Grozomon sfrutta Windows Live per diffondersi

Grozomon torna in auge sfruttando il motore di ricerca “Windows Live” per
diffondersi.

Conosciuto anche col nome di “LinkOptimizer”, Grozomon è un
malware nato con lo scopo di infettare i sistemi degli utenti italiani.


La novità è che gli autori di Grozomon hanno messo in atto delle
tecniche per figurare tra i primi risultati proposti da “Windows Live” in
seguito alla digitazione di specifiche parole chiave.

Già nota l’abilità
nel creare “siti web civetta”, contenenti riferimenti a termini ampiamente
ricercati in Rete dagli utenti italiani, gli autori di Grozomon hanno provveduto
a linkare tra loro i vari siti web utilizzando tecniche SEO (“Search Engine
Optimization”; insieme di attività svolte per migliorare il posizionamento di
una pagina web nei risultati forniti da un motore di ricerca) piuttosto spinte.


Il risultato, come segnalato da Sunbelt (notizia poi ripresa da
Symantec), è che, effettuando ricerche su argomenti piuttosto comuni mediante
Windows Live, il motore di ricerca propone in successione molti link a siti
facenti capo a Grozomon.

Alcuni di tali siti web effettuano già un
reindirizzamento verso altri siti contenenti codice nocivo.

Sono gli
utenti italiani ad essere presi direttamente di mira: i server di Grozomon
effettuano una verifica sull’indirizzo IP del client collegato e sul browser in
uso in modo da tentare il download, sul sistema del malcapitato utente, di
componenti malware “ad hoc”.

Altri link, sempre accessibili da Windows
Live, puntano a siti che visualizzano falsi errori di Windows od errori di
sistema nell’intento di indurre l’utente a scaricare ed eseguire componenti
dannosi. Attenzione quindi agli URL che su Windows Live si presentano nella
forma
http://[numero].[nome a dominio causale].com/[lista parole
chiave].
Microsoft è al lavoro per porre fine al problema, un attacco
che somiglia molto al “Googlebombing” con il quale ha avuto a che fare la
società di Mountain View.

• Googlebombing, pratica chiusa