My Opera
WORM SIMULA GOOGLE
Friday, September 16, 2005 1:16:44 PM
Eis um novo worm: o P2Load.A. Este tem como principal objectivo simular o Google. O P2Load.A espalha-se utilizando redes P2P (Peer to Peer) dos programas Shareeza ou Imesh. Copia-se para a pasta partilhada destes programas, com o nome Knights of the Old Republic 2, um jogo de PC inspirado na saga Star Wars. Quando é executado, mostra uma mensagem de erro informando o utilizador que um determinado ficheiro não existe e oferece-se para o descarregar. Caso isso aconteça, o computador fica infectado pelo worm, que faz duas modificações importantes: altera a página de início do browser, mostrando publicidade, e redirecciona as visitas ao motor de pesquisa Google para outra página.
Para o fazer, o worm recorre a um sofisticado ataque de pharming: modifica o ficheiro HOSTS no computador para que quando os utilizadores tentarem aceder ao Google, sejam redireccionados para uma página que é uma cópia exacta da deste motor de pesquisa mas falsa, alojada na Alemanha. Esta página é tão sofisticada que suporta as dezassete línguas em que o Google está traduzido e redirecciona os utilizadores mesmo que estes se enganem a introduzir o endereço (wwwgoogle.com, www.gogle.com ou www.gogel.com), pelo que é impossível apercebermo-nos da mudança.
Quando se efectua uma pesquisa, os resultados são correctamente mostrados ou apenas com pequenas variações dos que seriam apresentados pelo verdadeiro Google. No entanto, os links patrocinados, geralmente mostrados na parte de cima da página dos resultados, são diferentes. Para determinadas buscas, os links são alterados para o que for especificado pelos criadores do worm, aumentando assim o tráfego dos sites correspondentes.
O facto de modificar o ficheiro HOSTS com outro descarregado da Internet e não com informações contidas no seu código significa que pode emular outros sites populares sem necessidade de ser criado um novo programa, bastando para isso que o conteúdo do ficheiro descarregado seja actualizado.
Como prevenir-se? Utilizadores do Windows, actualizem o antivírus. Agora.
You must be 
