a que su método de transmisión resulta ser JavaScript. De momento no ha sido encontrado otro remedio o “solución” a este problema que no sea formatear totalmente el equipo y cambiar las contraseñas. De momento solo es posible detectar este malware mediante esta fórmula:

• Localizar el archivo sqlsodbc.chm en la carpeta de archivos de sistema de Windows (C:\Windows\System32\)
• Obtener el Sha1 de sqlsodbc.chm mediante FileAlyzer
• Comparar el tamaño de Sha1 con los tamaños publicados por ScanSafe en su blog
• Si el tamaño de dicho SHA1 obtenido no coincide con los resultados de la lista de ScanSafe, puede que nos estemos enfrentando a a una infección de Gumblar en nuestro equipo.

Hasta que no sea encontrada una solución para este problema se recomienda a todos los usuarios que no descarguen archivos ni visiten webs que no resulten de total confianza. Desde Malavida.com daremos a conocer la solución a este problema en cuanto esta vea la luz.

Mientras en el mundo físico tenemos que apañarnos con la gripe porcina, una nueva amenaza de origen chino se cierne sobre Internet y promete ser igual o más escandalosa que el famoso Conflicker. Se empieza a conocer como Gumblar, y consiste en un virus multiplataforma particularmente molesto y peligroso al que durante las últimas semanas se le atribuyen el 42 por ciento de las infecciones detectadas en sitios web.

El virus actúa en dos fases. En una primera infecta un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de su servidor. Una vez dentro inyecta código javascript malicioso en las páginas alojadas, tratando de ser lo más discreto posible. Por un lado evita las páginas susceptibles de ser examinadas ocasionalmente por un administrador, y por el otro -y aquí radica la gran peligrosidad de Gumblar- otorga a cada uno de los sitios infectados, e incluso a cada una de sus páginas, un script único, de modo que es prácticamente imposible detectarlo con métodos tradicionales.

En su siguiente fase, Gumblar ataca a los visitantes de los sitios infectados que ejecutan el código javascript, aprovechándose de fallos en el reproductor Flash, el lector de PDF o el navegador. Una vez infectados, trata de hacer con ellos lo mismo que otros virus como Conflicker, utilizándolos como botnets, para realizar ataques, cometer delitos o ponerlos al servicio de terceros. Como novedad, puede generar un código que manipule las búsquedas de Google con nuestro navegador ofreciendo resultados en los que se favorece a páginas determinadas.

El mejor método para librarnos de él es la prevención. Si descubres que estás infectado la mejor solución es reformatear el disco y reinstalar el sistema, aunque las compañías de seguridad están preparando a marchas forzadas soluciones que sean menos drásticas.