Cosa sia un dialer penso lo sappiano in molti, anche se ormai si tratta di un software fortunatamente passato di moda, ma che negli anni scorsi, specialmente fine anni 90 dilagava in rete complice la totalita' delle connessioni ad Internet, tramite modem analogico su normale linea telefonica.
Ricordo ancora i migliaia di casi di utenti italiani di Internet, che si sono visti recapitare bollette telefoniche con importi da pagare astronomici, a causa dell'utilizzo a loro insaputa, di numeri a pagamento attivati appunto da questi programmi dilaer.
In ogni caso, per chi non ne avesse mai sentito parlare, un dialer e' un programma per computer di pochi kilobyte che colpisce chi si connette ad internet tramite una normale linea telefonica con modem analogico.
Una volta scaricato sul computer, il piu' delle volte senza che ne venga segnalato il download, il dialer fa' comporre al modem analogico un numero telefonico a pagamento, di solito con tariffe estremamente elevate, e ci connette ad Internet.
L'avvento dell'ADSL ha certamente ridotto in misura notevole il pericolo dialer ma come vedremo esistono ancora in rete decine di pagine anche in lingua italiana che continuano a proporre questi softwares.
In seguito alla diffusione su larga scala di telefoni cellulari sempre piu somiglianti ad un piccolo computer, la tendenza e' stata poi quella di trasformare i siti che prima facevano scaricare dialers in siti che ora tentano di convincere chi li visita ad attivare servizi a pagamento per ricevere loghi, suonerie, immagini sul proprio telefonino.
Vediamo qualche esempio di sito in lingua italiana con dialer ancora attivo
Italian-toplist.com e' un sito che redirige su cartesiosys.com entrambi con whois in USA
Come si vede, la pagina tenta di caricare, se es. usiamo Internet Explorer, un plugin dialer dal nome trx76.exe che con Virus Total risulta essere
Ricordo ancora i migliaia di casi di utenti italiani di Internet, che si sono visti recapitare bollette telefoniche con importi da pagare astronomici, a causa dell'utilizzo a loro insaputa, di numeri a pagamento attivati appunto da questi programmi dilaer.
In ogni caso, per chi non ne avesse mai sentito parlare, un dialer e' un programma per computer di pochi kilobyte che colpisce chi si connette ad internet tramite una normale linea telefonica con modem analogico.
Una volta scaricato sul computer, il piu' delle volte senza che ne venga segnalato il download, il dialer fa' comporre al modem analogico un numero telefonico a pagamento, di solito con tariffe estremamente elevate, e ci connette ad Internet.
L'avvento dell'ADSL ha certamente ridotto in misura notevole il pericolo dialer ma come vedremo esistono ancora in rete decine di pagine anche in lingua italiana che continuano a proporre questi softwares.
In seguito alla diffusione su larga scala di telefoni cellulari sempre piu somiglianti ad un piccolo computer, la tendenza e' stata poi quella di trasformare i siti che prima facevano scaricare dialers in siti che ora tentano di convincere chi li visita ad attivare servizi a pagamento per ricevere loghi, suonerie, immagini sul proprio telefonino.
Vediamo qualche esempio di sito in lingua italiana con dialer ancora attivo
Italian-toplist.com e' un sito che redirige su cartesiosys.com entrambi con whois in USA
Come si vede, la pagina tenta di caricare, se es. usiamo Internet Explorer, un plugin dialer dal nome trx76.exe che con Virus Total risulta essere| File trx76.exe received on 12.11.2007 05:49:10 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.12.11.11 | 2007.12.11 | - |
| AntiVir | 7.6.0.40 | 2007.12.10 | DIAL/Generic |
| Authentium | 4.93.8 | 2007.12.10 | Dialer-behavior Maximus |
| Avast | 4.7.1098.0 | 2007.12.10 | Win32:Dialer-622 |
| AVG | 7.5.0.503 | 2007.12.10 | - |
| BitDefender | 7.2 | 2007.12.11 | Generic.Malware.Yd!sp.3F75BB4B |
| CAT-QuickHeal | 9.00 | 2007.12.10 | Win32.Trojan.Dialer.cj |
| ClamAV | 0.91.2 | 2007.12.10 | Dialer-288 |
| DrWeb | 4.44.0.09170 | 2007.12.10 | Dialer.Virgilio |
| eSafe | 7.0.15.0 | 2007.12.10 | suspicious Trojan/Worm |
| eTrust-Vet | 31.3.5368 | 2007.12.10 | - |
| Ewido | 4.0 | 2007.12.10 | - |
| FileAdvisor | 1 | 2007.12.11 | - |
| Fortinet | 3.14.0.0 | 2007.12.11 | Dial/TrustedZone |
| F-Prot | 4.4.2.54 | 2007.12.10 | W32/Dialer-behavior!Maximus |
| F-Secure | 6.70.13030.0 | 2007.12.11 | Trojan.Win32.Dialer.cj |
| Ikarus | T3.1.1.12 | 2007.12.11 | Trojan.Win32.Dialer.cj |
| Kaspersky | 7.0.0.125 | 2007.12.11 | Trojan.Win32.Dialer.cj |
| McAfee | 5182 | 2007.12.10 | unwanted program Dialer-gen |
| Microsoft | 1.3007 | 2007.12.10 | Trojan:Win32/Adialer_gen.A |
| NOD32v2 | 2714 | 2007.12.10 | a variant of Win32/Dialer |
| Norman | 5.80.02 | 2007.12.10 | W32/Dialer.gen8 |
| Panda | 9.0.0.4 | 2007.12.10 | Suspicious file |
| Rising | 20.21.42.00 | 2007.12.07 | Trojan.Dialer.dev |
| Sophos | 4.24.0 | 2007.12.11 | Dial/RASDial-K |
| Sunbelt | 2.2.907.0 | 2007.12.07 | Trojan-Dialer.Accessoveloce.a (v) |
| Symantec | 10 | 2007.12.11 | - |
| TheHacker | 6.2.9.155 | 2007.12.10 | Dialer/Generico |
| VBA32 | 3.12.2.5 | 2007.12.10 | MalwareScope.Dialer.Small.1 |
| VirusBuster | 4.3.26:9 | 2007.12.10 | Trojan.Dialer.Gen.5 |
| Webwasher-Gateway | 6.6.2 | 2007.12.10 | Dialer.Generic |
| Additional information | |||
| File size: 28816 bytes | |||
| MD5: 1e29fbc389f7732352c8cdef40ec4c96 | |||
| SHA1: cf3070e0918880128a72dc9020a2204b78b5a463 | |||
| PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser | |||
A questo punto, passato il caricamento del dialer, abbiamo diverse scelte, tutte rigorosamente di siti che propongono servizi tramite invio di sms ai cellulari e naturalmente a pagamento
Questo evidenzia come, con l'avvento delle connessioni ADSL, ci sia stata una riconversione dei siti per adeguarsi ai nuovi sviluppi tecnologici e sfruttare l'enorme numero di telefoni cellulari attivi in Italia.
Tra l'altro nelle note contrattuali vediamo che
e che
Altro sito dialer e' ad esempio questo vvv.playitalia.com che, tipico per siti dialer, propone contenuti per adulti.Anche in questo caso abbiamo eseguibili scaricabili sia sotto forma di link
ed anche un dialer contenuto in file zip (apri.exe) associato ad un breve filmato .mpg per aumentarne la credibilta'.
Virus Total ci fa vedere anche in questo caso il contenuto pericoloso del file
| File apri.exe received on 09.18.2007 06:38:11 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | - | - | - |
| AntiVir | - | - | TR/Dialer.RW.1 |
| Authentium | - | - | - |
| Avast | - | - | Win32:Dialer-944 |
| AVG | - | - | Dialer.DEW |
| BitDefender | - | - | Trojan.Dialer.RW |
| CAT-QuickHeal | - | - | Trojan.Dialer.rw |
| ClamAV | - | - | - |
| DrWeb | - | - | Dialer.Lake |
| eSafe | - | - | Win32.Dialer.rw |
| eTrust-Vet | - | - | Win32/Dialer.R |
| Ewido | - | - | Trojan.Dialer.rw |
| FileAdvisor | - | - | - |
| Fortinet | - | - | W32/Dialer.RW!tr |
| F-Prot | - | - | W32/DialerX.BAQ |
| F-Secure | - | - | Trojan.Win32.Dialer.rw |
| Ikarus | - | - | Trojan.Win32.Dialer.rw |
| Kaspersky | - | - | Trojan.Win32.Dialer.rw |
| McAfee | - | - | - |
| Microsoft | - | - | Trojan:Win32/Adialer!8863 |
| NOD32v2 | - | - | Win32/Dialer.RW |
| Norman | - | - | W32/Dialer.BCTV |
| Panda | - | - | - |
| Prevx1 | - | - | - |
| Rising | - | - | Trojan.Dialer.gep |
| Sophos | - | - | Mal/Generic-A |
| Sunbelt | - | - | Trojan.Win32.Dialer.rw |
| Symantec | - | - | Dialer.AxFreeAccess |
| TheHacker | - | - | Trojan/Dialer.rw |
| VBA32 | - | - | Trojan.Win32.Dialer.rw |
| VirusBuster | - | - | - |
| Webwasher-Gateway | - | - | Trojan.Dialer.RW.1 |
| Additional information | |||
| MD5: 63880fcf92143bda24cb25b5d7cef069 | |||
Whois di vvv.playitalia.com da come risultato la Repubblica Ceca
Un ultimo sito e' vvv.SfondiMania.net
Si tratta di sfondi per il nostro desktop.
Anche in questo caso, come si vede dal codice, sfruttando l'oggetto classid, si tenta di scaricare su explorer un file exe (il dialer)
Per scaricare gli sfondi bisogna naturalmente scaricare ed eseguire il programma dialer.
Con Virus Total abbiamo:
Un ultimo sito e' vvv.SfondiMania.net
Si tratta di sfondi per il nostro desktop.
Anche in questo caso, come si vede dal codice, sfruttando l'oggetto classid, si tenta di scaricare su explorer un file exe (il dialer)
Per scaricare gli sfondi bisogna naturalmente scaricare ed eseguire il programma dialer.
Con Virus Total abbiamo:
| File AUTO_1A.exe received on 12.11.2007 07:41:52 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | - | - | Win-Trojan/Dialer.10592.C |
| AntiVir | - | - | DIAL/Generic |
| Authentium | - | - | Possibly a new variant of W32/Trojan-Dial-Shl-based!Maximus |
| Avast | - | - | Win32:Dialer-905 |
| AVG | - | - | Dialer.CVG |
| BitDefender | - | - | Generic.Malware.Yd!sp.2B1ECD40 |
| CAT-QuickHeal | - | - | - |
| ClamAV | - | - | Trojan.Startpage-417 |
| DrWeb | - | - | Dialer.Avanti.origin |
| eSafe | - | - | Win32.Dialer.qi |
| eTrust-Vet | - | - | Win32/Secdrop!generic |
| Ewido | - | - | - |
| FileAdvisor | - | - | - |
| Fortinet | - | - | Dial/297 |
| F-Prot | - | - | W32/Trojan-Dial-Shl-based!Maximus |
| F-Secure | - | - | Trojan.Win32.Dialer.qi |
| Ikarus | - | - | Trojan-Clicker.Win32.Agent.ip |
| Kaspersky | - | - | Trojan.Win32.Dialer.qi |
| McAfee | - | - | Dialer-gen |
| Microsoft | - | - | Dialer:Win32/Adialer.gen |
| NOD32v2 | - | - | a variant of Win32/Dialer.HZ |
| Norman | - | - | W32/Chivio.gen2 |
| Panda | - | - | Adware/SpywareNo |
| Prevx1 | - | - | W32.MALWARE.GEN |
| Rising | - | - | Trojan.Dialer.Modem.a |
| Sophos | - | - | Mal/LazDia-A |
| Sunbelt | - | - | Trojan-Clicker.Win32.Agent.ip (v) |
| Symantec | - | - | Dialer.Sfonditalia |
| TheHacker | - | - | Dialer/Generico |
| VBA32 | - | - | OScope.Dialer.GMHA |
| VirusBuster | - | - | Trojan.Dialer.188.Gen |
| Webwasher-Gateway | - | - | Dialer.Generic |
| Additional information | |||
| MD5: 33e2e2e58b53ee6680c21aed8a41f5f4 | |||
Di questo sito possiamo vedere il folder denominato, con molta fantasia, dialers, che contiene due files eseguibili scaricabili sul pc
L'aumento della copertura ADSL ha certamente ridotto il problema dialers anche se in Italia non siamo ancora ad una copertura totale di accesso e quindi esiste un margine di utilizzo di questi software pericolosi.Inoltre nonostante la banda larga sia sempre piu diffusa, l'utilizzo di connessioni con modem tradizionale analogico sul linea telefonica e' ancora presente anche dove e' garantita la copertura ADSL rendendo il pericolo dialers ancora attuale.
Edgar
Nessun commento:
Posta un commento