Il codice malevolo in questione si chiama Troj/Qhost-AC , è stato individuato dalla security enterprise Sophos e rappresenta uno di quei rari casi in cui il malware writer che lo ha sviluppato appare tutto fuorché un virus writer “professionista”.
Qhost-AC prende infatti di mira il peer-to-peer, e in particolare blocca l’accesso ai maggiori siti per il download su rete BitTorrent inclusi The Pirate Bay, Mininova e Suprbay. Il trojan utilizza un trucco vecchio ma efficace , modificando il file hosts di Windows e dirottando i suddetti siti verso l’host locale all’indirizzo 127.0.0.1.
In tal modo il sistema infetto non è più in grado di raggiungere il server desiderato , e l’opera censoria del Trojan può dirsi compiuta. Qhost-AC però non si limita a interferire con la normale risoluzione dei domini da parte del PC, ma il payload prevede anche una componente “educativa” che si incarica di mostrare pop-up su schermo e persino suonare un file audio con l’avvertimento che “scaricare è sbagliato”.
Si tratta dunque dell’ennesimo tentativo degli specialisti dell’anti-pirateria di prendere di mira gli utenti del file sharing? Improbabile , soprattutto considerando l’ importante cambio di rotta della crociata di RIAA (che dell’anti-pirateria anti-P2P ha fatto un vero e proprio vessillo) e la relativa facilità con cui è possibile rimuovere il malware ripristinando il normale comportamento della connessione di rete.
Una volta accortisi della presenza di un .torrent “velenoso” (contenente il malware sotto forma di keygen all’interno di una copia di un software pirata), gli admin di The Pirate Bay hanno subito rimosso il download dal network. La vigilanza, come dimostra anche il caso francese di un sito istituzionale trasformatosi (malgrado i gestori) in dispensatore di warez e software “illegale” assortito, rimane ancora la soluzione migliore in caso di incidenti simili.
Alfonso Maruccia
Ti potrebbe interessare
7 gen 2009