STX podesłał nam interesującą informację. Informacja i zdjęcia katastrofy w Gwatemali w postaci wielkiej dziury obiegły świat bardzo szybko. Podobnie szybko zareagowali scamerzy, którzy wysoko wypozycjonowali strony internetowe na hasła opisujące tragedię. I tak przykładowo szukając: guatemala may storm crater możemy w kilku pierwszy linkach zostać przekierowani do stron, które próbują nakłonić nas do instalacji złośliwego oprogramowania w swoim systemie. Oczywiście sugerując infekcję groźnym wirusem. Oczywiście nie zalecamy instalowania fałszywego oprogramowania chyba, że w celach testowych. Bardzo podoba mi się tekst wyskakującego okienka, które pojawia się gdy próbujemy zamknąć stronę:
Are you sure you want to navigate away from this page?
Your system is at risk of crash. Press CANCEL to prevent it.
Press OK to continue, or Cancel to stay on the current page.
Przykładowa witryna zła to: rockstarlimo_net/ratyj.php?pageid=guatemala%20city%20crater, która sprawdza czy nasze pole Referer wysyłane od przeglądarki należy do określonej grupy wyszukiwarek, innymi słowy jeśli przyszliśmy do odnośnika z google.com, yahoo.com, bing.com itp. to jesteśmy przekierowani do:
hxxp://heroes4.crabdance_com/in.php?t=cc&d=02-06-2010_t_0306_08&h=robbecker.com&p=bing.com
Jeśli natomiast chcemy zwyczajnie odwiedzić odnośnik (nie z wyszukiwarki) jesteśmy kierowani do cnn.com :]
i tutaj ponownie sprawdzane jest pole Referer i jeśli przychodzimy ze strony robbecker to jesteśmy przekierowani do:
hxxp://www4.greatav43-td_co_cc/?p=p52dcWltbV%2FRlsijZFahqJ51mV6XZGWdYZnKmJQ%3D
(jeśli przychodzimy znikąd to lecimy do niedziałającego hxxp://new.dclicksit_com/s.php?q=Buy+cheap+viagra)
gdzie już niezależnie od nagłówka Referer jesteśmy kierowani do docelowego hosta czyli:
hxxp://www1.avscaner-40pr_co_cc/?p=p52dcWltbV%2FCj8bYboN6dYhe0KCfYWCdU9LXoKith6Swz9KwoFqbnZxxmpi2m8%2FUoKebWqas0GqXYWWaYpqYmZdslVzY1cStp6d2ZV6ldV%2FVltjSlm1TmpukyWqIppnLpKCKzKF0ameTkpxpYGZsbWZmbV%2FTksqjV6SgcWNqm2KZZmaXYJqK16Rpb2eXmJhwaGpqZ29am5yefbCMqJmRcWpqlg%3D%3D
Prawda, że ktoś się postarał? :]
Domena co.cc umożliwia darmowe wykorzystanie obsługi DNS, a serwery hostujące znajdują się pod adresami IP:
AVSCANER-40PR_CO_CC has address 114.207.244.144
AVSCANER-40PR_CO_CC has address 114.207.244.145
AVSCANER-40PR_CO_CC has address 114.207.244.143
AVSCANER-40PR_CO_CC has address 114.207.244.146
i umieszczone są w nomenklaturze Koreańskiej :
inetnum: 114.200.0.0 – 114.207.255.255
netname: broadNnet-KR
descr: SK Broadband Co Ltd
country: KR
admin-c: IM12-KR
tech-c: IM12-KR
status: ALLOCATED PORTABLE
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr
source: KRNIC
Wyniki z serwisu VirusTotal wykazują, że 9 silników antywirusowych wykryło zagrożenie.