L’ideatore del noto proverbio “a caval donato non si guarda in bocca” certamente non conosceva Internet: sulla grande Rete, infatti, le cose regalate nascondono – non di rado – spiacevoli sorprese. È il caso di FreeVideo Player , un programma gratuito che viene distribuito da diversi siti, soprattutto pornografici, per riprodurre certi tipi di filmato.
Ma in FreeVideo Player la funzione di riproduzione video è soltanto… come dire, “accessoria”. Il software, infatti, rappresenta in realtà l’ultima arma messa a punto per tracciare, spiare e frodare gli utenti . FreeVideo Player utilizza infatti alcune tecniche tipiche dei rootkit per rendere più difficile la sua rilevazione e cancellazione dal sistema, inoltre è in grado di manipolare le richieste DNS per dirottare l’utente verso siti contenenti pubblicità, attacchi di phishing o codici maligni.
Per complicare ulteriormente il compito di antivirus e antispyware, la fonte di origine del player, www.dvdaccess.net , distribuisce centinaia di varianti del file d’installazione : ciascuna di queste versioni ha un differente hash MD5 .
Il player è corredato da una funzione di disintallazione che contribuisce a dargli un’aria di rassicurante normalità: come ci si può aspettare, però, le routine di rimozione fingono di cancellare il programma lasciando in realtà tutto come si trova.
Internet Storm Center ( ISC ) spiega che FreeVideo Player viene riconosciuto da certi antivirus come una variante del worm Zotob, mentre altri non lo rilevano affatto : gli esperti raccomandano pertanto molta prudenza nello scaricare codec o player video da siti poco affidabili.
Un’analisi approfondita del programma è stata pubblicata qui da ISC.