Botnet Gumblar se vyhýbá Japonsku

Zločinci stojící za botnetem Gumblar a s ním spojenou malwarovou kampaní upravili svou strategii. Děje se tak jednak proto, aby zamezili detekci, ale i proto, aby znesnadnili práci bezpečnostním expertům, kteří se novou verzi jejich malwaru snaží stáhnout a analyzovat.

Nová analýza posledních aktivit Gumblaru vykazuje, že aktuální verze (nebo jadna z aktuálních verzí) obsahuje novou funkcionalitu, která v průběhu prvotní infekce kontroluje, ve které zemi se nově napadený počítač nachází. Cílem je v tomto případě vyhnout se nakažení nových počítačů v Japonsku, kde bezpečnostní experti pracují na rozbití botnetu Gumblar obzvláště horlivě.

Gumblar šíří nákazu mezi servery a stanicemi již déle než rok s velmi vysokou úspěšností. Poslední změny dokazují, že se útočníci dokáží velmi pružně přizpůsobit.

Vývojáři Gumblaru zaregistrovali silnou aktivitu z mnoha japonských IP adres, zacílenou na jejich systém. Úsilí věnované sledování botnetu nezůstalo bez odezvy ze strany zločinců. Není to tak dlouho a objevila se nová varianta skriptu vytvořená vývojáři Gumblaru, která ověřuje, odkud napadený klient pochází. Skript pomocí volně dostupné databáze IP adres lokalizuje zemi, ve které se klient nachází. Pokud se ukáže, že napadený počítač pochází z Japonska, skript se přeruší a nezaútočí.

Poslední výzkum prokázal, že síť Gumblar se nyní skládá z 4460 napadených serverů. Jedná se o velmi vysoké číslo, zvláště pokud si představíme, že i zlomek tohoto čísla by dokázal dát dohromady celkem rozsáhlou síť klientů. Co se týká počtu klientů, momentálně nikdo neví, kolik jich síť Gumblar má, počítá se však s tím, že číslo bude vyšší než počet napadených serverů, protože toto číslo představuje pouze uživatele, kteří mají vlastí webové stránky a používají FTP klienty.