Grozomon si diffonde con Windows Live

Grozomon torna in auge sfruttando il motore di ricerca “Windows Live” per
diffondersi.

Conosciuto anche
col nome di LinkOptimizer , Grozomon è un
malware nato con lo scopo di infettare i sistemi degli utenti italiani.


La novità è che gli autori di Grozomon hanno messo in atto delle
tecniche per figurare tra i primi risultati proposti da “Windows Live” in
seguito alla digitazione di specifiche parole chiave.

Già nota l’abilità nel creare
“siti Web civetta”, contenenti riferimenti a termini ampiamente ricercati in
Rete dagli utenti italiani, gli autori di Grozomon hanno provveduto a linkare
tra loro i vari siti Web utilizzando tecniche SEO

(Search Engine
Optimization; insieme di attività svolte per migliorare il posizionamento di
una pagina Web nei risultati forniti da un motore di ricerca) piuttosto spinte.


Il risultato, come
segnalato da Sunbelt (notizia poi ripresa da Symantec), è che, effettuando
ricerche su argomenti piuttosto comuni mediante Windows Live, il motore di
ricerca propone in successione molti link a siti facenti capo a Grozomon. Alcuni di tali siti Web effettuano già un
reindirizzamento verso altri siti contenenti codice nocivo.

Sono gli
utenti italiani ad essere presi direttamente di mira: i server di Grozomon
effettuano una verifica sull’indirizzo IP del client collegato e sul browser in
uso in modo da tentare il download, sul sistema del malcapitato utente, di
componenti malware “ad hoc”.

Altri link,
sempre accessibili da Windows Live, puntano a siti che visualizzano falsi errori
di Windows od errori di sistema nell’intento di indurre l’utente a scaricare ed
eseguire componenti dannosi.

Attenzione quindi agli URL che su Windows Live si presentano nella forma

http://[numero].[nome a dominio causale].com/[lista parole
chiave].

Microsoft è al lavoro per porre fine al problema, un attacco che somiglia
molto al Googlebombing con il quale ha avuto a che fare la società di Mountain
View.

• Microsoft cancella il patch day di marzo