Google è diventato oramai il primo motore di ricerca al mondo. Fornisce molti e ottimi servizi in termini di qualità e quantità. Siamo abituati a vedere questo motore di ricerca sotto mille aspetti, nuove interfacce grafiche, localizzato per moltissime nazioni, non ultima la versione per l’Italia.

Qualcuno ha però marciato un pò su questa situazione, tentando di far cadere in tranello gli ignari utenti italiani. È stato infatti costruito ad hoc un indirizzo, www.gooogle.bz, che sembra in tutto e per tutto uguale al motore di ricerca in veste italiana di Google.

In effetti il dominio è simile, le vesti uguali. Ma nasconde al suo interno qualche sorpresa. Infatti la pagina web carica due iframe, di cui uno è appunto la versione localizzata in italiano di Google, mentre il secondo carica un popup che contiene il download di tre simpatici trojan.

I file sono denominati Catto.exe (riconosciuto come Trojan.Win32.Small.ir), lateshow.cab (riconosciuto come Trojan-Clicker.Win32.Small.hj) e cywtr.exe (che va a creare il file C:WINDOWSSYSTEM32trust.exe e si va ad aggiungere al registro sotto HKLMSoftwareMicrosoftWindowsCurrentVersionRun con la key “fix”=”C:WINDOWSSYSTEM32trust.exe”).

Prima di caricare il popup, il frame – up.asp – tenta di scaricare altri due trojan. Il primo, Blackout.exe – scritto in Visual Basic e compresso con UPX – modifica le impostazioni di Internet Explorer. Il secondo, pialla.exe, é un archvio NSIS che copia tre file sotto la directory di sistema di Windows: wintimer.bmp (che utilizza la falsa estensione .bmp), il quale iniettta in explorer.exe la dll nortonav.dll e infine il file msantivir.exe. Il file wintimer.bmp tenta di creare copie di sé sotto la directory di sistema con nomi *msqlc.exe (dove * é random). Wintimer.bmp é identificato come Trojan.Win32.Agent.wd, nortonav.dll come Backdoor.Win32.Bancodor.ab.

Il WHOIS del dominio è:

Registrant Contact:
Tanzania Import sa
Silvano Mammola (info@gooogle.bz)
+1.55565659998
Fax: +1.55565659998
123 Wilson Rd
Santaclaus, CI 92115
CX

Name Servers:
ns.sessosubito.net
ns2.sessosubito.net

Creation date: 05 Sep 2006 07:08:47
Expiration date: 05 Sep 2007 12:08:47

Un semplice popup blocker blocca il caricamento dell’iframe che contiene i trojan, per cui il rischio è relativamente basso. Occhio tuttavia a cliccare su siti strani, su domini che non riconoscete o di cui sospettate qualcosa (per esempio questo dominio in oggetto aveva troppe ‘o’ nel nome Google, si vedeva che era chiaramente falsato).