Gumblarは、Webサイトを改竄して、Adobe ReaderやFlash Playerの脆弱性を突いたJavaScriptコードを仕掛ける。Adobe ReaderやFlash Playerの最新版を用いていないユーザーが改竄されたWebサイトを閲覧すると、Gumblarに感染する。
Gumblarは感染したPCにおいて、通信を監視し、FTPサーバへのアクセスを検知するとそのIDとパスワードを盗んで攻撃者のWebサイトに送信するほか、検索結果を書き換えたり、不正なアプリケーションをインストールしたりする。
以下、年末から年始にかけて、Gumblarの被害を受けた企業の状況を紹介するが、いずれの企業のサイトも対応が済んでいる。また、今回の改竄の対処策として、手持ちのウイルス対策ソフトやトレンドマイクロのオンラインスキャンを利用することが推奨されている。
JR東日本- 12月8日、12月18日発生
JR東日本のWebサイトで改竄されたページは、「JR東日本ホームページ内キーワード検索」 (期間:2009年12月8日21:40~12月21日23:55)、「大人の休日倶楽部内の東京講座ページ」(期間: 2009年12月18日11:00~12月22日21:00)だ。
ホンダ - 12月18日発生
ホンダは「ストリーム」のサイトが改竄された。被害を受けた期間は2009年12月18日11:30~2009年12月21日16:00。同社は原因として、ストリームを担当する制作会社のPCが、Gumblarの亜種によりウイルスに感染し、PCの情報が第三者により盗まれ、対象サイトのファイルが改竄されたことを公表している。
ローソン - 12月28日発生
ローソンは採用に関するポータルサイトが改竄の被害を受けた。改竄されていた期間は、2009年12月28日11:21~2009年12月30日0:20。同社の発表によると、改竄されていた期間に同サイトのアクセス数は450だったという。
モロゾフ - 1月4日発生
モロゾフはWebサイトのメインページが改竄された。改竄されていた期間は、2010年1月4日19時30分~2010年1月5日11:54。原因はホンダと同様で、同社のWebサイトの制作会社のPCが、Gumblarの亜種に感染したことによるという。