Con la crescente diffusione dei nuovi software per la sicurezza informatica, e una maggiore consapevolezza da parte degli utenti sui rischi legati a virus e applicativi malevoli, i pirati informatici cercano sempre nuove vie per introdurre nei sistemi malware e worm allo scopo di sottrarre dati o compromettere la stabilità dei personal computer. Una minaccia, da poco identificata dagli esperti di sicurezza di Kaspersky Lab e da alcuni altri sviluppatori, sfrutta la conformazione dei file ASF (Advanced Systems Format) per dirottare la connessione dei sistemi verso siti Web particolarmente pericolosi per l’incolumità dei dati e delle informazioni personali degli utenti.
Il malware segnalato da pochi giorni è in grado di inserire i link alle pagine online pericolose modificando le informazioni contenute nei file ASF; una eventualità nota già da tempo agli esperti di sicurezza informatica, ma che fino ad ora non si era concretizzata con sistemi sufficientemente raffinati ed efficaci, tali da destare preoccupazione. I file ASF, infatti, agiscono come una sorta di contenitore all’interno del quale è possibile inserire dettagli su documenti audio e video, immagini e link a ulteriori risorse consultabili sul Web. Partendo da questa caratteristica, i pirati informatici hanno elaborato una serie di file che, una volta scaricati dalle reti peer-to-peer, infettano i sistemi all’insaputa dell’utente.
Quando viene avviato uno dei file ASF in questione, il documento provvede ad avviare Internet Explorer, consigliando all’utente di scaricare dalla rete un opportuno codec per riprodurre correttamente il file musicale. In realtà, il file scaricato dalla pagina web è un malware destinato a introdursi nei sistemi per modificarne impostazioni e sottrarre informazioni.
Eseguito il download del file eseguibile, l’utente installa così un Trojan Horse che provvede a creare un programma proxy, concepito dai pirati informatici per convogliare il traffico verso il sistema infettato, espandendo ulteriormente il malware sul computer di altri utenti. Il finto codec si comporta, inoltre, come un worm insediandosi tra i dati del personal computer alla ricerca dei file in formato MP3 ed MP2. Una volta identificati, provvede in background a convertirli nel formato Windows Media Audio (WMA), a inserirli in un pacchetto ASF e ad aggiungere nuovi link che dirottano verso altre pagine web contenenti il finto codec.
Stando alle informazioni fornite da Kaspersky, il sistema sarebbe particolarmente elaborato. Il worm, infatti, non modifica l’estensione dei file che converte, nascondendo così ulteriormente il suo operato agli utenti, che quindi continuano a condividere i loro file MP3 infetti nelle reti peer-to-peer. Nonostante la procedura sia ormai nota ai produttori di software di sicurezza, arginare il fenomeno potrebbe rivelarsi meno semplice del previsto. Il sistema del falso codec si rivela, infatti, un buon metodo per carpire la fiducia degli utenti meno esperti, magari già avvezzi a scaricare codec per i file scaricati dalle reti peer-to-peer.
Anche la nomenclatura della nuova minaccia potrebbe non aiutare troppo gli utenti. Mentre Trend Micro ha battezzato la minaccia “Troj_Medpinch.a”, Secure Computing ha deciso di chiamare il malware con un più esplicativo “Trojan.ASF.Hijacker” e infine Kaspersky con “Worm.Win32.GetCoded.a.”.