Gumblar: ¡Sayonara, Japón!

El programa malicioso Gumblar apareció a principios de 2009. Desde entonces ha atraído mucha atención de servidores locales en muchos países porque roba las credenciales FTP e inyecta códigos maliciosos en el contenido de un sitio legítimo, además de agregar puertas traseras a servidores comprometidos.

Ya hemos descrito la arquitectura general del sistema Gumblar. Lo único que ha cambiado desde entonces es el número de servidores comprometidos y el aumento de servidores en la cadena del proceso de infección. El proceso de infección ahora empieza en un sitio web legítimo que tiene la etiqueta <script> inyectada (esta página se llama redirector html) y dirige a un servidor que tiene un php (llamado redirector php) que produce javascript que vuelve a dirigir al navegador a otro destino. Deben haber entre una y cuatro redirecciones como esta y al final el buscador obtiene el contenido del servidor que es el infector real. El último servidor de la cadena tiene una gran cantidad de exploits que se emplean para atacar a los usuarios de Internet. Los últimos datos muestran la cantidad de URLs de diferentes tipos que hay en el proceso:

Los números de arriba muestran sólo una pequeña parte de la realidad que percibimos, lo que significa que los verdaderos números pueden ser mucho mayores. Por el momento nadie tiene información sobre cuántos ordenadores comprometidos componen la red Gumblar, pero creemos que es más que sólo el número de servidores comprometidos, porque esta cantidad representa sólo la cantidad de usuarios infectados que tienen sus propios sitios web y utilizan clientes FTP en el sistema infectado.

Contamos el número total de puertas traseras de Gumblar y por ahora son alrededor de 4.460.

Lo peligroso del sistema Gumblar no sólo es su gran cantidad de ordenadores zombi, es el poder que le dan los servidores comprometidos. Los analistas de seguridad y servidores tienen esto claro. Se ha intentado muchas veces determinar cuán grande es el sistema y quién lo dirige.

Japón fue uno de los países que destinó muchos recursos a estudiar el problema de Gumblar porque:

• Los servidores japoneses están entre los cinco más infectados de todo el mundo;
• No hay tanto malware local en Japón como en otros países, así que Gumblar, que cruza los límites internacionales sin problema alguno, llamó mucho la atención en esta región.

Hemos estado rastreando Gumblar desde el principio desde nuestro laboratorio de análisis japonés. De hecho, tanto para nosotros como para nuestros analistas en Japón, ya es una rutina descargar nuevos ejemplares, decodificar y descomprimir los shellcodes y extraer nuevos URLs.

Los desarrolladores de Gumblar se han dado cuenta de que los protocolos de Internet japoneses están en actividad constante para combatirlos. Los delincuentes reaccionaron ante el trabajo duro de los analistas antivirus y el constante ajetreo por recopilar más datos desde Japón. Hace poco tiempo encontramos una nueva variante del script infector creado por los desarrolladores de Gumblar que tiene como función determinar de dónde proviene el cliente remoto. El script utiliza una base de datos gratuita para relacionar el IP con el país del cliente. Y si el país es Japón, el script detiene el ataque. A continuación se ve parte del código que implementa esta acción:

En la parte subrayada del código, la función ‘gC’ se refiere al código del país del cliente actual. Si esto equivale a ‘111’, que se refiere a JP en la base de datos que clasifica las IP por país, el código asigna el valor 0 a la variable ‘$zz’, lo que detiene la actividad de la aplicación.

Se ha visto actividad similar en los servidores FTP que estamos monitorizando. Los servidores japoneses no se han reinfectado, mientras que otros países siguen bajo el ataque del programa (el intervalo entre las infecciones del servidor varía de 11 a 33 horas).

Por desgracia para los delincuentes, tenemos un equipo internacional de analistas, así que si intentan evadir las IP japonesas (lo que puede limitar la cantidad de información que recopilamos de Japón), aún tenemos recursos suficientes para continuar con el análisis desde otros países.