Quello strano file (spione) di Morpheus

Un lettore spiega come abbia scoperto, in Morpheus, un programma spione, lo stesso che in questi giorni sta facendo parlare di sé tutta la comunità degli utenti. Ecco perché

Roma - Di recente mi è capitato di installare la nuova versione di Morpheus, la Preview Edition (MPE). Dopo l'installazione ho notato che quando lanciavo Internet Explorer (IE) questo aveva un insolito ritardo nell'aprirsi, sebbene come pagina di partenza fosse impostata la classica "about:blank". In più, e qui sta il fastidio più grosso, mi ritrovavo connesso a Internet senza navigare.

Io mi collego alla rete con un router ISDN e quindi qualsiasi richiesta fuori dalla subnet mask del mio indirizzo IP mi fa attivare la connessione in automatico. Ho disinstallato subito la Preview Edition di Morpheus, ma il problema continuava a persistere.

Perché - mi chiederete - ho disinstallato Morpheus? Perché attraverso il comando NETSTAT dalla console di Windows ho potuto vedere che le connessioni erano dirette all'indirizzo 206.142.53.204 che punta a www.musiccity.com. E dire che qualche tempo fa gli stessi dicevano che in Morpheus non c'era alcun tipo di violazione della privacy...
Per carità, se uso Morpheus devo accettare che lui si connetta dove vuole, che mi faccia vedere della pubblicità, ecc...., ma se lo disinstallo pretendo che non rimanga alcuna traccia. Ho pensato successivamente che poteva essere un altro programma a connettersi e così ho installato una versione demo del firewall personale ZoneAlarm, il quale diligentemente mi segnala che IE, ogni volta che lo apro, tenta di connettersi all'indirizzo IP succitato: io lo faccio proseguire e vedo - sempre in ZoneAlarm - che vi è uno scambio di dati.

Ho pensato che ci fosse un programma "hooked" ("agganciato", NdR) alle librerie di IE, ma con vari strumenti tipo Spyxx e DDESpy non sono riuscito a tirare fuori niente di più... tranne dei messaggi di tipo "SHELLHOOK" che, però, non mi è dato sapere dove finiscono e chi li usa.

Nonostante il mio IE 6.0 fosse aggiornato alle ultime patch, ho deciso di provare a tornare indietro e reinstallare la versione 5.5, ma nulla è cambiato: ogni volta che lo aprivo mi partiva la solita connessione. Tra l'altro, sembra che in quei casi dove cliccando un link si aprono altre finestre, IE si blocchi, probabilmente a causa del lungo tempo di connessione al sito 206.142.53.204 e del relativo trasferimento di dati.

Al che mi sono deciso ed ho installato un software che sniffa i pacchetti in uscita. Avvio il programma, lancio IE, ed ecco lì i bei pacchetti diretti a un paio di siti: www.maplehollow.com e 206.142.523.204 (www.musiccity.com). Nei pacchetti loggati noto che in uno c'è scritto www.rdxrp.com e nell'altro www.rdxrs.com. Il primo punta esattamente a www.musiccity.com (è proprio lo stesso IP) mentre il secondo punta al 216.153.228.253.

Tra i dati spediti noto anche una data: mercoledì 13 marzo 2002. Ho cercato sul disco i file creati quel giorno (guarda caso avevo scaricato e installato MPE proprio il giorno 13) ed ho trovato, fra le altre cose, il file BPBOH.DLL in c:\winnt (posto tipicamente inusuale per Windows dove mettere le DLL...). Guardo le proprietà e spunta fuori il nome di Wurld Media Inc: mi faccio un giro sul sito di questa società e scopro che si occupa (nel senso che fornisce software e supporto) di advertising, customer retention, direct marketing, ecc.

Rinomino subito la DLL e al successivo avvio di IE il mio amico ZoneAlarm non mi segnala nulla e il router rimane sconnesso... felicità estrema!!!!!
TAG: privacy
69 Commenti alla Notizia Quello strano file (spione) di Morpheus
Ordina
  • la nuova versione di morpheus 5.2 installa ancora il file bpboh.dll.? grazie
    non+autenticato
  • Ho trovato questa soluzione su una rivista informatica appena comprata (Computer idea n.55) , ma non l'ho ancora prvata, anche perche' non uso programmi di filesharing. Intanto ve la propongo, poi vedete voi.

    Occorre crear, anche con "Blocco note", un file chiamato "hosts" (senza nessuna estensione ed ovviamente senza virgolette *smiles*) che a seconda della versione di windows va posto in:

    W95, W98 o W ME: in C:\Windows
    W NT o W2000: in c:\winnt\System32\Drivers\Etc
    W XP: in c:\windows\system32\drivers\etc

    Il file in semplice formato testo deve contenere righe cosi' composte:

    127.0.0.1     nomesito.xyz

    In sostanza il pc prima di cercare su DNS in rete l'indirizzo IP numerico di un sito lo cerca, se esiste, in questo file. Noi praticamente dirottiamo i pacchetti che verrebbero inviati al sito destinario dallo spyware.

    Ovviamente occorre inserire una riga per ognuno dei siti spioni, indicandone il nome nella colonna a destra esattamente. Il falso indirizzo Ip nella colonna a sinistra deve essere invece sempre lo stesso 127.0.0.1 che praticamente e' quello del nostro pc a cui i pacchetti vengono reinviati al posto del vero destinatario.

    Questo metodo avrebbe, secondo la rivista che lo ha pubblicato, due vantaggi:
    1) non rallenta la navigazione, anzi la velocizza perche' diminuisce i kb scambiati
    2) il programmi che avevano installato lo spyware continuano a funzionare, perche' lo spyware lavora, solo che noi non facciamo arrivare i pacchetti alla destinazione voluta da loroSorride

    Ripeto, io non l'ho provato, quindi non so se funziona realmente. Eventualmente fate sapere.Sorride

    Bye

    Garlet
    non+autenticato

  • porcazzozza!!!!!!!

    interessante!!!!!!!



    - Scritto da: Garlet
    > Ho trovato questa soluzione su una rivista
    > informatica appena comprata (Computer idea
    > n.55) , ma non l'ho ancora prvata, anche
    > perche' non uso programmi di filesharing.
    > Intanto ve la propongo, poi vedete voi.
    >
    > Occorre crear, anche con "Blocco note", un
    > file chiamato "hosts" (senza nessuna
    > estensione ed ovviamente senza virgolette
    > *smiles*) che a seconda della versione di
    > windows va posto in:
    >
    > W95, W98 o W ME: in C:\Windows
    > W NT o W2000: in
    > c:\winnt\System32\Drivers\Etc
    > W XP: in c:\windows\system32\drivers\etc
    >
    > Il file in semplice formato testo deve
    > contenere righe cosi' composte:
    >
    > 127.0.0.1     nomesito.xyz
    >
    > In sostanza il pc prima di cercare su DNS in
    > rete l'indirizzo IP numerico di un sito lo
    > cerca, se esiste, in questo file. Noi
    > praticamente dirottiamo i pacchetti che
    > verrebbero inviati al sito destinario dallo
    > spyware.
    >
    > Ovviamente occorre inserire una riga per
    > ognuno dei siti spioni, indicandone il nome
    > nella colonna a destra esattamente. Il falso
    > indirizzo Ip nella colonna a sinistra deve
    > essere invece sempre lo stesso 127.0.0.1 che
    > praticamente e' quello del nostro pc a cui i
    > pacchetti vengono reinviati al posto del
    > vero destinatario.
    >
    > Questo metodo avrebbe, secondo la rivista
    > che lo ha pubblicato, due vantaggi:
    > 1) non rallenta la navigazione, anzi la
    > velocizza perche' diminuisce i kb scambiati
    > 2) il programmi che avevano installato lo
    > spyware continuano a funzionare, perche' lo
    > spyware lavora, solo che noi non facciamo
    > arrivare i pacchetti alla destinazione
    > voluta da loroSorride
    >
    > Ripeto, io non l'ho provato, quindi non so
    > se funziona realmente. Eventualmente fate
    > sapere.Sorride
    >
    > Bye
    >
    > Garlet
    non+autenticato


  • - Scritto da: Foxy
    >
    > porcazzozza!!!!!!!
    >
    > interessante!!!!!!!
    >
    >

    wow... che scoperta grandiosa...

    O_O

    bah...
    non+autenticato
  • Quale programma puo essere utile per fare l'analisi di tutto il traffico TCP in entrata e uscita?
    non+autenticato
  • > Quale programma puo essere utile per fare
    > l'analisi di tutto il traffico TCP in
    > entrata e uscita?

    Scaricati l'ottimo Winpcap (http://netgroup-serv.polito.it/winpcap) e affiancalo a Snort che in piu' e' anche un IDS (www.snort.org) oppure al piu' semplice Analyzer sempre dal sito dell'Universita' di Torino (sezione other tools).
    non+autenticato
  • Grazie di cuoreOcchiolino
    non+autenticato
  • - Scritto da: Seb
    > Quale programma puo essere utile per fare
    > l'analisi di tutto il traffico TCP in
    > entrata e uscita?

    Prova ethereal:
    http://www.ethereal.com/
    Ciao.
    non+autenticato
  • Dimostrazione a tutti i linuxari supponenti: come vedete dalla lettera del lettore Roberto Taurino gli utenti Win non sono proprio tutti "utonti".
    Aggiungerei che comunque un congruo numero di "utonti" e' un male necessario per fare di un OS uno standard di mercato: significa che un OS e' abbastanza user-friendly da essere usato anche da non addetti ai lavori, e il nostro Roberto Taurino ha anche dimostrato che Win non è poi così oscuro come vorreste far credere per un utente un minimo esperto.
    Sinceramente penso che il linux finche' non sara' in grado di annoverare almeno qualche "utonto" tra i suoi utilizzatori home e SOHO (cioe' anche tra coloro che amministrano il proprio box) restera' confinato in una nicchia piccina piccina e non potra' dirsi veramente user-friendly. Personalmente penso che questo sara' il destino del breve sogno del linux nel desktop, prima in un vicinissimo futuro diventi definitivamente un sistema confinato ai server tipo "cavallo-da-tiro".
    non+autenticato
  • > Dimostrazione a tutti i linuxari supponenti:
    > come vedete dalla lettera del lettore
    > Roberto Taurino gli utenti Win non sono
    > proprio tutti "utonti".
    si vabbe mica ci voleva tanto voglio dire...
    non+autenticato
  • - Scritto da: maximilian
    > come vedete dalla lettera del lettore
    > Roberto Taurino gli utenti Win non sono
    > proprio tutti "utonti".

    forse utonti no ma servi delle multinazionali siCon la lingua fuori

    > Aggiungerei che comunque un congruo numero
    > di "utonti" e' un male necessario per fare
    > di un OS uno standard di mercato

    questo lo dici tu. io non credo proprio

    > che un OS e' abbastanza user-friendly da
    > essere usato anche da non addetti ai lavori

    se i "non addetti ai lavori" non ci acchiappano una fava con l'informatica ma pretendono lo stesso di usare il computer questo e' un problema dei "non addetti ai lavori", non del sistema operativo

    > e il nostro Roberto Taurino ha anche
    > dimostrato che Win non è poi così oscuro
    > come vorreste far credere per un utente un
    > minimo esperto.

    sai che sforzo scoprire che una DLL è un oggetto COM. e poi?

    > Sinceramente penso che il linux finche' non
    > sara' in grado di annoverare almeno qualche
    > "utonto" tra i suoi utilizzatori
    > (blablabla)
    > restera' confinato in una
    > nicchia piccina piccina e non potra' dirsi
    > veramente user-friendly.

    come sopra, questo e' un problema degli utilizzatori. non ho invidia degli utonti che hanno altri $i$temi.

    Personalmente penso
    > che questo sara' il destino del breve sogno
    > del linux nel desktop, prima in un
    > vicinissimo futuro diventi definitivamente
    > un sistema confinato ai server tipo
    > "cavallo-da-tiro".

    e secondo te i vari NT / 2000 sarebbero i "purosangue da corsa"? ma fai solo il piacere va'!
    non+autenticato


  • - Scritto da: maximilian
    > Dimostrazione a tutti i linuxari supponenti:
    > come vedete dalla lettera del lettore
    > Roberto Taurino gli utenti Win non sono

    bla bla bla [OT] [OT]

    solita solfa da troll...

    P.S. non dategli corda
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)