Il Trojan che fa magie

di Pasquale Miele

Pubblicato 27 Giugno 2007
Aggiornato 12 Febbraio 2018 20:50

Non si tratta di un discendente del mago Casanova, ma di un Trojan che si nasconde dietro un fasullo file .avi. Quest’ultimo, chiamato Harrenix.A, prende il nome dal film “Harry Potter e l’ordine della Fenicia” che sarà nelle sale il prossimo luglio.

Il file in questione dovrebbe mostrare il trailer del film, ma in realtà una volta aperto mostra il seguente errore:

Unsupported MPEG codec Error: Harry Potter l’Ordine della Fenicia. Go to official web site http://harrypotter.warnerbross.it

Mentre mostra questo avviso, il malware scarica all’interno del PC un altro codice maligno rilevato come Dialer.KJD. Esso cerca una connessione tradizionale analogica e, nel caso in cui la trova, inizia a fare telefonate verso numeri esteri, gonfiando enormemente la bolletta del telefono.

L’autore di questo codice è stato molto furbo nel farlo passare inosservato: infatti, se l’utente visita il sito riportato nel messaggio di errore, potrà tranquillamente visualizzare il trailer. In tal modo, gli utenti meno esperti penseranno veramente che è avvenuto un’errore per cui non può essere visualizzato il filmato.

Il malware crea il file DLD.EXE in una cartella temporanea, il file HARRY_POTTER_ALERT_EXE ed il file SCM.EXE nella cartella Application Data/Microsoft. Questi ultimi due servono rispettivamente a far apparire il messaggio di errore e ad avviare il dialer.

Per diffondersi, questo codice utilizza le e-mail con allegati, canali IRC, software di P2P, CD-ROM e siti Web che permettono il download di file attraverso il protocollo FTP.

Attenti quindi a ciò che scaricate, a volte, dietro un film pirata, si può nascondere un malware.