Comprueba en cuatro pasos si estás infectado por Gumblar

Escrito por Antonio
Seguridad
2

Gumblar es un ataque XSS realizado a páginas web, que utiliza buscadores para propagarse, redirigiendo las búsquedas de los usuarios a páginas infectadas que suelen imitar a las originales.

Gumblar empezó en marzo de 2009, colocando un script JavaScript ofuscado con nombre único, lo que hace bastante difícil su detección. Este script intenta explotar vulnerabilidades en Adobe Reader y Flash Player, para así enviar código malicioso que muestre resultados falsos utilizando Google en Internet Explorer. Este ataque es grave, pues es capaz de robar las credenciales FTP de nuestros ordenadores.

ScanSafe afirma que Gumblar tiene peores efectos que el famoso gusano Conficker, ya conocido por todos por ser capaz de propagarse a través de dispositivos USB. De hecho, ha sido responsable del 37% del malware bloqueado por ScanSafe durante la primera quincena de mayo.

Hay que resalta que, una vez se desifecta Conficker, se detiene su propagación. Sin embargo, Gumblar puede usar las credenciales FTP robadas para comprometer la seguridad de más sitios web, con lo que se propaga con mucha rapidez.

Aún así, podemos saber si estamos infectados por Gumblar siguiendo estos pasos:

  • Buscar el fichero sqlsodbc.chm en la carpeta del sistema de Windows (por defecto, es C:\Windows\System32)
  • Obtener la firma SHA1 del fichero sqlsodbc.chm, por ejemplo, con el programa gratuito FileAlyzer
  • Comparar la firma SHA1 obtenida con las existentes en este enlace
  • Si la firma SHA1 que hemos obtenido del fichero sqlsodbc.chm de nuestro ordenador no coincide con alguna de las de la lista, podríamos estar infectados por Gumblar, aunque no se puede afirmar con seguridad que lo estemos

La forma más efectiva de desinfectarnos, según ScanSafe, es formateando e instalando Windows de nuevo.

 

Compártelo. ¡Gracias!

Noticias relacionadas

Comentarios

2 comentarios
  1. Islander 30 May, 09 12:39

    Parece ser que al menos en Vista no viene ese archivo, supongo que por usar un sistema de archivos de ayuda nuevo. Significa eso que Vista es inmune al gusano?

    Responder
    0
    1. Antonio Contreras 31 May, 09 11:11

      No he encontrado ninguna información que indique que Windows Vista esté libre de ser infectado por Gumblar. El método que se explica no es más que una manera de saber si podríamos estar infectados por Gumblar, pero no excluye a nadie de no estarlo.

      Responder
      0