Il malware Gumblar, scoperto qualche mese fa dai ricercatori che si occupano di sicurezza informatica, continua a compiere le sue azioni del tutto indisturbato su Internet, manipolando i risultati delle ricerche del più popolare motore di ricerca al mondo e sfruttando le debolezze dei siti Internet per iniettare all’interno delle loro pagine del codice malevolo.
È quanto hanno affermato i ricercatori dell’US-CERT, l’United States Computer Emergency Readiness Team, che hanno potuto constatare come il virus sia libero di agire e ancora pienamente in attività. In particolare il malware sarebbe abile ad attaccare configurazioni di sistema non molto recenti.
Il virus, secondo gli esperti che monitorano il suo comportamento dallo scorso marzo, modificherebbe direttamente i file sui server dopo aver effettuato un accesso al loro interno. L’attacco vero e proprio inizia dopo questo procedimento, quando il malware modifica gli indirizzi IP per reindirizzare l’utente verso siti pericolosi contenente codice malevolo.
Sembra che il virus agisca maggiormente nei siti che compaiono tra le ricerche di Google. Questa abitudine continua nonostante Google abbia cancellato molti siti dai propri risultati, dato che il codice cambia continuamente in vista proprio di queste cancellazioni, mantenendo sempre Google tra i primi posti della classifica dei motori di ricerca con più siti infettati da questo malware.
Il computer della vittima, una volta infettato, sarà costantemente monitorato dal virus alla ricerca di informazioni per eventuali connessioni via FTP, in modo che in questo modo possa attaccare altre pagine Web modificandole in modo molto semplice, scoperte le credenziali d’accesso.