Le mille facce di Google

Google è diventato oramai il primo motore di ricerca al mondo. Fornisce molti e ottimi servizi in termini di qualità e quantità. Siamo abituati a vedere questo motore di ricerca sotto mille aspetti, nuove interfacce grafiche, localizzato per moltissime nazioni, non ultima la versione per l’Italia.

Qualcuno ha però marciato un pò su questa situazione, tentando di far cadere in tranello gli ignari utenti italiani. È stato infatti costruito ad hoc un indirizzo, www.gooogle.bz, che sembra in tutto e per tutto uguale al motore di ricerca in veste italiana di Google.

In effetti il dominio è simile, le vesti uguali. Ma nasconde al suo interno qualche sorpresa. Infatti la pagina web carica due iframe, di cui uno è appunto la versione localizzata in italiano di Google, mentre il secondo carica un popup che contiene il download di tre simpatici trojan.

I file sono denominati Catto.exe (riconosciuto come Trojan.Win32.Small.ir), lateshow.cab (riconosciuto come Trojan-Clicker.Win32.Small.hj) e cywtr.exe (che va a creare il file C:\WINDOWS\SYSTEM32\trust.exe e si va ad aggiungere al registro sotto HKLM\Software\Microsoft\Windows\CurrentVersion\Run con la key “fix”=”C:\WINDOWS\SYSTEM32\trust.exe”).

Prima di caricare il popup, il frame - up.asp - tenta di scaricare altri due trojan. Il primo, Blackout.exe - scritto in Visual Basic e compresso con UPX - modifica le impostazioni di Internet Explorer. Il secondo, pialla.exe, é un archvio NSIS che copia tre file sotto la directory di sistema di Windows: wintimer.bmp (che utilizza la falsa estensione .bmp), il quale iniettta in explorer.exe la dll nortonav.dll e infine il file msantivir.exe. Il file wintimer.bmp tenta di creare copie di sé sotto la directory di sistema con nomi *msqlc.exe (dove * é random). Wintimer.bmp é identificato come Trojan.Win32.Agent.wd, nortonav.dll come Backdoor.Win32.Bancodor.ab.

Il WHOIS del dominio è:

Registrant Contact:
Tanzania Import sa
Silvano Mammola (info@gooogle.bz)
+1.55565659998
Fax: +1.55565659998
123 Wilson Rd
Santaclaus, CI 92115
CX

Name Servers:
ns.sessosubito.net
ns2.sessosubito.net

Creation date: 05 Sep 2006 07:08:47
Expiration date: 05 Sep 2007 12:08:47

Un semplice popup blocker blocca il caricamento dell’iframe che contiene i trojan, per cui il rischio è relativamente basso. Occhio tuttavia a cliccare su siti strani, su domini che non riconoscete o di cui sospettate qualcosa (per esempio questo dominio in oggetto aveva troppe ‘o’ nel nome Google, si vedeva che era chiaramente falsato).

Scritto il 2 Ottobre 2006


9 Responses to “Le mille facce di Google”


  1. TNT
    Ottobre 2nd, 2006 at 22:59

    Sono gli stessi di pergentina.biz, forteforte.com, etc…


  2. Marco
    Ottobre 2nd, 2006 at 23:18

    mille grazie! me n’ero scordato degli altri siti in effetti :D


  3. TNT
    Ottobre 2nd, 2006 at 23:53

    acquadirose.com
    ciritorno.biz
    cisiamodibrutto.com
    coppiastrana.biz
    cywanstorage.biz
    gooogle.bz
    melagodo.biz
    nanobyte.biz
    pergentina.biz
    phishingfix.biz
    playmore.biz
    preferiti-windows.com
    ricercadoppia.com
    roserosse.biz
    smilemail.biz
    super-videochat-community.biz
    terzodesiderio.biz
    tuttoavolonta.com
    umts-gprs-mondo-telefonino-cellulare.biz
    what-you-want.biz

    Forse ne ho dimenticati alcuni…


  4. GmG
    Ottobre 3rd, 2006 at 09:44

    L’ iframe oltre a caricare il popup contiene anche pialla.exe (Backdoor.Win32.Bancodor.ab+Trojan.Win32.Agent.wd), Checkout.exe (Trojan.Startpage)


  5. francesco
    Ottobre 3rd, 2006 at 11:49

    @TNT

    C’è una lista che sia possibile caricare su un proxy ?


  6. Marco
    Ottobre 3rd, 2006 at 15:05

    @GmG:

    grazie per la precisazione :) Dovevo aggiornarlo in effetti ma ieri e stamattina non ho avuto tempo, l’ho fatto ora :)


  7. La sicurezza del pc a portata di mano » Archivio » acquadirose.com, forteforte.com, cisiamodibrutto.com
    Ottobre 5th, 2006 at 01:16

    […] I siti si possono rimuovere aprendo Internet Explorer e andando su Strumenti - Opzioni Internet - Protezione - Siti attendibili - Siti. Viene modificata anche la home page di Internet Explorer, settata dal trojan su gooogle.bz, per il quale rimando ad un’altra analisi presente sul mio sito. […]


  8. PC Al Sicuro » Archivio » acquadirose.com, forteforte.com, cisiamodibrutto.com
    Dicembre 5th, 2006 at 18:19

    […] I siti si possono rimuovere aprendo Internet Explorer e andando su Strumenti - Opzioni Internet - Protezione - Siti attendibili - Siti. Viene modificata anche la home page di Internet Explorer, settata dal trojan su gooogle.bz, per il quale rimando ad un’altra analisi presente sul mio sito. […]


  9. Pietro Friso
    Marzo 4th, 2007 at 16:37

    Marco sei un “mostro”
    ce ne fossero tanti come te.

    E’ possibile eliminare da Risorse del Computer una cartella di sistema indesiderata “Fil Porno” posizionata sotto la cartella “Pannello di controllo”.

    Sono già riuscito ad eliminare la cartella “Connessione Veloce” che mi aveva creato un sacco di guai. mi era arrivata su una email che uso “solo” per scambio di opinioni sugli inceneritori e relativo inquinamento. Non ricordo dove ma su internete avevo trovato un riferimento alla raccolta differenziata e a “Rifiuti Zero” del fatto ho anche informato la polizia postale senza avere risposta.

    saluti e complimenti

    Piero

Lascia un commento

« Internet Explorer: bug a mesi alterni
Next: acquadirose.com, forteforte.com, cisiamodibrutto.com »