Quello strano file (spione) di Morpheus

Quello strano file (spione) di Morpheus

Un lettore spiega come abbia scoperto, in Morpheus, un programma spione, lo stesso che in questi giorni sta facendo parlare di sé tutta la comunità degli utenti. Ecco perché
Un lettore spiega come abbia scoperto, in Morpheus, un programma spione, lo stesso che in questi giorni sta facendo parlare di sé tutta la comunità degli utenti. Ecco perché


Roma – Di recente mi è capitato di installare la nuova versione di Morpheus, la Preview Edition (MPE). Dopo l’installazione ho notato che quando lanciavo Internet Explorer (IE) questo aveva un insolito ritardo nell’aprirsi, sebbene come pagina di partenza fosse impostata la classica “about:blank”. In più, e qui sta il fastidio più grosso, mi ritrovavo connesso a Internet senza navigare.

Io mi collego alla rete con un router ISDN e quindi qualsiasi richiesta fuori dalla subnet mask del mio indirizzo IP mi fa attivare la connessione in automatico. Ho disinstallato subito la Preview Edition di Morpheus, ma il problema continuava a persistere.

Perché – mi chiederete – ho disinstallato Morpheus? Perché attraverso il comando NETSTAT dalla console di Windows ho potuto vedere che le connessioni erano dirette all’indirizzo 206.142.53.204 che punta a www.musiccity.com. E dire che qualche tempo fa gli stessi dicevano che in Morpheus non c’era alcun tipo di violazione della privacy…

Per carità, se uso Morpheus devo accettare che lui si connetta dove vuole, che mi faccia vedere della pubblicità, ecc…., ma se lo disinstallo pretendo che non rimanga alcuna traccia. Ho pensato successivamente che poteva essere un altro programma a connettersi e così ho installato una versione demo del firewall personale ZoneAlarm, il quale diligentemente mi segnala che IE, ogni volta che lo apro, tenta di connettersi all’indirizzo IP succitato: io lo faccio proseguire e vedo – sempre in ZoneAlarm – che vi è uno scambio di dati.

Ho pensato che ci fosse un programma “hooked” (“agganciato”, NdR) alle librerie di IE, ma con vari strumenti tipo Spyxx e DDESpy non sono riuscito a tirare fuori niente di più… tranne dei messaggi di tipo “SHELLHOOK” che, però, non mi è dato sapere dove finiscono e chi li usa.

Nonostante il mio IE 6.0 fosse aggiornato alle ultime patch, ho deciso di provare a tornare indietro e reinstallare la versione 5.5, ma nulla è cambiato: ogni volta che lo aprivo mi partiva la solita connessione. Tra l’altro, sembra che in quei casi dove cliccando un link si aprono altre finestre, IE si blocchi, probabilmente a causa del lungo tempo di connessione al sito 206.142.53.204 e del relativo trasferimento di dati.

Al che mi sono deciso ed ho installato un software che sniffa i pacchetti in uscita. Avvio il programma, lancio IE, ed ecco lì i bei pacchetti diretti a un paio di siti: www.maplehollow.com e 206.142.523.204 (www.musiccity.com). Nei pacchetti loggati noto che in uno c’è scritto www.rdxrp.com e nell’altro www.rdxrs.com. Il primo punta esattamente a www.musiccity.com (è proprio lo stesso IP) mentre il secondo punta al 216.153.228.253.

Tra i dati spediti noto anche una data: mercoledì 13 marzo 2002. Ho cercato sul disco i file creati quel giorno (guarda caso avevo scaricato e installato MPE proprio il giorno 13) ed ho trovato, fra le altre cose, il file BPBOH.DLL in c:winnt (posto tipicamente inusuale per Windows dove mettere le DLL…). Guardo le proprietà e spunta fuori il nome di Wurld Media Inc: mi faccio un giro sul sito di questa società e scopro che si occupa (nel senso che fornisce software e supporto) di advertising, customer retention, direct marketing, ecc.

Rinomino subito la DLL e al successivo avvio di IE il mio amico ZoneAlarm non mi segnala nulla e il router rimane sconnesso… felicità estrema!!!!!


Ho visto che la DLL era un oggetto COM: cercandola, tramite il suo CLSID, nel registro di Windows ho visto che puntava ad un ramo riservato ai Browser Helper Object (BHO) di IE: HKLM SOFTWARE Microsoft Windows CurrentVersion Explorer Browser Helper Objects.

Pace fatta. Risistemo e deregistro la DLL e tutto funziona come fino a 4 giorni fa. Non soddisfatto, mi faccio un giro su deja.com (anche se quando avevo fatto ricerche sulle anomalie che avevo non avevo trovato nulla), cerco “bpboh” e trovo un paio di articolini di un tale che era anch’esso arrivato alla radice del problema ma in modo più semplice del mio: utilizzando un programma che permette di vedere quali sono BHO. Lo so, mi piacciono le strade tortuose.

Altro sintomo di questo problema sono dei file del tipo rdxr020305.dat sia sul desktop che in c:winnt e in c:winntsystem32, grandi circa una cinquantina di kappa e contenenti, probabilmente, dati crittati. Dando uno sguardo alla DLL (che tra l’altro ha una bella certificazione Verisign) con un editor esadecimale (ma può essere sufficiente il notepad) si trovano cose interessanti: ad esempio, che sembra fatta in C++, che contiene un elenco assortito di tutti gli stati del mondo (probabilmente per codificare quello dell’utente), il nome del file rdxr020305.dat, il nome della DLL, i siti www.rdxrp.com, www.maplehollow.com, www.rdxrs.com, www.inmotiongolf.com, il file iexplore.log (anche se non l’ho trovato nel sistema), il file winbpupd.exe ed infine nomi di siti come www.sephora.com e www.barnesandnoble.com.

Per avere un esempio di un BHO si veda questa pagina dove si può trovare un esempio. Particolarmente inquietante la nota sull’Active Desktop:

“WARNING: Internet Explorer will create an instance of each Browser Helper Object listed in the registry every time a new instance of Internet Explorer is started. This means that if you have Active Desktop installed, the Browser Helper Objects will be loaded every time you open a new folder as well as when the browser itself is started”.

Come scriveva una persona sul newsgroup alt.internet.p2p, se Morpheus ha già l’advertising, cosa se ne fa di rubare informazioni (ammesso che lo faccia veramente)? Forse per fare pubblicità mirata?

Roberto Taurino

Di seguito riportiamo tutti i dettagli emersi in questi giorni e relativi al problema sollevato dal nostro lettore.
La redazione



In questi giorni altri utenti di Morpheus Preview Edition (1.3.3.1) hanno denunciato la presenza, in questa versione del software, di un programma sviluppato da Wurld Media che, di nascosto, intercetta alcuni indirizzi digitati in Internet Explorer.

Come ha rilevato Roberto nella sua dettagliata lettera, la causa di questo “dirottamento” è da imputarsi al file bpboh.dll, una libreria dinamica che si avvale di una tecnologia sviluppata da Microsoft e nota con il nome di Browser Helper Object (BHO): questa consente di scrivere add-on per IE che si integrino in profondità con il browser e ne sfruttino lo stesso spazio di indirizzamento.

I BHO vengono sempre più spesso utilizzati dai produttori di software o di contenuti Web per aggiungere in IE nuove funzionalità o per trasmettere pubblicità. Fra i nomi più noti ad utilizzare questo genere di componenti software vi sono grossi calibri come Yahoo e RealNetworks.

Il BHO installato da Morpheus si preoccupa di intercettare alcuni indirizzi di siti commerciali, come ad esempio ebay.com e amazon.com, e redirigerli verso i siti di shopping affiliati al sistema di marketing di LinkShare e Be Free .

Lo stesso Steve Griffin, CEO di StreamCast Networks (MusicCity.com), martedì scorso ha ammesso dell’esistenza in Morpheus del programma di Wurld Media: a suo dire, il modulo non raccoglierebbe nessun dato personale e farebbe parte di un test di marketing in previsione dell’apertura, il prossimo mese, di un di shopping on-line dedicato agli utenti di Morpheus.

Sebbene Griffin sostenga che bpboh.dll non sia uno spyware, di fatto questo programma traccia l’utilizzo del Web da parte degli utenti e, come si è visto nel caso del nostro lettore, può causare non pochi effetti collaterali, fra cui un rallentamento nell’apertura delle pagine. Oltre a questo, molti utenti non comprendono perché il BHO di Wurld Media debba rimanere attivo anche quando Morpheus non sta girando e, in alcuni casi, persino dopo la sua disintallazione dal sistema.

In accordo con quanto riportato in questo documento di Microsoft, gli utenti di IE 6 possono rendere inattivi tutti i BHO disabilitando, nelle proprietà avanzate del browser (Strumenti -> Opzioni Internet -> Avanzate), la voce “Abilita estensioni del browser di terze parti”.

Da alcuni test effettuati in redazione è risultato che le primissime versioni di MPE, lanciato da StreamCast all’inizio del mese, non installavano il file bpboh.dll.

Per saperne di più sul nuovo Morpheus Preview Edition è possibile leggere l’ approfondimento che Punto Informatico pubblicò in occasione del suo rilascio.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
21 mar 2002
Link copiato negli appunti