Este texto, que não chega a ser um artigo, traz uma breve sugestão sobre como colher algumas informações sobre links em e-mails estranhos.

A intenção é atiçar a curiosidade de quem os observa indiferentemente, e nunca pensou em saber se há alguma informação que possam fornecer.

Estes e-mails são recebidos geralmente por qualquer um que possua comunicação regular por este meio de comunicação, seja usuário de GNU/Linux ou de Windows.

Avaliar a exata nocividade de cada uma destas mensagens foge ao texto, que procura ser menos profundo.

Estes links de HTML bizarros, popularmente, são chamado de vírus. Depende do real objetivo de quem enviou, cada caso é um caso.

Para ir direto a esta análise simplista, não me perderei no jargões da área. Peço, por caridade, que não cliquem ou coloquem o link em browsers sem ter certeza do que estão fazendo, ou não me responsabilizarei.

Por exemplo, tratarei deste link que acabei de receber: http :// asoblock.net /contact/ tkpofh.html

* Com o texto inócuo, para não haver cliques em cima.

Essas coisas carregam páginas de Internet com outro link dentro dela. Atualmente, estão apontando para sites em países de liberdade cerrada ou do antigo bloco comunista.

Vejamos, a primeira coisa é usar o comando whois. Não precisa ser root para funcionar:

$ whois asoblock.net

O resultado é:

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net for detailed information.

     Domain Name: ASOBLOCK.NET
     Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
     Whois Server: whois.melbourneit.com
     Referral URL: http://www.melbourneit.com
     Name Server: NS1.DNS.NE.JP
     Name Server: NS2.DNS.NE.JP
     Status: ok
     Updated Date: 30-mar-2012
     Creation Date: 12-may-2003
     Expiration Date: 12-may-2013

Ele está ligado a uma empresa de hospedagem e registro de domínios redirecionada para: http://www.melbourneit.com.au/

Isso confirma o nome (Melbourne é uma cidade australiana). Prosseguindo com o restante dos dados daquele endereço suspeito:

Domain Name.......... asoblock.net
     Creation Date........ 2003-05-12
     Registration Date.... 2005-12-06
     Expiry Date.......... 2013-05-12
     Organisation Name.... NRI Network Communications, Ltd
     Organisation Address. 1-4-16 Dojima-hama Aqua Dojima West Tower 9th Fl
     Organisation Address.
     Organisation Address.
     Organisation Address. Kita-ku
     Organisation Address. 530-0004
     Organisation Address. Osaka
     Organisation Address. JAPAN
Admin Name........... inc asoblock
     Admin Address........ 2-14-7 Minami-aoyama
     Admin Address........
     Admin Address........
     Admin Address. Minato-ku
     Admin Address........ 107-0062
     Admin Address........ Tokyo
     Admin Address........ JAPAN
     Admin Email.......... domain@asoblock.net
     Admin Phone.......... 81.3-5775-1612
     Admin Fax............
Tech Name............ inc asoblock
     Tech Address......... 2-14-7 Minami-aoyama
     Tech Address.........
     Tech Address.........
     Tech Address......... Minato-ku
     Tech Address......... 107-0062
     Tech Address......... Tokyo
     Tech Address......... JAPAN
     Tech Email........... domain@asoblock.net
     Tech Phone........... 81.3-5775-1612
     Tech Fax.............
     Name Server.......... NS2.DNS.NE.JP
     Name Server.......... NS1.DNS.NE.JP

É o endereço de um prédio em Osaka, Japão. Não quer dizer que haja alguma coisa lá. Pode ser apenas uma salinha com ou sem um sofá, lembrando a ideia de uma caixa postal de agência de correio brasileira.

Esta página pode ser ainda baixada com o conhecido programa wget: wget http: //asoblock.net/contact/tkpofh.html

Segue o conteúdo:

  1
  2 You are here because one of your friends have invited you.
  3 Page loading, please wait....
  4
  5 <meta http-equiv="refresh" content="3; url= http :// online-story24.com">

* A URL está novamente separada para não ser clicável.

Há um link na página para um endereço. Será feito o mesmo procedimento com o comando whois novamente:

$ whois online-story24.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net for detailed information.

     Domain Name: ONLINE-STORY24.COM
     Registrar: CENTER OF UKRAINIAN INTERNET NAMES
     Whois Server: whois.ukrnames.com
     Referral URL: http://www.ukrnames.com
     Name Server: NS1.MMROX.COM
     Name Server: NS2.MMROX.COM
     Status: ok
     Updated Date: 27-jun-2012
     Creation Date: 27-jun-2012
     Expiration Date: 27-jun-2013

A exemplo do site australiano, este aqui é de registros, porém, desta vez na Ucrânia, Europa Oriental.

Continuando:

Domain Name: ONLINE-STORY24.COM

Creation Date: 27-Jun-2012
Modification Date: 27-Jun-2012
Expiration Date: 27-Jun-2013

Domain servers in listed order:
ns1.mmrox.com
ns2.mmrox.com

Registrant:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7 385 2784565


Billing Contact:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.3852784565


Administrative Contact:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.3852784565


Technical Contact:
Olga Golubeva o.golubewa2013@yandex.ru
ul. Pushkina 98 56
Barnaul, 656000
RUSSIAN FEDERATION
+7.3852784565

Status: ok

Qual não é a surpresa de que aponta para a Rússia? Exatamente com um endereço de uma cidade chamada Barnaul.

Aqui estão dois links bem básicos para quem quiser ver se é algum fim de mundo:

• http://pt.wikipedia.org/wiki/Barnaul
• http://en.wikipedia.org/wiki/Barnaul

Mas por que será que o link do e-mail aponta para uma página de um site registrado com um endereço do interior da Rússia, perto de divisa de mais dois países?

Ainda há como executar um wget neste link e ver o que ele baixa:

$ wget online-story24.com

Ele baixa uma página chamada "index.html", que aqui possui 1134 linhas de código. Esta página possui, além do próprio HTML, diversos links, links para Facebook, muito CSS e Javascript.

Para delinear todo o conjunto, qualquer CSS ou script agregados e possíveis de download devem ser baixados, fora uma renderização de HTML numa engine de browser que não comprometa nada, nem ninguém, seja sistema ou dados de usuário, para poder ter visão do que aparece.

Espero que este texto crie informação e conhecimento em torno do tema, que mais pessoas dêem sugestões e expliquem alguma lacuna que possa ter surgido, aumentando em mais o que tentou-se iniciar.

E principalmente dúvidas, muitas dúvidas, para serem encontradas novas respostas.