Durante questi due giorni che sono stato a letto ho avuto modo di prendere in considerazione un caso che mi è stato segnalato come sospetto nuovo malware indicizzato nei motori di ricerca. Parliamo del portale ircfast.com.

Il portale fornisce strani download di molti software famosi. Tralasciando la traduzione italiana, che può far intendere la natura non italiana dell’autore – ogni download di programmi elencati nel portale ha come dimensioni 1MB circa. Inoltre il sito è ben indicizzato nei motori di ricerca. Insomma, tutte le carte in regola per pensare sia un malware.

Innanzitutto il server a cui il sito fa riferimento è ospitato negli Stati Uniti, hoster Everyones Internet. Esistono più domini che puntano allo stesso server oltre a ircfast.com, tra cui:

arfes.ircfast.com
descargar.mp3.es
deutsch.eazel.com
english.ircfast.com
italian.ircfast.com
french.eazel.com
ircfast.com
italian.eazel.com
portuguese.eazel.com
spanish.ircfast.com
sunmoon.com
toggle.com

Quando un utente pensa di scaricare un programma in realtà scarica un downloader, cioè un tool che fa da tramite per scaricare il programma voluto. Lanciandolo, il tool recupera dal sito internet la licenza da accettare prima di iniziare il download del programma. Inoltre viene chiesto all’utente la possibilità di modificare la home page del browser e di aggiungere dei collegamenti sul desktop e nel menu avvio.

Dopo di che, accettata la licenza, il software si collega al sito originale del programma che l’utente stava cercando (esempio: come mostrato nell’immagine qui sotto, se l’utente aveva scelto di scaricare Windows Live Messenger, il programma si collegherà al sito della Microsoft per scaricarlo) e inizia il download.

Finito il download del programma, che viene scaricato nella directory dei file temporanei, il tool di ircfast.com chiederà di chiamare una numerazione a valore aggiunto ben conosciuta in Italia – infatti viene specificato che il numero è valido solo per utenti italiani. Fatta la chiamata l’utente riceverà un codice di attivazione che servirà per proseguire l’installazione del programma.

In realtà, quella telefonata (dal costo di 1.80€/min) non è assolutamente necessaria, poiché il setup è già stato scaricato nella directory dei file temporanei e può essere eseguito dall’utente senza problemi. Però, come si può leggere dalla licenza accettata all’inizio, il ricavato è utilizzato 1) per sostenere il sito web e 2) per sostenere i server per il download veloce. Il numero 899033306 in questione é stato dato in gestione a Colt Telecom S.p.A.

Ora, se sulla prima ho personalmente qualche sospetto, la seconda sembrerebbe chiaramente una truffa. Potrei capire infatti se il downloader scaricasse da un server privato gestito dallo stesso team – in tal caso dovrebbero mantenere le spese di banda e di server per garantire un download veloce. Ma, visto che il download avviene poi dai server originali, non vedo la necessità di pagare per qualcosa che può essere scaricato direttamente dai rispettivi siti web.

Tuttavia, non esistono particolari comportamenti per poter identificare questo tool come malware. Modifica la home page solo se l’utente acconsente, aggiunge shortcut solo se l’utente acconsente, chiede all’utente di effettuare la chiamata. Al massimo puó essere considerato come unwanted application, ma non come malware. Si potrebbe comunque anche qui aprire una discussione – esistente da sempre – su cosa esattamente si possa definire malicious software.

Certo, anche considerarla una truffa potrebbe essere errato. In fondo la licenza spiega chiaramente che verranno chiesti soldi, il prezzo della chiamata risulta ben in vista. Inoltre il team spiega chiaramente che i soldi vengono utilizzati per garantire il servizio sempre funzionante.

Piu che altro, forse, si puó definire un’agile furbata?