Het Gumblar-virus dat halverwege oktober opnieuw begonnen is met het infecteren van websites, heeft van een aardige registrar de originele gumblar.cn domeinnaam teruggekregen. Gumblar werd vernoemd naar deze domeinnaam, omdat de drive-by download exploits die het op legitieme websites plaatste, hiernaar toe verwezen. Gumblar gebruikt verschillende exploits om bezoekers te infecteren. Op geïnfecteerde systemen zoekt het naar FTP-inloggegevens, die het vervolgens gebruikt om een iframe aan de website van de besmette computergebruiker toe te voegen. Uiteindelijk werd de domeinnaam opgeheven, maar bleef de malware de Gumblar naam behouden.

Tijdens een onderzoek naar de recente opleving ontdekte een onderzoeker van ScanSafe een afwijkend patroon. Verder onderzoek wees uit dat de nieuwste iframes die Gumblar op websites injecteerde, weer naar gumblar.cn verwezen. De domeinnaam is pas twee dagen actief, maar de activatie kan nog voor vele maanden gevolgen hebben. "Alle sites die in mei door de Gumblar-aanvallen besmet raakten en niet zijn opgeschoond, iets wat helaas vaak voorkomt, kunnen nu weer een infectie-vector worden", zegt Mary Landesman. Ze laat verder weten dat het niet de eerste keer is dat een registrar een bekende malware domeinnaam vrijgeeft om opnieuw te laten registreren.