ercolino
27-04-2005, 19:35
Lo staff di F-Secure ha scoperto un sito che usa un nome simile a Google.com, che una volta aperto scarica automaticamente nel computer una serie di differenti codici dannosi, tra cui trojan droppers, trojan downloaders, backdoors, proxy trojan.
Il nome del sito è "Googkle.com", quindi potrebbe bastare un piccolo errore nel scrivere il nome del popolare motore di ricerca per ritrovarsi in pochi secondi il computer infestato da virus e file adware.
Una volta aperto 'googkle.com' vengono visualizzati due pop-up linkati ad altri due siti : www.ntsearch.com e toolbarpartner.com, i quali scaricano dei file nel pc dell'utente, per la maggior parte contenenti degli exploit in grado di eseguire codice nel sistema. Sono circa 49 i file infetti che vengono installati, i quali sovrascrivono il file host e bloccano l'accesso ai siti di anti-virus . Una volta infettato il sistema vengono visualizzati link a siti che vendono software anti-virus con lo slogan "We help people" ( ...noi aiutiamo la gente ..). Il sito, e gli altri che vengono aperti dai pop-up risultano registrati con nomi russi ed anche i testi scritti nei file che vengono scaricati sono in russo. La raccomandazione chiaramente è di NON APRIRE QUEL SITO.
Googkle.com è solo un esempio di come sbagliare a digitare un nome può essere pericoloso, e non è neanche la prima la volta che cambiando leggermente il nome di un dominio si cerca di trarre in inganno gli utenti per eseguire vari tipi di attacchi. Dopo l'avviso postato nel sito F-Secure, SANS ha reso noto che sono arrivate molte altre segnalazioni di siti simili, con nomi tipo msnm.com, gfoogle.com, ghoogle.com, googfle.com, luycos.com, msn1.com, passpport.com e xcnn.com.
http://www.alground.com/news/news.php?page=169
Il nome del sito è "Googkle.com", quindi potrebbe bastare un piccolo errore nel scrivere il nome del popolare motore di ricerca per ritrovarsi in pochi secondi il computer infestato da virus e file adware.
Una volta aperto 'googkle.com' vengono visualizzati due pop-up linkati ad altri due siti : www.ntsearch.com e toolbarpartner.com, i quali scaricano dei file nel pc dell'utente, per la maggior parte contenenti degli exploit in grado di eseguire codice nel sistema. Sono circa 49 i file infetti che vengono installati, i quali sovrascrivono il file host e bloccano l'accesso ai siti di anti-virus . Una volta infettato il sistema vengono visualizzati link a siti che vendono software anti-virus con lo slogan "We help people" ( ...noi aiutiamo la gente ..). Il sito, e gli altri che vengono aperti dai pop-up risultano registrati con nomi russi ed anche i testi scritti nei file che vengono scaricati sono in russo. La raccomandazione chiaramente è di NON APRIRE QUEL SITO.
Googkle.com è solo un esempio di come sbagliare a digitare un nome può essere pericoloso, e non è neanche la prima la volta che cambiando leggermente il nome di un dominio si cerca di trarre in inganno gli utenti per eseguire vari tipi di attacchi. Dopo l'avviso postato nel sito F-Secure, SANS ha reso noto che sono arrivate molte altre segnalazioni di siti simili, con nomi tipo msnm.com, gfoogle.com, ghoogle.com, googfle.com, luycos.com, msn1.com, passpport.com e xcnn.com.
http://www.alground.com/news/news.php?page=169