Trojany od Radia Maryja?

W rozsyłanej do przypadkowych osób rzekomej reklamie Radia Maryja kryje się instalator konia trojańskiego. W sieci od dawna toczy się podziemna wojna propagandowa, pomiędzy obydwoma obozami sceny politycznej.

List ma w założeniu zachęcać sympatyków Radia Maryja do odwiedzenia nowej wersji strony rozgłośni, która faktycznie miała premierę kilka miesięcy temu. W rzeczywistości użytkownik niezałatanego Internet Explorera, który kliknie na podany na dole wiadomości link dostanie w prezencie konia trojańskiego.

W kodzie HTML listu znajduje się link do strony www.radiomaryja.pl, ale w rzeczywistości, za pomocą sztuczek z IFRAME, prowadzący do zarejestrowanej w Belgii domeny www.radiomaryja.be. Właścicielem domeny, według belgijskiego NIC, jest "Ziomek zPoziomek" zamieszkały przy ulicy, której nazwa nie nadaje się do zacytowania w publikacji.

Pod tym adresem z kolei, hostowanym przez amerykańskie InfoRelay, znajduje się kolejny kod przekierowujący, tym razem... z powrotem do Polski, na serwer w domenie ircgalaxy.pl, zarejestrowanej na prywatną osobę i hostowanej w Niemczech. Na tym serwerze działa docelowy skrypt, wykorzystujący dziurę w MSIE do zainstalowania w przeglądarce konia trojańskiego (Paweł Goleń - analiza trojana).

Podziemna wojna polityczna

Czy w akcji z Radiem Maryja chodzi tylko o zdobycie nowych zombie do botnetu? Treść rzekomej reklamy raczej nie zachęci do kliknięcia nikogo, poza zdecydowanymi miłośnikami Radia Maryja. List wygląda raczej tak, jakby intencją jego autora było właśnie zarażenie trojanem jak największej ilości osób z tej strony sceny politycznej.

Opisywany przez nas wczoraj atak Młodzieży Wszechpolskiej to dziecinna igraszka, jeśli przyjrzeć się trendowi jakim jest znaczne nasilenie "oddolnych i społecznych" akcji dywersyjno-propagandowych, których ulubionym celem jest właśnie Radio Maryja, a które zaczęły się w ubiegłym roku po dojściu PiS do władzy.

Poza modą na rejestrowanie domen takich jak rydzyk.pl (sprzedana później przez młodego polityka Partii Demokratycznej na Allegro), w sieci pojawiło się całe mnóstwo domen związanych z Radiem Maryja, rejestrowanych głównie w Niemczech i zawierających treści, które trudno uznać tylko za zwykły żart polityczny albo przejaw mody. Wśród nich można wymienić domeny rydzyk.de, radiomaryja.de, ojciec-dyrektor.de, wspomniane radiomaryja.be i zapewne wiele innych.

Na stronie ojciec-dyrektor.de, utrzymywanej przez polsko brzmiącą firmę w Niemczech, działa z przerwami intensywnie rozwijany serwis, parodiujący Radio Maryja. Na stronie radiomaryja.de, zarejestrowanej przez Polaka zamieszkałego w Niemczech, przez kilka miesięcy stał serwis reklamujący gejowskie porno. Inne adresy są nieobsadzone, chyba że - tak jak radiomaryja.be - akurat służą do przekierowania dla koni trojańskich wymierzonych przeciwko miłośnikom Radia.

Trudno się oprzeć wrażeniu, że o ile skrajnie prawa strona cyberkonfliktu działa technikami raczej westernowymi, o tyle skrajnie lewa z wielką biegłością posługuje się metodami wypracowanymi jeszcze przez Służbę "A" (Dezinformacji) I Zarządu KGB ZSRR.

Aktualizacja: 27 maja 2006 11:45

Serwer ircgalaxy.pl został zamknięty przez niemieckiego operatora w sobotę rano.