Gumblar最早被安全界认知是由于其利用Adobe Flash/PDF的漏洞传播恶意软件，不同的安全厂商将Gumblar认定为不同的恶意行为，在2009年5月第一次被发现后，Gumblar几乎席卷了整个互联网，业界认为这是一次比Conficker更严重的安全事件。

Gumblar最早被安全界认知是由于其利用Adobe Flash/PDF的漏洞传播恶意软件，不同的安全厂商将Gumblar认定为不同的恶意行为，如Botnet、Downloader和Trojan。实际上，Gumblar是一系列攻击行为的统称（自动化的恶意软件传播系统），包括网站入侵、植入恶意代码、攻击客户端等等、主要恶意行为是窃取客户端FTP密码和重定向用户搜索结果。

在2009年5月第一次被发现后，Gumblar几乎席卷了整个互联网，业界认为这是一次比Conficker更严重的安全事件。

我们以日本为例，对Gumblar事件进行分析。

在日本，大量的动漫网站首先遭到攻击，表现为网页被植入了恶意代码，随后很多网站也先后被攻击并植入类似的恶意代码。事后分析发现，动漫网站大多采用包括wordpress在内的开源程序，而开源程序本身及其第三方插件都存在着大量的安全漏洞，Gumblar自动化地通过漏洞特征寻找有漏洞的网站并完成随后的网页恶意代码植入，通常恶意代码经过加密并指向其他恶意软件托管站点。

浏览者在访问包含恶意代码的网站时，如果攻击成功，恶意软件会被下载并安装到浏览者的主机上，恶意程序会自动寻找本地的FTP账号，并利用FTP账号自动感染下一个网站，快速地进行传播。

随着Adobe发布Flash和PDF相关补丁，Gumblar的影响在逐渐减弱。但是在2009年11月份，Gumblar变种再次席卷日本互联网，众多知名网站纷纷遭遇攻击，网页中被植入了恶意代码，其中包括：

日本本田网站；

东日本旅客铁路网站；

日本民主党东京网站；

日本著名便利店Lawson网站；

日本某著名博客提供商。

根据网站的FTP日志判断，部分攻击仍然通过FTP上传进行，另外一些则是典型的群注方式，通过指定特征在互联网上扫描发起攻击。

对捕获的恶意样本分析发现，此次Gumblar变种仍然采用基于浏览器相关的漏洞进行传播，甚至一些几年前的漏洞还在被使用，微软2009年安全报告中描述了更新服务的使用情况：世界各个区域内有很多Windows用户没有启用Windows更新服务，因此其系统中可能存在安全漏洞，有些甚至是几年前的漏洞。

Gumblar变种攻击事件出现后，在日本国内造成了巨大的反响，中小企业认为像本田这样的世界500强的网站都会遭受Gumblar攻击，那么中小企业的安全性则更加无法保证，互联网行业更是如临大敌，在各大网站上都能看到Gumblar防护专栏。