Por Fabio Assolini

Serviços de redirecionamento têm sido utilizados cada vez mais para espalhar malware. Esses serviços, na sua maioria gratuitos, são úteis para tornar um endereço extenso mais curto.

O novo endereço “curto” criado, porém, não exibe o caminho completo do arquivo na Internet (URL) e nem a extensão do arquivo linkado. Em outras palavras, um programador de vírus pode criar um endereço “camuflado”, onde o usuário clica no link sem saber exatamente do que se trata. Esses links são distribuidos especialmente por e-mails.

Os serviços mais conhecidos que oferecem essa facilidade são Shurl.org, Metamark.net, Notlong.com, Qurl.net, Snipurl, TinyURL.com e o brasileiro Rg3.net.

Vamos tomar um exemplo prático: o Eicar (European Institute for Computer Antivirus Research) disponibiliza em sua página um arquivo de teste inofensivo para testar a funcionalidade de um antivírus. Este arquivo deve ser reconhecido por todos os fabricantes de produtos antivírus para que os usuários possam testar se um antivírus está funcionando ou não sem precisar de um código malicioso de verdade.
Vamos criar um link direto para o EICAR em um destes serviços:

Link original:
http://www.eicar.org/download/eicar.com

Link reduzido:
http://shurl.org/cdQxg

Se o usuário clicar no link reduzido, imediatamente será iniciado o download do arquivo. Não é possível saber o que ocorrerá ao clicar no link antes de fazê-lo.

O TinyURL oferece um serviço de preview do link, porém requer que o usuário insira a palavra “preview” ao digitar o endereço, o que quase não ocorre, pois os endereços são na sua maioria clicados, não digitados.

Uma das maneiras de evitar e escapar destes links camuflados é utilizar um serviço muito interessante, ainda pouco conhecido, oferecido pela companhia russa de antivirus Dr. Web. O serviço verifica se o link em questão aponta ou não para um arquivo infectado. Eles ainda oferecem plugins que podem ser incorporados ao navegador para a verificação desses links.

Lembrando que não se pode confiar em um endereço apenas porque ele parece ser legítimo. Na dúvida, confirme com a pessoa que supostamente o enviou se o envio realmente ocorreu e, se ainda não tiver certeza, não clique!

Anúncios

Escrito por Redação Linha Defensiva

3 Comments

  1. João Paulo 14/11/2006 às 11:41

    Lamento discordar do conteúdo do post, mas o autor se esquece de dizer algo MUITO importante: sempre vai aparecer uma caixa de diálogo perguntando se o usuário deseja baixar o arquivo, SEJA QUAL FOR. Isso é possível quando se está usando o Opera ou o Firefox.
    O risco está apenas no desconhecimento do próprio usuário, ao aceitar baixar e executar um arquivo, sem no mínimo se importar com a extensão do mesmo.

    Curtir

  2. Nem sempre. Dependendo do serviço redirecionador utilizado, o download começa imediatamente, aparecendo após o click as opções de Salvar, Executar ou Cancelar. Não pra saber, antes de clicar, do que se trata.
    Só lembrando que o Internet Explorer ainda é usado por mais de 80% dos usuários de internet.

    Curtir

  3. Eu uso o Firefox 2.0 e quando cliquei no link fui infectado imediatamente não teve caixa de dialogo alguma!

    Curtir

Comentários encerrados.