Gumblar có thể đánh cắp thông tin đăng nhập FTP cũng như “chiếm đoạt” các cột tìm kiếm qua Google, thay thế kết quả trên những máy tính bị nhiễm bằng liên kết tới các website “độc” khác.
Khi malware Gumblar bị phát hiện hồi tháng 3/2009 thì nó tìm kiếm các mệnh lệnh trên máy chủ có domain gumblar.cn. Ở thời điểm đó, domain này đã bị gỡ xuống nhưng đã được kích hoạt lại hôm 5/11/2009, nhà nghiên cứu Mary Landesman của ScanSafe cho biết.
Các website bị nhiễm Gumblar có chứa iFrame – cách để mang nội dung từ website này sang website khác. Những kẻ viết malware thường làm cho các iFrame trở nên vô hình. Khi nạn nhân ghé thăm website, iFrame sẽ tung ra hàng loạt malware (chứa trên máy tính ở xa) để thử và hack máy tính đang ghé thăm. Gumblar sẽ kiểm tra xem liệu PC của nạn nhân có đang chạy các chương trình Reader, Acrobat (của Adobe Systems) “dính” lỗi hay không. Nếu đúng thì máy tính của nạn nhân sẽ bị tấn công “drive-by”.
Theo bà Landesman, giờ đây những website vẫn bị nhiễm Gumblar lại có thể gọi đến domain mới được kích hoạt trở lại. Nó sẽ cho phép các PC bị nhiễm được cập nhật với malware mới.
Bạch Đình Vinh
Theo IDG News Service, 6/11/2009