Trojaner Gumblar

Bitte nehmen Sie diesen Hinweis ernst!

Derzeit werden viele Rechner und Server durch einen Trojaner infiziert, also einem Schadprogramm. Dass es von der Antiviren-Software oft nicht erkannt wird, ist leider so, selbst wenn sie stets aktuell gehalten wurden. Die meisten AV-Programme erkennen den Eindringling leider bis heute nicht, Avast erkennt ihn jedoch.

Bei Gumblar handelt es sich um einen Trojaner (Troj/JSRedir-R), der FTP-Verbindungen protokollieren kann, die auf dem entsprechenden Rechner eingegeben werden. Wer also per FTP-Programm von seinem Rechner auf den Server zugreift, gibt dem kleinen Programm damit seine Verbindungsdaten preis. Auf diese Weise ist er in der Lage, immer mehr Websites zu infizieren.
Seit dem 12. Mai ist die Zahl der Angriffe täglich gestiegen, innerhalb einer Woche haben sie sich verdreifacht, derzeit gehen Experten von über 10.000 infizierten Websites aus. Leider ist es auch so, dass Gumblar offensichtlich in der Lage ist, Daten auf dem Server zu manipulieren, also zu ändern. So sind manche Javascript-Anwendungen nicht mehr möglich, aber auch andere Funktionen nur eingeschränkt oder gar nicht.

Wozu das alles?
Es wird vermutet, dass Gumblar sich auf den Rechnern einnistet, um zu einem bestimmten Zeitpunkt aktiv zu werden. Diese Aktivität kann z.B. darin bestehen, dass dann Millionen von infizierten Computern gleichzeitig eine bestimmte Aktivität ausüben, beispielsweise das Versenden von E-Mails. Gleichzeitig lädt er aber auch ein Backdoor-Skript, das den infizierten Rechner nach außen öffnet. Dies geschieht in Form kleiner Dateien, die ebenfalls auf die Rechner geladen werden. Dadurch ist es auch möglich, dass nicht nur die Eingaben in FTP-Programmen ausgespäht werden können, sondern z.B. auch Zugangsdaten zu Online-Banking.
Bisher bekannt ist, dass die Software über zwei chinesische Websites nachgeladen wurde (gumblar.cn und martuz.cn). Zwar sind diese beiden Websites nicht mehr aktiv, aber mit Sicherheit stehen die nächsten schon bereit.
Der Gumblar-Angriff ist nicht der erste, um Ostern herum wurde eine Aktion bekannt, bei der Regierungs-Server und -Computer aus über 50 Ländern infiziert wurden.

Was tun?
ANWENDER können sich nur schützen, indem sie ein passendes Antiviren-Programm (Avast) sowie eine Firewall nutzen. Außerdem sollten alle Programme immer auf dem aktuellsten Stand sein, die in irgendeiner Form mit dem Internet zu tun haben, nicht nur Browser, Mailprogramme, ICQ und auch andere, die in der Lage sind, sich selbstständig mit dem Internet zu verbinden. Das sind sehr viele Computerprogramme, weil sie online nach neuen Versionen suchen.
Wichtig ist, dass bei Adobe die aktuellen (kostenlosen) PDF- und Flash-Reader heruntergeladen werden, da sich der Trojaner auch in PDF- und Flash-Dateien festsetzen kann.
WEBMASTER dürfen, wenn ein Rechner infiziert ist, von ihm auf keinen Fall mehr auf den Server zugreifen! Selbst wenn die FTP-Passwörter nicht abgespeichert werden, werden sie trotzdem protokolliert und können ausgelesen werden. Auf diese Art wurde es möglich, dass Tausende von Servern betroffen sind.