Gumblar – iFrames com vírus no seu site
Se é webmaster, provavelmente já ouviu falar acerca de ataques a sites que adicionam iframes em praticamente todos
os ficheiros do site. Já tivemos alguns clientes que se depararam com esta situação e vimos desta forma explicar
como é que é feito esse ataque e como o poderá evitar.
O ataque geralmente não é gerado através de vulnerabilidades dos sites ou dos servidores, mas sim através de uma
infecção de um vírus no computador do administrador/webmaster do site controlado por uma Botnet.
Reconhecido como Gumblar pela ScanSafe e por Troj/JSRedir-R pela Sophos, esta nova botnet apareceu pela primeira
vez em 2009 e é caracterizada por redireccionar as pesquisas dos utilizadores no Google e suspeita-se que a sua
origem sejam ficheiros PDF (Acrobat Reader) ou SWF Flash (Adobe Flash).
Os visitantes de um site infectado com o Gumblar serão redireccionados para um site alternativo com malware. Neste
momento a rede de sites infectados é já bastante grande, abrangendo milhões de sites infectados.
O site com malware irá forçar o browser do utilizador a abrir um PDF infectado que executa e explora uma
vulnerabilidade no Acrobat para ganhar acesso ao computador do utilizador.
O vírus vai encontrar clientes FTP como o FileZilla e o Dreamweaver e como estes guardam a password como
plain text, conseguem obter os dados de acesso FTP ao site do utilizador infectado.
Ao encontrar os dados de acesso FTP desse utilizador, a botnet vai conseguir aceder normalmente ao servidor
FTP usando uma autenticação normal de password e username e infectar os ficheiros do site com uma iframe.
Numa primeira fase vai fazer download de grandes partes do site e injectar código malicioso em ficheiros que
contenham a tag como ficheiros HTML, PHP, JavaScript, ASP e ASPx. O código inserido será um pequeno código
Javascript base64-encoded que irá infectar os computadores dos visitantes do site que executarem o código.
Poderão ser adicionadas iframes no código malicioso que vão conter links para sites maliciosos. O vírus irá também
tentar modificar ficheiros .htaccess e hosts e ainda criar ficheiros com o nome images.php em diretórios
chamadas “images”.
Deverá ter em conta que esta não é uma vulnerabilidade do servidor. É um ataque feito com autenticação por password.
O ataque não é feito a nível global no servidor, limitando-se aos ficheiros da home do utilizador em questão atacado.
Para evitar estes ataques deverá utilizar um cliente de FTP que guarde as passwords no seu computador de forma

segura, manter os plugins do seu browser sempre actualizados e ter um anti-virus instalado que lhe permita

detectar e bloquear a execução desta vírus.
Devido ao número de sites infectados, a propagação deste vírus é bastante rápida e já infectou milhares de
computadores. Ao ser infectado, o seu site será mais um a ajudar a distribuição deste vírus na botnet. Se alguma vez
detectar que o seu site foi atacado por este vírus, deverá entrar em contacto com o seu sysadmin para que
ele possa verificar nos logs do servidor informações relevantes.