Descobrindo o destino de um link malicioso sem se arriscar

Esse post passou pela minha cabeça quando recebi um email dizendo que eu havia recebido um convite para o novo orkut.

Olhando isso lembrei que existem provavelmente muitas pessoas que acabam acreditando nas promessas desses emails e acabam caindo na armadilha. Outras pessoas, mesmo tendo conhecimento para julgar que aquela seria uma mensagem falsa, acabam clicando nos links contidos nessas mensagens apenas por estarem usando um sistema operacional livre de vírus, mas se esquecem de que algumas páginas podem conter códigos maliciosos que afetam o navegador que estão usando, e esse sendo multi-plataforma pode acabar expondo o sistema operacional.

Nesse post veremos como saber o destino de um link contindo em uma dessas mensagens sem nos expor aos riscos de clicar e fazer com que o navegador faça o acesso e interprete a resposta.

Não vou mostrar os detalhes do que acontece desde o momento em que você clica no link até quando o site da web aparece na tela do seu computador, pois não é o escopo desse artigo.

Na verdade vamos fazer um acesso manual ao link, como se fôssemos um navegador. Mas obviamente, não vamos interpretar o conteúdo da resposta.

Primeiro a mensagem que recebi:

spam-novo-orkut

Percebam que a mensagem é simples, bem escrita e supostamente vinda de uma origem real (mensagem@orkut.com.br). Claro que esse endereço de resposta pode ser trivialmente forjado. É como escrever uma carta e colocar no Remetente o nome de uma pessoa qualquer. =|

Percebam que o link contido na imagem sequer aponta para algum site do google ou relacionado ao orkut.

http://66.112.210.103/testar.php?www.orkut.com

Mas uma pessoa desavisada, olhando rapidamente, poderia acreditar no link apenas por ele conter o endereço http://www.orkut.com.

Nesse momento deixamos o nosso navegador de lado e vamos acessar esse link manualmente. Usaremos a ferramente curl. Fazendo um acesso ao destino do link, vemos que não há resposta.

curl-acesso-sem-resposta

Como conhecemos o protocolo HTTP e sabemos que é possível direcionar o navegador do usuário mesmo tendo retornado uma página vazia, desconfiamos que o segredo desse link está em algum cabeçalho na resposta HTTP. Para confirmar isso faremos o curl exibir apenas os cabeçalhos da resposta HTTP.

curl-cabecalhos-resposta-http

Percebam a linha:

Location: http://69.8.131.68/NovoOrkut.exe

É exatamente o que pensávamos! O header Location é quem aponta para o quase certo suposto vírus. Podemos confirmar fazendo um acesso a esse link, baixando o arquivo e olhando o formato.

curl-download-arquivo

Tá aí, um arquivo executável, como desconfiávamos desde o início.

  1. #1 por Denilson em 17/11/2009 - 22:46

    Ou, talvez ainda mais fácil:
    wget -O /dev/null http://example.com/blablabla

    Ou ainda adicionar “-S” para fazer o wget exibir os headers.

    • #2 por daltonmatos em 18/11/2009 - 07:54

      Ótima idéia. E nesse caso ainda podemos fazer as duas coisas ao mesmo tempo. Baixar os arquivos e exibir os headers.

      Valeu a dica!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: