Google è diventato oramai il primo motore di ricerca al mondo. Fornisce molti e ottimi servizi in termini di qualità e quantità. Siamo abituati a vedere questo motore di ricerca sotto mille aspetti, nuove interfacce grafiche, localizzato per moltissime nazioni, non ultima la versione per l’Italia.
Qualcuno ha però marciato un pò su questa situazione, tentando di far cadere in tranello gli ignari utenti italiani. È stato infatti costruito ad hoc un indirizzo, www.gooogle.bz, che sembra in tutto e per tutto uguale al motore di ricerca in veste italiana di Google.
In effetti il dominio è simile, le vesti uguali. Ma nasconde al suo interno qualche sorpresa. Infatti la pagina web carica due iframe, di cui uno è appunto la versione localizzata in italiano di Google, mentre il secondo carica un popup che contiene il download di tre simpatici trojan.
I file sono denominati Catto.exe (riconosciuto come Trojan.Win32.Small.ir), lateshow.cab (riconosciuto come Trojan-Clicker.Win32.Small.hj) e cywtr.exe (che va a creare il file C:WINDOWSSYSTEM32trust.exe e si va ad aggiungere al registro sotto HKLMSoftwareMicrosoftWindowsCurrentVersionRun con la key “fix”=”C:WINDOWSSYSTEM32trust.exe”).
Prima di caricare il popup, il frame – up.asp – tenta di scaricare altri due trojan. Il primo, Blackout.exe – scritto in Visual Basic e compresso con UPX – modifica le impostazioni di Internet Explorer. Il secondo, pialla.exe, é un archvio NSIS che copia tre file sotto la directory di sistema di Windows: wintimer.bmp (che utilizza la falsa estensione .bmp), il quale iniettta in explorer.exe la dll nortonav.dll e infine il file msantivir.exe. Il file wintimer.bmp tenta di creare copie di sé sotto la directory di sistema con nomi *msqlc.exe (dove * é random). Wintimer.bmp é identificato come Trojan.Win32.Agent.wd, nortonav.dll come Backdoor.Win32.Bancodor.ab.
Il WHOIS del dominio è:
Registrant Contact:
Tanzania Import sa
Silvano Mammola (info@gooogle.bz)
+1.55565659998
Fax: +1.55565659998
123 Wilson Rd
Santaclaus, CI 92115
CXName Servers:
ns.sessosubito.net
ns2.sessosubito.netCreation date: 05 Sep 2006 07:08:47
Expiration date: 05 Sep 2007 12:08:47
Un semplice popup blocker blocca il caricamento dell’iframe che contiene i trojan, per cui il rischio è relativamente basso. Occhio tuttavia a cliccare su siti strani, su domini che non riconoscete o di cui sospettate qualcosa (per esempio questo dominio in oggetto aveva troppe ‘o’ nel nome Google, si vedeva che era chiaramente falsato).
Sono gli stessi di pergentina.biz, forteforte.com, etc…
mille grazie! me n’ero scordato degli altri siti in effetti 😀
acquadirose.com
ciritorno.biz
cisiamodibrutto.com
coppiastrana.biz
cywanstorage.biz
gooogle.bz
melagodo.biz
nanobyte.biz
pergentina.biz
phishingfix.biz
playmore.biz
preferiti-windows.com
ricercadoppia.com
roserosse.biz
smilemail.biz
super-videochat-community.biz
terzodesiderio.biz
tuttoavolonta.com
umts-gprs-mondo-telefonino-cellulare.biz
what-you-want.biz
Forse ne ho dimenticati alcuni…
L’ iframe oltre a caricare il popup contiene anche pialla.exe (Backdoor.Win32.Bancodor.ab+Trojan.Win32.Agent.wd), Checkout.exe (Trojan.Startpage)
@TNT
C’è una lista che sia possibile caricare su un proxy ?
@GmG:
grazie per la precisazione 🙂 Dovevo aggiornarlo in effetti ma ieri e stamattina non ho avuto tempo, l’ho fatto ora 🙂
Marco sei un “mostro”
ce ne fossero tanti come te.
E’ possibile eliminare da Risorse del Computer una cartella di sistema indesiderata “Fil Porno” posizionata sotto la cartella “Pannello di controllo”.
Sono già riuscito ad eliminare la cartella “Connessione Veloce” che mi aveva creato un sacco di guai. mi era arrivata su una email che uso “solo” per scambio di opinioni sugli inceneritori e relativo inquinamento. Non ricordo dove ma su internete avevo trovato un riferimento alla raccolta differenziata e a “Rifiuti Zero” del fatto ho anche informato la polizia postale senza avere risposta.
saluti e complimenti
Piero