Trasformati in pornoproxy dello spam

Un ignoto spammer, forse russo, riesce a distribuire un cavallo di troia che trasforma il PC infettato in un server proxy che funge da distributore di pagine e email di spam pornografico. Esperti al lavoro per capire come funziona

Trasformati in pornoproxy dello spamRoma - Si sa ancora troppo poco di una operazione commerciale senza scrupoli che è partita qualche settimana fa, forse ad opera di un russo, e che ha coinvolto fino a questo momento almeno duemila computer di utenti internet connessi a banda larga e infettati a loro insaputa da un cavallo di troia.

L'autore di questo trojan, secondo gli esperti di LURHQ Corporation che hanno battezzato il codice Migmaf, ha costruito un programma che in un modo ancora da accertare entra in alcuni sistemi Windows e piazza quello che appare come un proxy server invertito.

Da questi migliaia di server creati via trojan, l'autore fa partire tonnellate di spam pornografico con cui pubblicizza siti russi che offrono pornografia a pagamento. La possibilità di nascondersi dietro i computer degli utenti infetti ha finora consentito all'autore non solo di non farsi individuare ma anche di impedire ai provider e ai servizi antispam di bloccare con efficacia lo spam. Questo appare infatti spedito da IP che appartengono a semplici utenti e che cambiano di continuo, rendendo davvero ardua la caccia all'ingegnoso spammer.
Secondo LURHQ, team che è riuscito a ottenere una copia di Migmaf grazie ad una intensa attività di monitoraggio di alcune reti, quando un utente che riceve lo spam porno clicca sul sito segnalato, viene in realtà collegato ad uno dei computer infetti, dove il proxy raccoglie la richiesta dell'utente, la gira ad un "server master" gestito dall'autore di tutto questo che, a sua volta, rispedisce al proxy, cioè al computer infetto, la pagina richiesta.

L'IP del server master da cui parte la pagina spedita al computer infetto viene inoltre cifrato con un algoritmo che ne rende estremamente complessa l'individuazione. Ed è probabile che il server cambi IP con una certa frequenza, proprio per evitare intercettazioni.

Con questa modalità l'autore di Migmaf non solo riesce a nascondersi completamente ai meccanismi antispam, ma evita qualsiasi coinvolgimento anche nel servire le pagine web a contenuto pornografico. Da segnalare che il trojan non si attiva su macchine Windows dotate di tastiera russa, segno che potrebbe indicare proprio in un russo l'autore del cavallo di troia.

Non contento, l'autore del trojan ha anche studiato un modo per controllare di quanta banda dispone in ogni momento attraverso i computer infetti. Per farlo invia una certa quantità di "dati immondizia" a microsoft.com.

Rimane da capire come questo software si sia diffuso nelle ultime due o tre settimane. Poiché la maggior parte dei computer infetti sembra trovarsi all'interno del parco utenti di AOL, gli esperti sospettano che Migmaf si diffonda in qualche modo attraverso i software di instant messaging che, nel caso di AIM e ICQ, fanno capo appunto ad AOL.

Nelle macchine colpite dal trojan si trova il file "wingate.exe" inserito nella directory di sistema di Windows. Per liberarsi eventualmente di questo software è necessario rimuovere dal proprio sistema la chiave di registro:
Software\Microsoft\Windows\CurrentVersion\Run\Login Service = wingate.exe

e, al riavvio di Windows, cancellare il file "wingate.exe" dalla directory System di Windows.

L'intera analisi del fenomeno, effettuata da LURHQ, è disponibile all'indirizzo: http://www.lurhq.com/migmaf.html
16 Commenti alla Notizia Trasformati in pornoproxy dello spam
Ordina
  • rintracciabile, se le autorita' russe lo volessero, lo beccherebbero in pochissimo tempo.
    non+autenticato

  • - Scritto da: Anonimo
    > rintracciabile, se le autorita' russe lo
    > volessero, lo beccherebbero in pochissimo
    > tempo.

    dai dimmi come ???
    un qualsiasi ip proxato da 2-3 macchine diventa irrintracciabile ci stai mesi con i log dei provider a tentare di fare un unione di essi ...

    se poi passa attraverso piu' di 5 proxy e magari usa anche un collegamento tipo coccodrillo su una rete telfonica o ad alta banda telo sogni di trovare qualsiasi riferimento

    forse non hai ben presente le vie dell'haking non da bambino brufoloso

    i poveretti che vengono presiin fallo sono neonati hacker o lamerini, quelli veri non li vedi neanche e ti fanno girare 300 provider ingiro per il mondo a cercare log che alla fine non trovi nenache perche' magari macchine di privati o remotamente controllate da lui e da suoi tool che cancellano i log ...

    sogna ragazzo sogna ... finche i software non raggiungono un affidabilita' migliore questi giochetti sono all'ordine del giorno
  • > sogna ragazzo sogna ... finche i software
    > non raggiungono un affidabilita' migliore
    > questi giochetti sono all'ordine del giorno

    Esatto!! e' questo falso senso di sicurezza e di onnipotenza che alla fine li frega, comunque speriamo che affidino il lavoro a tecnici capaci e non a pseudo tali magari capaci solo di vedere una parte del problema senza proporre uno straccio di soluzione.A bocca aperta
    non+autenticato
  • "L'IP del server master da cui parte la pagina spedita al computer infetto viene inoltre cifrato con un algoritmo che ne rende estremamente complessa l'individuazione"

    Mi sembra una boiata, che ne dite?
    non+autenticato

  • - Scritto da: Anonimo
    > "L'IP del server master da cui parte la
    > pagina spedita al computer infetto viene
    > inoltre cifrato con un algoritmo che ne
    > rende estremamente complessa
    > l'individuazione"
    >
    > Mi sembra una boiata, che ne dite?

    direi che dipende... cmq se segui il link c'e' detto qualcosa di piu' su questo
    non+autenticato

  • - Scritto da: Anonimo
    > "L'IP del server master da cui parte la
    > pagina spedita al computer infetto viene
    > inoltre cifrato con un algoritmo che ne
    > rende estremamente complessa
    > l'individuazione"
    >
    > Mi sembra una boiata, che ne dite?

    Non e' una boiata:

    "Migmaf tries to conceal the IP address of the master server by use of a "combination lock" algorithm. Basically it chooses each octet of the address to report back to by cycling through three choices per octet. So, the total possible combinations are 3x3x3x3 or 81. One time out of those 81 tries it will hit the correct address. The other 80 times it will try to connect to other combinations, thus if you are just looking at the traffic for a short time, you won't know which address is the real".

    In soldoni, il trojan spedisce le sue comunicazioni non solo al vero indirizzo IP dello spammer ma anche ad altri fasulli, in maniera da rendere piu' difficile individuare l'IP della vera macchina ricevente. E siccome il PC dello spammatore probabilmente non resta a lungo sullo stesso IP, il tempo di controllare tutti gli 81 indirizzi chiamati dal trojan e... lo spammer ha gia' cambiato IP!

    Salutoni da Greenu
    non+autenticato
  • per il porno ch c'è di meglio di un cavallo di "troia"?A bocca aperta



    SiN
    1120
  • Questo episodio sottolinea una volta di piu' che ci vuole un esame per usare il computer, perche' un computer connesso al web che non sia _presidiato_ e' pericoloso per tutti
    non+autenticato

  • - Scritto da: Anonimo
    > Questo episodio sottolinea una volta di piu'
    > che ci vuole un esame per usare il computer,
    > perche' un computer connesso al web che non
    > sia _presidiato_ e' pericoloso per tutti

    Non credo che un esame risolva il problema; purtroppo troppe persone ignorano i pericoli della rete. Un esame per poter accedere ad internet potrà ridurre il numero di utonti (in senso scherzoso e non offensivo, n.d.r.) ma non risolvere il problema.

    Troppa gente è abituata a cliccare dappertutto, ad avviare tutti gli allegati; ad esempio, non è con la patente di guida che si rispetta il codice della strada e non credo che con la patente informatica si possano conoscere i pericoli della rete.

    A mio avviso l'informatica va seguita, ci si deve aggiornare costantemente, seguire i problemi; non dico di diventare tutti amministratori di sistema, però per lo meno sapere cosa accade in rete in linea di massima. Per fare ciò serve anche passione e non tutti gli utenti la possiedono anzi, molti usano il PC perchè "costretti" dalla realtà aziendale...

    Saluti

  • - Scritto da: Anonimo
    > Questo episodio sottolinea una volta di piu'
    > che ci vuole un esame per usare il computer,
    > perche' un computer connesso al web che non
    > sia _presidiato_ e' pericoloso per tutti

    Già me la vedo, dopo l' ECDL, l' EIDL Europena Internet Driving Licence! Tutte e due avranno lo stesso scopo però, portare soldi nelle casse dei vari certificatori e tutta la mafia dietro...non mi sembra una buona idea...
    non+autenticato

  • - Scritto da: Anonimo
    > Questo episodio sottolinea una volta di piu'
    > che ci vuole un esame per usare il computer,
    > perche' un computer connesso al web che non
    > sia _presidiato_ e' pericoloso per tutti

    Anche un cacciavite puo' essere pericoloso per se e per gli altri, dobbiamo mettere una patente su tutti gli attrezzi?
    non+autenticato

  • - Scritto da: Anonimo
    > Questo episodio sottolinea una volta di piu'
    > che ci vuole un esame per usare il computer,
    > perche' un computer connesso al web che non
    > sia _presidiato_ e' pericoloso per tutti

    No c'e una soluzione più pratica! ... basta eliminare winzozz!
    non ci credi ? allora guarda i log di un qualunque server, identifica le signatures degli os... e piangi!
    non+autenticato
  • - Scritto da: Anonimo
    > Questo episodio sottolinea una volta di piu'
    > che ci vuole un esame per usare il computer,
    > perche' un computer connesso al web che non
    > sia _presidiato_ e' pericoloso per tutti


    La cosa più triste è che questi defic##ti magari la patente informatica ce l'hanno sul serio: invece io che riesco tranquillamente a rendere sicuro (relativamente!) winsux XP, non ho la patente del piffero in quanto non vedo proprio perchè dovrei arricchire qualcuno con questi soliti corsi europei mangiasoldi.
    Ma almeno a questi corsi succhiadenari glielo insegnano ad installare un firewall da quattro soldi? Boh, sempre peggio.
    non+autenticato
  • - Scritto da: Anonimo
    > Questo episodio sottolinea una volta di piu'
    > che ci vuole un esame per usare il computer,
    > perche' un computer connesso al web che non
    > sia _presidiato_ e' pericoloso per tutti

    e ci manca solo la patente per computer. ma il computer non doveva essere uno strumento di liberta'? E allora da quando la liberta' si concede solo a chi ha passato un esame?
    E poi, scusa, ma ti risulta che gli incidenti automobilistici li fanno solo quelli che non hanno la patente?
    non+autenticato
  • Mha, farebbe lavorare solo tanta altra gente con l'illusione che tutto quello che impari e affidabile al 100%.
    Si sa' benissimo che specialmente nel mondo dei software risolto un problema se ne hanno poi altri.
    Gia' mi immagino poi la patente a punti per navigare per ogni virus preso ti tolgono 5 punti al 20esimo ti staccano la linea.
    Mi ricordo un'altro articolo letto su Interlex ,Internet blindata,privacy ( sempre che esista ancora) sempre piu' compromessa.. poi che fanno ti mandano il link del sito porno che hai visitato a tua moglie ?
    E gia' mi immagino Palladium installato a forza sui nostri computer dove tutti ci sono solo doveri e non diritti. Che credete che qualcuno non ci provi a farvelo mettere come standard per avere la patente ?
    Dove quando c'e' da pagare sei tu che lo devi fare con i tuoi soldini solo per avere una licenza d'uso e quando c'e' da rispondere di un danno subito e non provocato volontariamente per colpa di un diffetto di funzionamento l'utilizzatore e' paragonato ad un criminale che uccide.
    A me piacerebbe navigare tranquillamente visitare anche i siti che piu' che mi aggradano senza pero' diventare una scheda da inserire in un DB.Facendo un discorso con mio amico siamo giunti al fatto che ogni cosa controllata elettronicamente difficilmente sfugge e se lo fa' e perche' non si hanno le conoscenze per trovarla,questo con il cartaceo e' piu' difficile ,basti vedere quando ti serve il modulo X del sotto registro E ( avete presente il cartone animato di Asterix e le 12 fatiche ? quando sono nell ufficio pubblico alla ricerca del documento ?A bocca aperta

    E soprattutto invece di litigare per vedere chi e' piu' "intelligente" sarebbe meglio di insegnare all'amico ,al vicino o cmq a chi e' vicino a noi che non sempre che quello se l'ha preso "è un cretino" ,direi che un discorso piu' altruistico insegnando ad altri come evitare di farsi del male con questi strumenti d'informazione sarebbe piu' giusto no ?
    A presto.
    non+autenticato
  • Davvero geniale.
    Davvero un'ottima idea, se tale intelligenza fosse spostata su problemi un tantino più alti rispetto al mercato hard_core, non sarebbe male.
    Devo riconoscergli però che ha sparato sulla solita croce rossa Fan Linux Regardz_