Roma – Si sa ancora troppo poco di una operazione commerciale senza scrupoli che è partita qualche settimana fa, forse ad opera di un russo, e che ha coinvolto fino a questo momento almeno duemila computer di utenti internet connessi a banda larga e infettati a loro insaputa da un cavallo di troia.
L’autore di questo trojan, secondo gli esperti di LURHQ Corporation che hanno battezzato il codice Migmaf , ha costruito un programma che in un modo ancora da accertare entra in alcuni sistemi Windows e piazza quello che appare come un proxy server invertito.
Da questi migliaia di server creati via trojan, l’autore fa partire tonnellate di spam pornografico con cui pubblicizza siti russi che offrono pornografia a pagamento. La possibilità di nascondersi dietro i computer degli utenti infetti ha finora consentito all’autore non solo di non farsi individuare ma anche di impedire ai provider e ai servizi antispam di bloccare con efficacia lo spam. Questo appare infatti spedito da IP che appartengono a semplici utenti e che cambiano di continuo, rendendo davvero ardua la caccia all’ingegnoso spammer.
Secondo LURHQ, team che è riuscito a ottenere una copia di Migmaf grazie ad una intensa attività di monitoraggio di alcune reti, quando un utente che riceve lo spam porno clicca sul sito segnalato, viene in realtà collegato ad uno dei computer infetti, dove il proxy raccoglie la richiesta dell’utente, la gira ad un “server master” gestito dall’autore di tutto questo che, a sua volta, rispedisce al proxy, cioè al computer infetto, la pagina richiesta.
L’IP del server master da cui parte la pagina spedita al computer infetto viene inoltre cifrato con un algoritmo che ne rende estremamente complessa l’individuazione. Ed è probabile che il server cambi IP con una certa frequenza, proprio per evitare intercettazioni.
Con questa modalità l’autore di Migmaf non solo riesce a nascondersi completamente ai meccanismi antispam, ma evita qualsiasi coinvolgimento anche nel servire le pagine web a contenuto pornografico. Da segnalare che il trojan non si attiva su macchine Windows dotate di tastiera russa, segno che potrebbe indicare proprio in un russo l’autore del cavallo di troia.
Non contento, l’autore del trojan ha anche studiato un modo per controllare di quanta banda dispone in ogni momento attraverso i computer infetti. Per farlo invia una certa quantità di “dati immondizia” a microsoft.com .
Rimane da capire come questo software si sia diffuso nelle ultime due o tre settimane. Poiché la maggior parte dei computer infetti sembra trovarsi all’interno del parco utenti di AOL , gli esperti sospettano che Migmaf si diffonda in qualche modo attraverso i software di instant messaging che, nel caso di AIM e ICQ, fanno capo appunto ad AOL.
Nelle macchine colpite dal trojan si trova il file “wingate.exe” inserito nella directory di sistema di Windows. Per liberarsi eventualmente di questo software è necessario rimuovere dal proprio sistema la chiave di registro:
SoftwareMicrosoftWindowsCurrentVersionRunLogin Service = wingate.exe
e, al riavvio di Windows, cancellare il file “wingate.exe” dalla directory System di Windows.
L’intera analisi del fenomeno, effettuata da LURHQ, è disponibile all’indirizzo: http://www.lurhq.com/migmaf.html