Da fine Novembre / inizio Dicembre 2006 il team che sta alle spalle delle famose e-mail i cui soggetti preferiti sembrano essere avvocati – ma in altri casi anche polizia municipale o compagnie di sicurezza informatica – è stato molto attivo nel rilasciare continui aggiornamenti del proprio malware.

Un Trojan.Hijacker spesso modificato nella forma per evitare i controlli delle firme virali da parte dei software antivirus, fino ad arrivare a cambi radicali in queste ultime versioni di Maggio. Cambio nella forma, ma non nella sostanza. Continua a modificare Internet Explorer, la home page e aggiunge alla lista dei siti attendibili siti infetti, continua ad avere funzioni di dialer. Continua ad essere sempre più “italiano”.

I testi delle e-mail sono sempre scritti in italiano fluente e corretto, ma non è solo questo il punto che fa sospettare una possibile natura italiana del malware.

Gli autori si sono dati al typosquatting. Questo termine sta ad indicare una tecnica atta al furto di un nome di dominio sfruttando gli sbagli che spesso gli utenti compiono scrivendo velocemente un URL.

In altre parole, se questo sito in oggetto si chiama www.pcalsicuro.com, secondo il typosquatting qualcuno potrebbe registrare il dominio www.pcaslicuro.com e utilizzarlo per trasmettere del malware. Si tratta, in altre parole, di avvicinarsi il più possibile all’indirizzo del sito originale di cui si vuole simulare l’URL in modo tale che un utente, digitando frettolosamente, si possa ritrovare su una pagina infetta.

Risulta interessante vedere come questi untori si siano dati da fare registrando molti domini tra i quali:

www.corrire.it
www.ilmessagero.it
www.messagero.it
www.tutttogratis.it
www.reppublica.it
www.googler.it
www.googlie.it
hotmaill.it
liberol.it
www.quattoruote.it
www.unfi.it
wwwgenialloyd.it
wwwilmessaggero.it
www.ispsel.it
www.googlew.it
www.juvenus.it
wwwhwupgrade.it
www.corriete.it
www.uninib.it
www.unpi.it
www.freonline.it
www.pagineialle.it
nirgilio.it
www.asnsa.it
www.repubbulica.it
tuttoratis.it
www.sbobba.it
www.egazzetta.it
libvero.it
www.alitala.it
wwwadr.it

I domini, registrati al NIC, risultano essere proprietà di un signore tedesco:

Name: Bojarovs Aleksejs
ContactID: BA3396-ITNIC
Address: street: Grodnas 42/72
zip: LV-5400
city: Daugavpils
DE

della cui reale esistenza dubito fortemente o, almeno, anche lui potrebbe essere vittima a sua volta.

La società che ha registrato i domini risponde a Prolat, maintainer già da tempo al centro di critiche legali per attività di typosquatting. In effetti, la mera attività di typosquatting non dovrebbe essere illegale, perché si tratta della registrazione di un nome di dominio come altri. Al massimo, il problema potrebbe arrivare se la società il cui dominio è stato “copiato” volesse acquistare anche i domini simili al suo e di conseguenza si entrerebbe in un affare privato.

In questo caso, però, l’attività di typosquatting è legata ad un’azione di diffusione di malware. I domini hijackati, infatti, rimandano ad un unico server ospitato negli Stati Uniti da SOFTLAYER TECHNOLOGIES INC (Indirizzo IP: 75.126.144.219). Da qui, sono due i siti web che vengono richiamati, automaticamente oppure necessitano di intervento manuale, cioè 64.202.120.142 e 216.120.252.191. Senza indagare ulteriormente con whois vari, i siti sono comunque ospitati anch’essi negli Stati Uniti.

Al momento, una variante lì ospitata bypassa molti software antivirus conosciuti: solo Prevx, Kaspersky (e derivati dall’engine russo), Avira, BitDefender, AVG, OneCare, Sophos e Norman intercettano questa variante – sebbene non sia tanto questo il problema (le altre società aggiorneranno a breve), quanto piu che altro la continua e incessante attività che sta dietro a questa famiglia di malware, sempre aggiornati per bypassare le difese standard degli utenti.

Da quello che sembra, dietro questo malware c’è più di un ragazzino con voglia di fare danni. Ma a noi sta il compito di tentare di difendere gli utenti con i mezzi informatici, ad altri il compito di indagare ed arrestare se possibile gli autori materiali.