مشورت همکاران – اشتباه املايى سادهاى از نام domain گوگل مىتواند منجر به رويداد وحشتناكى براى جستوگران وب شود. نويسندگان ويروس، گونهاى از سايت موتور جستوجوى گوگل را ايجاد كردهاند كه از اشتباهات املايى كاربرانى كه google.com URL را به كار مىبرند، سوء استفاده مىكنند.
برطبق هشدارهاى شركت ضد ويروس F-Secure، سايت googkle.com پر از اسبهاى تراوا، دانلودرها و نرمافزارهاى جاسوسى است و تنها كافى است كه كاربران از صفحهى اين سايت ديدن كنند تا در معرض خطر حملات كامپيوترى واقع شوند.
هنگامى كه سايت googkle.com در مرورگر كاربران باز شود، دو پنجرهى پاپ_آپ با لينكهاى به سايتهاى third-party پديدار مىشوند. يكى از اين سايتها با نام ntsearch.com، فايل pop.chm را دانلود و اجرا كرده و ديگرى با نام toolbarpartner.com، فايل ddfs.chm را دانلود و اجرا مىكند.
هر دوى اين فايلهاى حاوى برنامهها و كدهاى مخربى هستند كه فايلهاى مخرب بسته بندى شدهاى را اجرا مىكنند. يكى از صفحات وب سايت toolbarpartner.com با استفاده از كد مخربى، فايلى را با نام pic10.jpg دانلود مىكند. اين فايل JPG در اصل كد قابل اجرايى است كه جايگزين برنامهى كاربردى Windows Media Player مىگردد.
مجموعهاى از اين كدهاى مخرب بستهى نرمافزار مخربى را بارگذارى مىكند كه حاوى دو backdoor، دو منتشر كنندهى تراوا، يك ترواى پراكسى، يك تراواى جاسوسى و يك دانلود كنندهى تراوا است. هنوز مشخص نشده است كه آيا اين حملات از نسخهى patch نشدهى Internet Explorer مايكروسافت سوء استفاده مىكنند و يا خير.
اين حملات همچنين شامل منتشر كنندهى تراوايى است كه خود را با نامى انتخابى بر روى فولدر سيستم ويندوز كپى كرده و DLL اى را منتشر مىكند كه فايل HOSTS را براى مسدود كردن اتصال به وب سايتهاى ضد ويروس تغيير مىدهد.
كد مخرب ديگر فايل DLL را بر روى فولدر سيستم ويندوز منتشر ساخته و هشدار ويروسى را بر روى دسك تاپ فعال مىسازد. اين اخطار دربارهى آلودگى كامپيوتر به كاربران هشدار داده و كاربران را به وب سايت مخرب ديگرى كه پشتيبان اين ويروس است، هدايت مىكند.
اين وب سايت حاوى لينكهايى به سايتهاى متعددى است كه ارايه دهندهى ضد ويروسها و برطرف كنندهى نرمافزارهاى جاسوسى است. اين لينكها حاوى فايل toolbar.exe هستند كه در اصل نصب كنندهى نرمافزار تبليغاتى است و ميلهى ابزار نرمافزار جاسوسى با نام Perez را نصب مىكند.
منبع : eWEEK.com
