Het is al een tijdje bekend dat diverse websites meeliften op het succes van bekende domeinnamen, zoals bijvoorbeeld die van Google. De websites hopen dat iemand in de haast of om andere redenen perongeluk een spelfout maakt en zo een domeinnaam intikt die zij geregistreerd hebben.
Tot nog toe beperkte deze vorm van meeliften zich tot hosting bedrijven die reclame willen maken, tot vervelende sites die spyware op de computer installeren.
Het Finse bedrijf F-Secure waarschuwt nu echter voor een site met een domeinnaam die lijkt op die van Google, maar in plaats van een zoekmachine krijgt de internetter een stortvloed aan virussen en trojans over zich heen.
Volgens F-Secure is de website ‘Googkle.com’ en nog een aantal andere dergelijke sites eigendom van personen met Russische namen. De bestanden die bij het bezoek op de computer worden gedownload zijn ook voornamelijk in het Russisch.
Toen F-Secure de site bezocht openden zich twee pop-ups die linkten naar andere sites die vol met scripts staan. Eén van deze site genaamd "’ntsearch.com" download het bestand "pop.chm" en voert dat uit op de computer. De andere site met de naam "toolbarpartner.com" doet hetzelfde, maar dan met het bestand "ddfs.chm".
Als deze bestanden worden uitgevoerd wordt er vervolgens vanaf de website "toolbarpartner.com" een bestand genaamd "pic10.jpg" gedownload. Dit bestand is echter geen afbeelding, maar een .exe bestand dat het .exe bestand van Windows Media Player vervangt.
Ook wordt er tijdens de aanval een trojan geïnstalleerd die zichzelf met een willekeurige naam in de Windows System map plaatst en een bestand installeert dat verbindingen met anti-virus websites blokkeert.
Dat is echter nog niet alles, want een ander bestand dat geïnstalleerd wordt zorgt ervoor dat de gebruiker een nep virusmelding op het scherm krijgt. Deze melding linkt naar een site waarop zogenaamd een anti-virus maatregel te downloaden is. In werkelijkheid wordt de gebruiker dan doorgestuurd naar en nieuwe site die ook diverse virussen en scripts gebruikt.
F-Secure roept iedereen met klem op, om de site niet te bezoeken en goed te kijken of je het juiste adres hebt ingetikt. Het bedrijf heeft de zaak inmiddels ook bij de officiële instanties gemeld.
Meer over het probleem is te vinden op de site van F-Secure.
6 uur geleden
