Peut-ëtre , c'est mieux dans la tour .......entécas
Des pirates tentent d'exploiter les fautes de frappes des internautes qui souhaitent accéder au moteur de recherche Google. Le nom de domaine 'Googkle.com' est utilisé pour véhiculer spywares et chevaux de Troie en tout genre... Ne visitez surtout pas ce site et gare aux fautes de frappes !
La technique est simple et à la fois vicieuse. Elle consiste à exploiter les fautes de frappe des internautes distraits pour les rediriger vers un site permettant à son webmaster d'installer, à l'insu de l'utilisateur, des spywares et chevaux de Troie.
Cette fois ci, c'est l'hégémonie Google qui est prise pour cible. Le site 'Googkle.com' dont la 'typo' ressemble étrangement à celle du moteur de recherche mondialement connu, regorge d'exploits, spywares et chevaux de Troie qui sont destinés à infecter les utilisateurs qui n'ont pas installé les derniers correctifs de sécurité Microsoft.
Ce site pirate semble être opéré par des Russes qui ont un certain 'savoir faire' en la matière. De nombreux sites du même genre devraient voir le jour. Bien évidemment, les plus connus et visités seront pris pour cible.
Un seul conseil: maintenez vos systèmes d'exploitation et logiciels (RealPlayer, IE, Office...) à jour afin d'éviter de vous laisser surprendre par ce genre d'attaque.
Informations complémentaires
Certaines sources donnent comme nom gookle.com et d'autres googkle.com. En fait les deux adresses existent et semblent indépendantes. Compte tenu des risques nous n'avons pas cherché à vérifier le contenu de chacune.
Le site incriminé bloque aussi l'accès aux mises à jour de divers antivirus (par une modification du fichier hosts, donc ce n'est pas trop difficile à contourner) et affiche une publicité sur le bureau pour un site vendant un antivirus (tiens, tiens !).
Cette technique est appelée typosquatting. Elle repose sur la probabilité qu'un certain nombre d'utilisateurs feront un jour une faute de frappe en utilisant par mégarde une touche proche de celle correspondant à la lettre correcte, en oubliant une lettre, ou en se trompant de nom de domaine (.com à la place de .fr par exemple). Des milliers d'adresses différant par un minime détail de celles de sites très connus ont été répertoriées.
Dans certains cas cela ne correspond pas à une malhonnêteté réelle, mais à une simple ruse. Ainsi www.whitehouse.com (et non .gov) correspond à une agence immobilière des États-Unis. www.gogle.fr est un site commercial. Mais il y a quelques années www.gogle.com correspondait à un site pornographique, ce qui est plus grave. Actuellement Google a racheté cette adresse qui redirige vers le site officiel Google.
Les sites pornographiques sont bien entendu susceptibles d'exploiter le typosquatting. Une autre utilisation malhonnête consiste à détourner la clientèle d'un site vers un autre site concurrent. Enfin une technique voisine est utilisée pour détourner les mails destinés à des adresses connues.
On peut s'attendre à ce que l'exemple de www.gookle.com soit largement suivi bientôt comme moyen de diffuser des virus. Certes le nom de celui qui dépose un nom de domaine est connu, mais il est malheureusement connue aussi que s'il réside dans certains pays étrangers, ce fraudeur ne risque pas grand chose.
Au conseil de maintenir à jour ses outils de navigation Internet on peut en rajouter deux autres : Internet Explorer sera la cible privilégiée pour diffuser des malwares par cette méthode. En utilisant un autre navigateur vous serez beaucoup plus à l'abri. La "vaccination" de l'ordinateur par le logiciel gratuit Spywareblaster vous protègera contre plusieurs milliers de malwares. Enfin certains anti-spywares (comme Spybot Search and Destroy) possèdent un module résident qui vous avertira si un programme (probablement malveillant) cherche à s'installer subrepticement sur l'ordinateur.
Mais à l'avenir, faites bien attention en tapant l'adresse de sites très connus : ce sont bien entendu les cibles privilégiées pour ce type de détournement.
Fautes de frappe : Google cible des spywares et virus !
Rénatane a écrit
Bon messemblais.......
Tu as visité le site ?????? as-tu eu des pop-up ??? Non, j'ai juste eu un popup de mon antivirus
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: MHTMLRedir.Exploit
File: C:Documents and Settings???Local SettingsTemporary Internet FilesContent.IE5OHS32J6Dpopup3[1].htm
Location: Quarantine
Computer: ???
User: ???
Action taken: Quarantine succeeded : Access denied
Date found: April 27, 2005 17:14:41 PM
Bon messemblais.......
Tu as visité le site ?????? as-tu eu des pop-up ??? Non, j'ai juste eu un popup de mon antivirus
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: MHTMLRedir.Exploit
File: C:Documents and Settings???Local SettingsTemporary Internet FilesContent.IE5OHS32J6Dpopup3[1].htm
Location: Quarantine
Computer: ???
User: ???
Action taken: Quarantine succeeded : Access denied
Date found: April 27, 2005 17:14:41 PM
