In un articolo di qualche tempo fa, avevamo già mostrato come era possibile che un sito qualunque (anche quello del nostro migliore amico) potesse veicolare un dialer ai suoi visitatori. In quel caso il colpevole era il servizio di statistiche gratis e lo script malevolo che esso richiamava.

In questo articolo vogliamo mostrare una variante di questa tecnica, che fa uso di un semplice banner e riesce, con sorprendente forza persuasiva, a indurre l'utente a installare un software malevolo sul PC. Numerose sono infatti le segnalazioni giunte in redazione e le richieste di aiuto che si possono leggere al riguardo nei vari forum dedicati alla sicurezza informatica

L'inizio del problema

Il nome del software che si propone per la scansione gratuita del PC può cambiare: Errorsafe, oppure Errorpatrol o ancora Winfixer e molti altri ancora. Il messaggio in alcuni casi può anche essere molto persuasivo e allarmante, perché si accompagna alla contemporanea chiusura di tutte le finestre del browser (alla faccia del rispetto per quello che stavamo facendo e che immediatamente perdiamo!).

Di cosa si tratta?

Come abbiamo già discusso nei forum dell'Olimpo Informatico, non si è verificato alcun errore di sistema e non siamo infetti, almeno non ancora. Siamo in realtà di fronte a una forma molto aggressiva di pubblicità: facendo uso di discutibili tecniche di social engineering, qualcuno sta cercando di impaurirci per indurci ad acquistare un software del quale in realtà non abbiamo alcuna necessità.

Ma si tratta almeno di software utili? In realtà sono elencati nella lista di software antispyware "canaglia" stilata con cura da Spywarewarrior e che vi invitiamo a consultare tutte le volte che siete in dubbio se installare un programma di protezione del PC. Secondo quanto riportato da Spywarewarrior questi stessi software sarebbero in realtà degli spyware che raccolgono e trasmettono in Internet le nostre informazioni sensibili.

Alcuni antivirus sono in grado di identificare la minaccia e di rimuoverla. Symantec per esempio rileva sia Errorsafe sia Winfixer, ma i loro ideatori ne creano in continuazione dei cloni. L'ultimo, nato proprio di questi giorni, è stato segnalato da Atribune e il suo nome è Sysprotect.

Ulteriore motivo di preoccupazione è la segnalazione che si può leggere in numerosi forum (per esempio qui) che uno dei più famigerati trojan attualmente in circolazione (trojan Vundo /Virtumundo) veicola proprio ai siti di cui stiamo parlando.

Come funziona

Dicevamo all'inizio che quel messaggio di allarme è una forma di pubblicità. Quando compare non siamo ancora infetti: il problema non risiede nel nostro computer, ma nel sito web che stiamo visitando. Il sistema di cui stiamo parlando è molto ingegnoso ed efficace, è legato infatti alla visualizzazione di un banner.

Tutti noi che navighiamo in Internet conosciamo i banner: quelle piccole strisce, molto spesso animate, che servono a veicolare iniziative, servizi e anche pubblicità. Se i banner vengono inseriti in un circuito di scambio banner, verranno visualizzati a rotazione in tutti quei siti che sono iscritti a quel circuito, aumentando di molto il numero delle persone che li visualizzano.

Il "banner che infetta" è stato inserito in Bpath, un noto circuito gratuito di scambio banner, e quindi viene visualizzato in una miriade di siti che si sono iscritti al servizio. Ve lo proponiamo qui in versione immagine, ma i più curiosi possono trovare il link al banner "attivo" nel forum di Zeus News sopra menzionato.

Se cliccate sull'immagine vedrete un sito dall'aspetto innocente (cannis.org) il cui scopo apparentemente è di aiutare coloro che desiderano vivere in Canada a realizzare il proprio sogno. E' anche possibile mandare il proprio nominativo e dati anagrafici per essere contattati in un secondo momento (ovviamente vi sconsigliamo di farlo).

Il funzionamento dell'inganno è tanto semplice quanto efficace. Il banner infatti è un filmato Flash: dalla versione MX, tali filmati possono includere del codice (nel linguaggio Action Script) che permette anche di interagire con siti esterni. Quindi un filmato in Flash non è solo un formato grafico, ma può contenere istruzioni potenzialmente dannose.

In effetti, visualizzando il banner "canadese", chi ha impostato nel plugin di Macromedia protezioni più elevate riceve un avviso che notifica il tentativo del banner di contattare la sua "casa madre":

Cerchiamo di vederci chiaro

Dato che siamo curiosi, abbiamo deciso di vedere che cosa nasconde quel banner. Per far questo basta scaricare un decompilatore Swf, come ad esempio il Flash Decompiler della Eltima Software che abbiamo usato noi. Dopo pochi click ecco cosa ci appare decompilando il banner:

Come possiamo vedere accanto a molti elementi grafici sono presenti anche due script di cui il primo, quello caricato nel Frame1 è stato aperto: ecco in bella evidenza il link al sito di Winfixer, quello che propone la finta scansione antivirus del PC. Chi vuole analizzare con calma lo script si accorgerà che esso dopo alcuni controlli iniziali sul browser e sulla possibilità di aprire pop-up (con l'avviso iniziale che siamo infetti), apre infine la pagina da cui scaricare il software "canaglia".

Cosa c'entrano i canadesi

Non ce ne vogliano i canadesi per le nostre irriverenti insinuazioni fatte all'inizio dell'articolo: loro non c'entrano proprio nulla! In Canada (nell'Ontario) però è localizzato il server dove risiede Winfixer, come si può facilmente verificare con un semplice Whois. L'IP (66.244.254.63) corrisponde anche (guardate che coincidenza) al sito di cannis.org, la fantomatica società per l'immigrazione in Canada che ha creato il banner da cui siamo partiti.

Evidentemente quel sito è la "faccia presentabile" di un server che racchiude molte gradevoli sorprese. Se interroghiamo i database di Internet con un Reverse IP scopriamo infatti che sullo stesso server sono ospitati oltre a Winfixer anche i siti di Errorsafe, Winantivirus, Winantispyware, Virusguard, Popupavenger, Popupguard e molti altri ancora (la lista completa è qui) dai quali vi invitiamo a tenervi alla larga perché collegati in qualche modo a spyware o trojan.

Questi software sono uno il clone dell'altro, come del resto è facile capire anche solo dalla loro home page. Queste immagini si riferiscono per esempio rispettivamente alla home page di Winfixer, ErrorSafe ed ErrorPatrol: a parte i colori, non c'è proprio nessuna differenza!

Come evitare questi rischi

Al di là del sempre valido e ovvio consiglio di non rispondere mai "OK" senza prima leggere i messaggi, di non cliccare sul primo link che capita "a portata di mouse" e di non installare software sconosciuti prima di averne cercato qualche recensione su Internet, qualcosa in più possiamo fare per proteggerci dal rischio Winfixer ed Errorsafe.

Possiamo per esempio fare in modo da disabilitare qualunque link proveniente da quell'indirizzo, bloccando l'IP nel firewall. Il rimedio è molto efficace, ma solo per quello specifico IP e fino al momento in cui verrà cambiato il server nel quale si trovano quei siti.

In alternativa possiamo aggiungere al nostro file hosts (che in XP si trova nella cartella C:\WINDOWS\SYSTEM32\DRIVERS\ETC) alcune righe come questa: 127.0.0.1 www.winfixer.com, dove al posto di www.winfixer.com andremo a mettere tutti i domini che vogliamo bloccare. Ma l'elenco dei domini è molto lungo e in continua evoluzione.

Il nostro consiglio quindi è quello di utilizzare un elenco aggiornato e affidabile, come per esempio il file hosts di Mvps.org. Il file, che va mantenuto aggiornato periodicamente sul proprio PC, contiene al suo interno anche tutti quei siti malevoli che appartengono alla vasta categoria dei Cool Web Search alla quale, secondo Webhelper4u appartengono anche Winfixer, Errorsafe e i suoi cloni.