Grozomon sfrutta Windows Live per diffondersi

Grozomon torna in auge sfruttando il motore di ricerca “Windows Live” per diffondersi. Conosciuto anche col nome di “LinkOptimizer”, Grozomon è un malware nato con lo scopo di infettare i sistemi degli utenti italiani.
La novità è che gli autori di Grozomon hanno messo in atto delle tecniche per figurare tra i primi risultati proposti da “Windows Live” in seguito alla digitazione di specifiche parole chiave. Già nota l’abilità nel creare “siti web civetta”, contenenti riferimenti a termini ampiamente ricercati in Rete dagli utenti italiani, gli autori di Grozomon hanno provveduto a linkare tra loro i vari siti web utilizzando tecniche SEO (“Search Engine Optimization”; insieme di attività svolte per migliorare il posizionamento di una pagina web nei risultati forniti da un motore di ricerca) piuttosto spinte.
Il risultato, come segnalato da Sunbelt (notizia poi ripresa da Symantec), è che, effettuando ricerche su argomenti piuttosto comuni mediante Windows Live, il motore di ricerca propone in successione molti link a siti facenti capo a Grozomon. Alcuni di tali siti web effettuano già un reindirizzamento verso altri siti contenenti codice nocivo. Sono gli utenti italiani ad essere presi direttamente di mira: i server di Grozomon effettuano una verifica sull’indirizzo IP del client collegato e sul browser in uso in modo da tentare il download, sul sistema del malcapitato utente, di componenti malware “ad hoc”. Altri link, sempre accessibili da Windows Live, puntano a siti che visualizzano falsi errori di Windows od errori di sistema nell’intento di indurre l’utente a scaricare ed eseguire componenti dannosi.
Attenzione quindi agli URL che su Windows Live si presentano nella forma http://[numero].[nome a dominio causale].com/[lista parole chiave].
Microsoft è al lavoro per porre fine al problema, un attacco che somiglia molto al “Googlebombing” (ved. questa notizia) con il quale ha avuto a che fare la società di Mountain View.