About me

Meta

ircfast.com: malware, truffa o agile furbata?

Durante questi due giorni che sono stato a letto ho avuto modo di prendere in considerazione un caso che mi è stato segnalato come sospetto nuovo malware indicizzato nei motori di ricerca. Parliamo del portale ircfast.com.

Il portale fornisce strani download di molti software famosi. Tralasciando la traduzione italiana, che può far intendere la natura non italiana dell’autore - ogni download di programmi elencati nel portale ha come dimensioni 1MB circa. Inoltre il sito è ben indicizzato nei motori di ricerca. Insomma, tutte le carte in regola per pensare sia un malware.

Innanzitutto il server a cui il sito fa riferimento è ospitato negli Stati Uniti, hoster Everyones Internet. Esistono più domini che puntano allo stesso server oltre a ircfast.com, tra cui:

arfes.ircfast.com
descargar.mp3.es
deutsch.eazel.com
english.ircfast.com
italian.ircfast.com
french.eazel.com
ircfast.com
italian.eazel.com
portuguese.eazel.com
spanish.ircfast.com
sunmoon.com
toggle.com

Quando un utente pensa di scaricare un programma in realtà scarica un downloader, cioè un tool che fa da tramite per scaricare il programma voluto. Lanciandolo, il tool recupera dal sito internet la licenza da accettare prima di iniziare il download del programma. Inoltre viene chiesto all’utente la possibilità di modificare la home page del browser e di aggiungere dei collegamenti sul desktop e nel menu avvio.

Dopo di che, accettata la licenza, il software si collega al sito originale del programma che l’utente stava cercando (esempio: come mostrato nell’immagine qui sotto, se l’utente aveva scelto di scaricare Windows Live Messenger, il programma si collegherà al sito della Microsoft per scaricarlo) e inizia il download.

Finito il download del programma, che viene scaricato nella directory dei file temporanei, il tool di ircfast.com chiederà di chiamare una numerazione a valore aggiunto ben conosciuta in Italia - infatti viene specificato che il numero è valido solo per utenti italiani. Fatta la chiamata l’utente riceverà un codice di attivazione che servirà per proseguire l’installazione del programma.

In realtà, quella telefonata (dal costo di 1.80€/min) non è assolutamente necessaria, poiché il setup è già stato scaricato nella directory dei file temporanei e può essere eseguito dall’utente senza problemi. Però, come si può leggere dalla licenza accettata all’inizio, il ricavato è utilizzato 1) per sostenere il sito web e 2) per sostenere i server per il download veloce. Il numero 899033306 in questione é stato dato in gestione a Colt Telecom S.p.A.

Ora, se sulla prima ho personalmente qualche sospetto, la seconda sembrerebbe chiaramente una truffa. Potrei capire infatti se il downloader scaricasse da un server privato gestito dallo stesso team - in tal caso dovrebbero mantenere le spese di banda e di server per garantire un download veloce. Ma, visto che il download avviene poi dai server originali, non vedo la necessità di pagare per qualcosa che può essere scaricato direttamente dai rispettivi siti web.

Tuttavia, non esistono particolari comportamenti per poter identificare questo tool come malware. Modifica la home page solo se l’utente acconsente, aggiunge shortcut solo se l’utente acconsente, chiede all’utente di effettuare la chiamata. Al massimo puó essere considerato come unwanted application, ma non come malware. Si potrebbe comunque anche qui aprire una discussione - esistente da sempre - su cosa esattamente si possa definire malicious software.

Certo, anche considerarla una truffa potrebbe essere errato. In fondo la licenza spiega chiaramente che verranno chiesti soldi, il prezzo della chiamata risulta ben in vista. Inoltre il team spiega chiaramente che i soldi vengono utilizzati per garantire il servizio sempre funzionante.

Piu che altro, forse, si puó definire un’agile furbata?

Scritto il 1 Febbraio 2007

47 Responses to “ircfast.com: malware, truffa o agile furbata?”

1. 
   maverick
   Febbraio 2nd, 2007 at 03:03

   Ottimo marco.Beh io credevo fosse un virus perche’ a dire la verita’ l’ho solo uploadato su virustotal e prudentemente non l’ho eseguito. In ogni caso le tecniche usate da questi tizi mi sembrano alquanto discutibili. Comunque il mio dovere l’ho fatto . Ha ho nuove segnalazioni per te per quanto riguarda gli amici di gromozon. Siti civetta .us con tanto di exploit e dialer incorporato che pero’ viene rilevato da quasi tutti gli antivirus di virustotal meno prevx (quindi muoviti marco). La societa’ dell’hosting è una delle solite. ISPrime.
   La mia blacklist cresce di giorno giorno. Questi qui sono incredibili.

   P.s. ma una licenzina per prevx ci scappa dopo tutte le segnalazioni che ti ho fatto?

2. 
   maverick
   Febbraio 2nd, 2007 at 03:17

   Ah un ultima cosa. Anch’io credo che non possa essere considerato un malware e mi pare che sia tu che altri (sunbelt) abbiano optato per questa scelta.Infatti su virustotal continuano ad essere 4 glia antivirus che lo individuano come software pericoloso tramite l’euristica. Stavolta ho preso una mezza cantonata.
   Sorry

3. 
   maverick
   Febbraio 2nd, 2007 at 04:25

   Mi sto facendo un giretto su google e un nuovo attacco di gromozon mi pare sia in atto con un fiume di nuovi domini.

4. 
   maverick
   Febbraio 2nd, 2007 at 04:49

   Rettifico un oceano di nuovi siti. Poi ti mando le info con la posta se ritrovo la tua mail. Mamma mia che rottura di co… Mi stavo infettando pure io. Se si naviga con java e js abilitati mi pare si rischi grosso

5. 
   Lucass
   Febbraio 2nd, 2007 at 06:56

   Non usare il pc che usi abitualmente,sono rischi inutili,installa una macchina virtuale(per esempio Virtual Pc o Wmware)e ti diverti quanto vuoi,senza correre rischi.

   Ciao

6. 
   Fabrizio Alberti
   Febbraio 2nd, 2007 at 09:23

   Sempre su Gromozon.. Ammesso una piccola rete locale che non è dotata di firewall.. Capisco che bloccare a livello di sito sia poco, ma conoscete altri modo per bloccare l’accesso a quei siti civetta gromozon?

   Io stavo pensando di fare un file di hosts ad hoc da distribuire a quei pc non dotati di firewall sufficiente..

   Anche perchè non tutti i firewall sw ti permettono di bloccare i siti, non tutti quelli integrati in determinati router, ti accettano molti siti..

   Altre idee? Avete anche una raccolta dei “siti civetta” ?!?!

7. 
   maverick
   Febbraio 2nd, 2007 at 10:01

   io ho fatto una lista degli Ip delle “societa’” che sono collegate a Gromozon o meglio sono Gromozon come ad esempio ISPrime, NETCATHOST, InterCage Inhoster .Tanto in quei range c’è solo spazzatura. L’ho postata su hardwareupgrade e poi si trova sulla paginetta del mio blog aperta proprio per questo motivo.Credo che sia inutile bloccare i domini con il file hosts di windows perche’ questi qui ne registrano migliaia mentre gli IP sono sempre legati allo stesso range. Ogni tanto aggiungono un nuovo blocco “vergine”. Spam , scam , spyaware ,rogue spyware , dialer…insomma non si fann mancare nulla.
   La paginetta è maipiugrozon.blogspot.com

8. 
   maverick
   Febbraio 2nd, 2007 at 10:07

   Ops maipiugromozon.blogspot.com (faccio spam)

9. 
   francesco
   Febbraio 2nd, 2007 at 12:40

   @maverick

   Grazie per le preziose info. Ti chiederei gentilmente di passare questi IP da range comprensibile agli umani ad un formato più consono per le macchine… iptables e similari….

   Se poi di questo file “PC readable” fosse possibile farne il download da qualche URL fissa sarebbe integrabile in qualche script…

   Qualcosa avevo già fatto qualche giorno fa prendendo i dati da questo sito:

   81.29.240.0/23
   81.29.242.0/26

   67.15.64.166
   67.15.64.167
   67.15.64.168

   69.50.160.0/19
   195.234.159.0/24
   195.225.0.0/16
   195.225.176.0/22
   85.255.112.0/19
   66.230.175.0/24
   67.15.35.0/24
   89.104.112.80/32

10. 
    maverick
    Febbraio 2nd, 2007 at 13:21

    Tutto si puo’ fare ma in realta’ la mia intenzione era quella semplicemente di mettere in evidenza quando sia grave il problema. In qualche modo questa idea della blacklist di gromozon credo debba essere portata avanti e sviluppata perchè è una delle peggiore minacce informatiche che abbia mai visto.Con regolarita’ esemplare vedo che questi tizi aggiungono blocchi di IP “vergini” su cui sono ospitati nuovi siti civetta o che puntano tramite script alle infezioni.Se c’è un nuovo exploit puoi stare certo che dopo qualche giorno google è pieno di siti che lo sfruttano ela mano di fa questo è quasi sempre la stessa

11. 
    lancy
    Febbraio 6th, 2007 at 10:10

    Salve (marco sei un grande…)chiedo info:ma navigando con un software tipo sandbox ci si prende lo stesso infezioni?
    Grazie per le eventuali risposte

12. 
    fra
    Marzo 6th, 2007 at 15:20

    ma se il codice è una truffa…cosa si deve fare???

13. 
    fra
    Marzo 6th, 2007 at 15:26

    perfavore rispondi!!!!!!

14. 
    francesco
    Marzo 6th, 2007 at 16:36

    come si fa a sapere il codice di emule plus 1.2b?

15. 
    fra
    Marzo 11th, 2007 at 14:56

    sarebbe molto gradita una risposta…come si fa ad avere il codice senza chiamare?

16. 
    Tom
    Aprile 15th, 2007 at 15:53

    io nn riesco a installare i file scaricati mi puoi dire cosa fare? perfavore

17. 
    Tom
    Aprile 15th, 2007 at 15:57

    perfavore rispondi il programma è importante

18. 
    cicnic
    Aprile 17th, 2007 at 21:50

    i file che si scaricano su italian.ircsoft.com sono tutti una fregatura!! per esempio nero 7 te lo fa da 1MB circa, come tutti i programmi del resto, quando invece è di 182MB. non scaricate nulla da lì…altro che codice per installare!!:P

19. 
    Zvanin
    Maggio 12th, 2007 at 19:45

    ragazzi ma alla fine IRCFAST come si può cancellare visto che mi acchiappa ogni file che voglio scaricare ( e non ho intenzione di butare via dei soldi! )??? come posso disinstallarlo dal sistema??? grazie

20. 
    Marti
    Giugno 5th, 2007 at 15:31

    ragazzi come faccio a cancellarlo xo??

21. 
    Marti
    Giugno 5th, 2007 at 15:32

    raga come faccio a cancellarlo pero?rispondete presto!

22. 
    Marti
    Giugno 5th, 2007 at 15:35

    per favore rispondeteeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee!!!!!!!!!!!!!!!!!!

23. 
    Marti
    Giugno 5th, 2007 at 18:35

    ascolta io non ho effettuato la chiamata ma ho comunque scaricato il programma inserendo al posto del codice il “serial” perche pensavo fosse quello il codice richiesto..
    Adesso l’home page quando apro internet è italian.eazel
    Quello che voglio sapere è: visto che non ho effettuato la chiamata il servizio e attivo? Se si come faccio a cancellarlo?
    (ho provato i vostri suggerimenti: ho usato germ, avg, e l’altro ma non hanno trovato niente)..
    Vi prego di risondermi al piu presto!Vi prego!rispondeteeeeeee!!!

24. 
    irene
    Luglio 3rd, 2007 at 18:11

    anch’io vorrei sapere come si fa a cancellarlo
    non so come me lo trovo su preferiti
    non so quando si è inserito
    non si sa mai meglio toglierlo
    qualcuno sa come prima che il panico non mi porti a cancellare cartelle a caso dal pc??

25. 
    jessika
    Luglio 6th, 2007 at 15:30

    scusa, io ho avuto dei problemi con msn, ho preso un virus, ho fatto la scansione con l’antivirus 1000 volte e 1000 volte diceva di averlo eliminato ma in realtà l’avevo ancora… oggi ho deciso di eliminare msn e riscaricarlo e ho visto che mi chiede di chiamare quel numero che hai scritto anche tu per una pasword… sono corstretta a chiamare quel numero per avere la pasword? o ci sn altri modi x scaricare msn? mi faresti un favore enorme a rispondermi il prima possibile… grazie… baci jessika

26. 
    Mara
    Luglio 16th, 2007 at 01:18

    Aiuto!!! anch’io come Jessika mi trovo senza MSN e non so proprio come fare! come si fa a cancellare questa cosa? dici che il programma è già scaricato ma dove lo trovo nel mio pc e come faccio ad eseguirlo???aiutooooo!ti prego rispondi presto so che è estate ma rispondi! grazie!!!!

27. 
    BIGINI RUGGERO
    Luglio 18th, 2007 at 09:21

    Lo usato anch’io ma devo dire che ho lo stesso vostro dubbio e lo tolto perchè da quando lo usato ho visto delle strane anomalie sul sistema

28. 
    Yako
    Agosto 7th, 2007 at 13:43

    francamente io lo trovo pericoloso e disonesto, anche se secondo voi non è tecnicamente “malware”. a me ha cambiato (e non riesco a ripristinare) la homepage su firefox, ha aggiunto dei link non richiesti e il tutto senza consultarmi. Disonesti e malandrini, spero marciscano all’inferno.

29. 
    andrea
    Agosto 15th, 2007 at 15:29

    codice attivazione windows live messenger

30. 
    andrea
    Agosto 16th, 2007 at 21:23

    TUTTO STUPENDO

31. 
    marco
    Agosto 25th, 2007 at 11:33

    Salve, volevo sapere come si puo fare a disinstallare questa m..data dal computer.. ho provato in tutti i modi e non ci riesco..Saluti e grazie anticipatamente

32. 
    ale
    Agosto 28th, 2007 at 01:52

    o fatto la scansione dei virus con norton e o trovato “ircfast” e “Adware.Begin2search” ma nn li elimina…come faccio ti prego risp

33. 
    daniele
    Settembre 12th, 2007 at 16:14

    ho letto il tuo articolo su icrfast ,ho fatto il download di windows live messenger 80 da icrfast e nn l ho portato in porto perchè non avevo letto bene le condizioni di contratto anche se non mi sembrava che ci fossero costi per il download…avendo fatto solo il 10 % del download e poi ho disconesso secondo te ho ricevuto un addebito , ho il costo avviene solamnete con la chiamata per avere il serial di attivazione….sembra una domanda stupida ma ho fatto il download da un amico e volevo stare tranquillo…complimenti per il sito…grazie daniele

34. 
    Mario
    Settembre 20th, 2007 at 00:14

    Sono disperato, non riesco a togliere italian.eazel dal mio pc. se qualcuno sa come si toglie per favore mi dia un aiuto. Grazie mille!

35. 
    dario
    Settembre 25th, 2007 at 13:42

    non riesco a togliermi di mezzo sto “eazel”.
    ho Vista, come devo fare?
    help!!!!

36. 
    tony
    Settembre 28th, 2007 at 13:39

    anche io da qualche ho giorno sto cercando in tutti i modi di togliere sto italian.eazel……..aiutatemi per favore!!

37. 
    Begbie
    Ottobre 3rd, 2007 at 15:06

    scusate ma non riesco a capire come si leva questo ircfast del cavolo…
    c’è l’aggravante che non sono uno smanettone, non è che c’è un removal tool che va scaricato e fa tutto da sé?

    ma poi non ho ancora capito cosa fa ircfast e quanto è pericoloso.
    grazie

38. 
    tiziano
    Novembre 3rd, 2007 at 13:29

    scusate il distutbo, ma ho una domanda che mi assilla che vorrei porre, anche io sono stato uno degli sfortunati che e’ finito sul sito dell’ italian eazel e ho cercato di scaricare adobe photoshop, premetto che non sono neanche arrivato ad un decimo dello scarico visto che il programma era enorme e io sono in una zona non raggiunta dall’ adsl quindi non ho visto la schermata che diceva di effettuare la chiamata per convalida. comunque il mio dilemma e’ un altro io effettuo connessioni con numero telecom 7020191191 ed essendo contratto aziendale per tutte quelle connessioni sospette il modem si blocca automaticamente quindi vorrei sapere se per quel momento che ho provato ha scaricare non si sia aperto un altro server con conseguente sorpresa in bolletta ( chiedo questo per sicurezza visto che alla telecom non hanno saputo rispondermi in maniera esauriente, e per avere informazioni piu’ approfondite avrei dovuto pagare il servizio ). aiutatemi, vi prego. grazie.

39. 
    mario
    Novembre 3rd, 2007 at 13:30

    grazie

40. 
    angelica
    Novembre 17th, 2007 at 03:24

    anch’io ho preso la fregatura su eazel ho disistallato emule è ripristinato la pag iniziale ma chi mi dice che loro non controllino ancora tutto?come faccio a debellarlo?non vorrei sorprese in bolletta dato che ho un contratto telecom
    datemi risposta vi pregooo

41. 
    L’Arte Del Web » Blog Archive » Italian Eazel e altri: diffidate!
    Marzo 7th, 2008 at 15:43

    […] -PC Al Sicuro; -Olimpo informatico. Queste icone linkano i siti di social bookmarking sui quali i lettori possono condividere e trovare nuove pagine web. […]

42. 
    Pepino
    Aprile 15th, 2008 at 15:30

    evvai sono riuscito a togliere italian.eazel…….. piu facile di qnt pensassi….

43. 
    lucaspeed
    Aprile 19th, 2008 at 19:29

    ciao a tutti,scusate l’intrusione,ma anch’io mi trovo questi simpaticoni di italian.eazel sulla homepage di firefox e non riesco a levarmeli di torno,quindi domando a Pepino :come hai fatto?dal pannello di controllo non riesco a muovere nulla,ho rimosso un paio di trojan con avg,ma ad ogni avvio di firefox italian.eazel sta sempre li’ ad aspettarmi:che posso fare?
    ciao e grazie anticipate

44. 
    Michela
    Maggio 8th, 2008 at 13:39

    PEPINO, spiegaci come hai fatto a togliere italian.eazel. GRAZIE.

45. 
    flavio santini
    Maggio 24th, 2008 at 13:51

    io ho sempre usato spybot…. mai avuto un problema con eazel…
    ps
    qualcuno sa come aggiungere questi siti di M, al file hosts? io ci ho provato ma continuo a vederli…

46. 
    massimo
    Luglio 24th, 2008 at 17:10

    Caro Marco ti ho conosciuto dopo aver provato ad installare Emule su richiesta delle figlie ed esser caduto nella trappola di Eazel.Tra le tue indicazioni ed i commenti del Forum sono riuscito a liberarmene abbastanza facilmente.Da questa buona esperienza
    ho ritenuto di aderire al tuo consiglio di scaricare Prevx CSI nonostante sono cliente Symantec.Nei 4 mesi che l’ho installato mi ha bloccato e rimosso due intrusioni.E’ normale che i due virus
    non siano stati intercettati o notati da Norton Antivirus?

47. 
    Mario
    Agosto 9th, 2008 at 03:03

    caguensen, jajaja yo soy de la pagina, jajaja

Lascia un commento

Name (required) Mail (will not be published) (required) Website