sabato 2 febbraio 2008

Le 3 O di Gooogle

Prendo spunto da quanto recentemente pubblicato da TrendMicroBlog al riguardo di un link a pagina fasulla di agenzia di viaggi per analizzare con qualche dettaglio in piu' il link a cui punta il falso sito e precisamente Gooogle ( letto bene, proprio con tre O)

Come si sara' capito, si tratta di una pagina creata appositamente che simula la pagina italiana del noto motore di ricerca Google.
Il fatto che siano state mantenute nel logo'Gooogle" le 3 O aggiunge al danno creato a chi cliccasse sui links presenti nella pagina anche la beffa dell'evidente errore presente nella pagina fasulla.

Ecco come si presenta la main page di ricerca del falso sito GOOOGLE

Sono ben evidenti ( ma forse solo per chi e' stato avvisato) le 3 O e per il resto la pagina riproduce abbastanza fedelmente la pagina iniziale del sito italiano di Google.
L'unica differenza rilevante, a parte le 3 O, e' un link ad Astrogo0ogle, una pagina che reclamizza un numero di telefono per ascoltare l'oroscopo.

Se si esegue una ricerca con questo falso Gooogle il risultato sara' una pagina che riportera' come prima voce un falso link che punta ad una pagina con malware.

Ecco un dettaglio dei vari links presenti in pagina

C'e' da dire che gia' questa pagina e' ricca di link pericolosi o comunque di dubbia affidabilita' ed inoltre contiene nel codice una funzione che, per chi usa browser Microsoft, tenta di scaricare una falsa patch in realta' malware.

Per quanto si riferisce al link Utubbo.com si tratta di una specie di clone di Youtube (con testi in parte in Italiano) ma con un layout simile ad un blog:

Al momento risulta praticamente senza nessun filmato disponibile, sembrerebbe non presentare link a malware e comunque e' ostato sul medesimo IP del falso Google e quindi non pare certo un sito affidabile.

Ritornando ai risultati del falso Gooogle se si clicca sul primo link in alto si apre una ulteriore pagina che invita a scaricare un file eseguibile per attivare un plugin Google con il quale verra' attivata una ricerca avanzata.
Anche in questo caso si tratta di file trojan.

Tutti i files eseguibili presenti nelle pagine che abbiamo visto presentano all'interno un malware trojan che fortunatamente la quasi totalita' dei software antivirus riconosce.

Le pagine del falso Gooogle e di Utubbo sono hostate su server USA.

Come si vede i tentativi di ingannare chi utilizza Internet con falsi siti sono sempre numerosi e non ne mancano certo anche per gli utenti italiani della rete.

Edgar

5 commenti:

Sbronzo di Riace ha detto...

scusa ma quale è l'indirizzo di questo google tarocco anche mettendo 3 O io vado sempre al vero google?

Uso i DNS di telecom.

Edgar Bangkok ha detto...

Usano le 3 O nel falso logo del sito, ma l'URL e ' www.qoogler.com (con la q e la r finale ) ma di solito finisci su queso falso google da altre pagine con link a questa, non direttamente
Occhio che ci sono un po di links a malware sparsi per la pagina....

Sbronzo di Riace ha detto...

qualcosa di simile lo faceva

www.google-hard.com

sito di cui ho parlato sul mio blog e che ho segnalato a google.

ora il dominio è in vendita ma ho visto che esiste un sito chiamato

http://www.googlehard.com/

forse verrà utilizzato in futuro per lo stesso giochetto.

dietro qoogler.com e google-hard.com ci sono le stesse persone, neanche la gif animata hanno cambiato

confronta le pagine

http://www.google-hard.com/go.asp?key=
http://www.qoogler.com/go.asp?key=

Sbronzo di Riace ha detto...

tra l'altro qoogler.com era già noto in quanto il trojan relativo al famoso avvocato Ubaldo Santarelli se eseguito nel pc aggiungeva tra i siti attendibili:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com


http://preview.tinyurl.com/38pzyk

insomma quelli trendlabs si svegliano tardi, se scoprono il sito adesso

Edgar Bangkok ha detto...

Probabilmente trend micro non si riferiva tanto al sito google quanto al sito che lo linka tramite la falsa agenzia di viaggi, sito che forse e' recente... qoogler no ...

Vedo invece che , sempre per parlare di falsi google piu' o meno simili all'originale questa pagina funziona sempre anche dopo parecchi mesi

www.unitedreporters.org

e mi pare che abbiano modificato il codice , ora ad esempio c'e' uno script offuscato che porta ad altro script ecc... che punta a unihomepage.googlepages.com (altra pagina google fasulla ... di test ? )ecc....

Se e' interessante magari lo pubblico in un post