Virus Testing Machine

[leolas]

Quote:

Originariamente inviato da eraser

No Ma comunque, appunto per questo vorrei vedere questi sample, perché dubito siano ciò che è stato indicato siano. Temo più che sia una "svista" causata dai nomi dati dalle società di antivirus che spesso non coincidono o, ancor peggio, non parlano della stessa cosa.

peccato, allora non posso chiedere a te i virus per infettare la rete della scuola scherzo eh!

Cmq dai, a scrivere unreal non serve una laurea


ps: leggevo su pcalsicuro che CSI blocca il rustock.c... Anche quello non l'hai?
PPS: comunque l'avevo fiutato che stava per uscire un nuovo Prevx...

[eraser]

Quote:

Originariamente inviato da leolas

ps: leggevo su pcalsicuro che CSI blocca il rustock.c... Anche quello non l'hai?

no

[@Sirio@]

Quote:

Originariamente inviato da eraser

Scusate, mi permetto di intervenire.

Posso avere questi sample di Unreal.C e Unreal.D?

Grazie mille

Ooo... quale onore

Ho provato ad upparli su wikisend ma ho qualche problema: dopo aver aumentato i giorni e messo la psw mi restituisce una pagina bianca

Provo su rapidshare, purtroppo non posso mettere la password quindi non posto il link, te li mando con un MP altrimenti degasp si arrabbia.

Ciao.

[@Sirio@]

Quote:

Originariamente inviato da eraser

No Ma comunque, appunto per questo vorrei vedere questi sample, perché dubito siano ciò che è stato indicato siano. Temo più che sia una "svista" causata dai nomi dati dalle società di antivirus che spesso non coincidono o, ancor peggio, non parlano della stessa cosa.

Mah... AntiVir me li da così:



vuoi sempre che te li mandi?

[@Sirio@]

Quote:

Originariamente inviato da leolas

qual'è l'unreal più cattivo....?

[...]

Non lo so, ancora devo provare.
Posterò quello più cattivo... se non mi distrugge il PC

[eraser]

Quote:

Originariamente inviato da @Sirio@

Mah... AntiVir me li da così:



vuoi sempre che te li mandi?

Temo proprio che sia un'altra cosa

Comunque si, mandameli Grazie mille

[Nuz]

Non mi pare di aver letto da nessuna parte DiabloNova (o EP_XOFF) vantarsi di questi nuovi rootkit. Già Unreal.b sembra più un mito che una realtà (eraser sicuramente potrebbe togliermi questo dubbio).
Secondo me è solo la classificazione datagli da Avira.
Sono curioso di sapere da eraser davvero di cosa si tratta.

[@Sirio@]

Quote:

Originariamente inviato da eraser

Temo proprio che sia un'altra cosa

Comunque si, mandameli Grazie mille

Inviati.

Poi ci fai sapere? Sono molto curioso.. c'ho messo un giorno intero per trovarli.

[@Sirio@]

Quote:

Originariamente inviato da Nuz

Non mi pare di aver letto da nessuna parte DiabloNova (o EP_XOFF) vantarsi di questi nuovi rootkit. Già Unreal.b sembra più un mito che una realtà (eraser sicuramente potrebbe togliermi questo dubbio).
Secondo me è solo la classificazione datagli da Avira.
Sono curioso di sapere da eraser davvero di cosa si tratta.

Ciao Nuz,

Smanettando qua e la ho letto di un altro fantomatico unreal, per la precisione unreal.e che dovrebbe essere l'evoluzione del B. Introvabile come il B

[eraser]

Come immaginavo

Sono due PoC exploit, uno per Pragma FortressSSH e l'altro per Seattle Lab Telnet Server.

Non c'entrano niente con il rootkit Unreal

[gavel]

Voi un Rustock? to!
(Rustock.c, Rustock.N, Rustock.NDL, Rustock.B, Rustock.Gen.1)

Use on ur own risk !!

Password: =========

http://rapidshare.com/files/150282623/hardware.zip.html

PS: se non basta chidete......

________________________________________________________

[eraser]

Quote:

Originariamente inviato da gavel

Voi un Rustock? to!

Se ti riferisci a me, no grazie Ne ho le....uhm...i database pieni di Rustock

Comunque sì, in quel pack che hai messo tu c'è anche il vero Rustock.C, peccato che così com'è ci si faccia poco e niente

PS: occhio a postare link a malware con relativa password così in chiaro

[leolas]

ehilà gavel! Hai sempre tutto pure te...

BTW, puoi rimuovere la password, per favore?

Nel primo post c'è scritta la procedura per postare i sample... se ti "tira" seguirla, basta che lo dai a qualcuno in privato, che poi lo uppa seguendo il metodo richiesto

Così rischiamo che qualche lamerazzo scarichi il virus e si infetti e/o infetti altre persone

[gavel]

Quote:

Originariamente inviato da eraser

Se ti riferisci a me, no grazie...

No a te, sono per leolas gli vechii Rustock, per te un nuovo!

http://rapidshare.com/files/15029628...ware2.zip.html

Passw: come prima..

_____________________________________________________________

[leolas]

Grazie Gavel!

[Romagnolo1973]

wowww che bello rivedere tutta la banda del buco qua
Un salutone a tutti e soprattutto a quello che sta in Cina, Gavel stai ancora lì?

Per ora non ho tempo di virtualizzare il pc che è tra l'altro l'unico che ho a parte il giocattolino eeepc, ma vi seguirà con affetto e quando avrò un attimo magari faro qualche test.
Bravo Leo come sempre

P.S. I pallini nei primi post così belli ordinati so già chi li ha messi

[Chill-Out]

Segnalo questa piccola chicca http://www.hbgary.com/download_flypaper.html

[nV 25]

Quote:

Originariamente inviato da Chill-Out

Segnalo questa piccola chicca http://www.hbgary.com/download_flypaper.html

Ci sei arrivato da questo post? Link

A prescindere dalla risposta, ottima segnalazione anche se non mi stupisce dato che i tuoi interventi sono sempre costruttivi...

[xcdegasp]

Quote:

Originariamente inviato da leolas

Ringrazio cloutz e xcdegasp per avermi aiutato a scrivere il primo post (ne hanno scritto più o meno il 70% ), e murack, chill-out per aver contribuito in altri punti del thread.

Organizzazione Guida:

1. Breve Premessa, Come partecipare, Linee guida, Per chi vuole proporre i virus/malware da analizzare, Procedura di difesa, Tools e programmi utili
2. Virus
3. Test
4. Partecipanti
5. Post Vuoto

Introduzione


Breve Premessa:
Questo thread nasce dopo la constatazione dell'interesse di alcuni di noi verso la sperimentazione e lo studio di sample virali. Riteniamo infatti che, benchè i virus siano altamente pericolosi, sia altrettanto edificante conoscerli e studiarli.
Ci teniamo a sottolineare che ogni sample dopo lo studio verrà inviato ai vari laboratori di analisi degli antivirus, quindi non vi è nessuno scopo ludico dietro tutto ciò (e soprattutto non abbiamo interesse a diffondere virus, per poi dovervi curare nella sezione "Aiuto sono infetto", mi pare ovvio), ma voglia di conoscere, sperimentare e testare nuove soluzioni in ambito della sicurezza informatica.
In questo senso i test qui condotti risulteranno utili anche per constatare come le softwarehouse procedono nelle aggiunte delle firme virali, facendo analizzare più volte il sample a servizi online come VirusTotal o VirScan.


Come partecipare

Potete partecipare al progetto in due modi:

1. Eseguendo i test:
   Leggete la procedura Linee guida– per non commettere errori
   
   
2. Inviando sample di virus nuovi:
   Leggete la procedura: Per chi vuole proporre i virus/malware da analizzare

Linee guida – per non commettere errori.


N.B.: Questi sono virus veri, spesso non riconosciuti dalla quasi totalità degli antivirus. Qui sono elencate accortezze che vengono date per la sicurezza di tutti. Non vogliamo che si finisca per diffondere infezioni, a causa della mancata cura del tester, cosa di cui non vogliamo/possiamo esser responsabili.
Liberi di non seguirle, a vostro rischio e pericolo, ma poi non lamentatevi.

1. Qualunque test deve essere effettuato all’interno di una Macchina Virtuale e non sulla macchina principale che si usa tutti i giorni. Liberi di non farlo, il rischio lo correte voi.
   
   
2. Qualunque tipo di virtualizzatore (da Returnil, per intere partizioni, a Sandboxie, per singole applicazioni, ad immagini di sistema con AcronisTrueImage o DriveImageXML) è altamente consigliato sia in VM che sul sistema host, dato che ogni software ha i propri bug. E’ nel vostro interesse, al fine di evitare spiacevoli inconvenienti.
   
   
3. Chiunque parteciperà all'analisi dovrà dichiarare le metodologie che intende seguire per svolgere il test e indicare i programmi che nel corso del test possiede e saranno attivi o comunque partecipi nell'analisi pertanto prima dovrà esesre censito nell'elenco dei tester.
   
   
4. Chiunque effettui un test e vuole postare sul forum i propri risultati deve quanto meno utilizzare un hips e un firewall. Questo è l’equipaggiamento che consente di valutare con esattezza i movimenti e le modifiche che compie il sample:
   
   
   • Ogni avviso visualizzato da tali software (o comunque quelli più importanti, nei limiti delle possibilità) andrebbe catturato e postato, per una migliore comprensibilità.
     
     
   • Per un analisi più approfondita è opportuno controllare il file log dell’hips e magari con screenshoot mostrare gli eventi principali sempre del log.
     
     
   • Con il firewall si potrebbero segnalare le porte utilizzate per la connessione all’esterno, se questa avviene (anche controllare la provenienza dell’ip non sarebbe male).
     
     
   • Con SysInspector si rilascierà un'analisi completa del sistema da chiavi di registro, servizi e file, sia nella situazione pulita sia nella situazione con infezione completa questo ci darà modo di avere un quadro generale il più completo possibile.
     Istruzioni su come generare il log:
     doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)
     
     
   • E’ sempre opportuno far analizzare il sample a Virus Total o VirScan, per aver presente una panoramica complessiva sull’individuazione degli antivirus e la “rarità” del virus testato.
     
     
   • Per ultimo descrivere i problemi che si incontrano nell’utilizzo di windows ad infezione avvenuta, se possibile.
     
     
   • Infine pubblicare tutti i log prodotti dai programmi coinvolti nell'analisi seguendo le modalità descritte in Regole di Sezione, ricordarsi per sysinspector di pubblicare i due log (il "prima" e il "dopo")
   
   
5. Ultimo ma forse più importante: lamer & coglioni al largo.

Per chi vuole proporre i virus/malware da analizzare

1. I sample devono venire compressi in file zip, e bisognerà proteggerli con una password (di almeno 10 caratteri alfanumerici, maiuscoli e minuscoli)
   
   
2. I file *.zip devono essere inviati a http://www.wikisend.com. Prima di caricarli, è obbligatorio cliccare su Properties, aumentare i giorni di vita del file (si consiglia di impostare 30 giorni) e dove impostare una password, diversa da quella del file zip, sempre composta da almeno 10 caratteri alfanumerici, maiuscoli e minuscoli, per impedirne il download a chi è senza autorizzazione. Tutti i sample sprovvisti di password, saranno eliminati dal thread.
   
   
3. Alla presentazione del sample, dovrà essere inserito un link all'analisi di http://www.virustotal.com e di http://www.virscan.org. Senza queste due analisi non verranno presi in considerazione.
   
   
4. Ritengo opportuno anche verificare che il contenuto sia corretto tramite calcolo degli hash; in questo senso l’MD5 sarà reso pubblico nella discussione (sia del pacchetto zippato che del file in chiaro), insieme alla descrizione del virus. Questo sempre per la vostra sicurezza.
   
   
5. Le password saranno distribuite solo in via privata, a completa discrezione (ovviamente con cognizione di causa) di chi le possiede mettendo in copia conoscenza ogni volta il moderatore di sezione.
   
   
6. Ogni 3/4 giorni dovrà essere pubblicata una nuova analisi eseguita di http://www.virustotal.com e http://www.virscan.org. Questo permetterà di monitorare il grado di velocità che le software house adotteranno per includere questo sample nelle loro enciclopedie virali, ovviamente quando un sostanzioso numero di antivrius lo riconosce si smette di monitorare la situazione.
   
   
7. Nel post #2, verrà mantenuto un elenco aggiornato dei vari sample proposti nel thread con relativi link alle rispettive analisi.

Procedura di difesa

Ovviamente, nessuno vorrà infettarsi la partizione principale, o testare il virus senza protezioni adeguate.
Qui sotto, trovate la procedura per proteggere la vostra partizione.

Legenda:
█ Necessario
█ Consigliato
█ Utile

1. Installa Sandbox: Come funziona una sandbox: http://www.sandboxie.com/
   Si può scegliere tra:
   • BufferZone
   • Sandboxie
   • GesWall
   • SafeSpace
     Core Force(beta)
     Haute Secure (beta)
   
   
2. Installa una Virtual Machine: Serve a virtualizzare un sistema operativo, consentendo così di non infettare l'OS principale (NB: alcuni virus sono in grado di bypassare le VM, quindi effettuate anche i passaggi sucessivi). Bisogna quindi installare una macchina virtuale a scelta tra le sottostanti. Se avete installato anche la sanbox, installate la VM all'interno della Sandbox.
   • Virtual Box (free)
   • VMware Workstation (non free)
   • VMware Server
   • Virtual PC
   
   
3. Returnil: Dato che alcuni virus sono in grado di bypassare le protezioni delle macchine virtuali, è altamente consigliato installare Returnil, ovvero un sistema di protezione che consente di riportare il sistema allo stato della sessione precedente.
   • Returnil

In pratica, è consigliabile avere uno di quest 3 tipi di configurazione:

1. Hard Disk principale --> Returnil --> Sandboxie --> VM
2. Hard Disk principale --> Sandboxie --> VM (NOTA: Virtual PC e Sanboxie vanno in conflitto)
3. Hard Disk principale --> Returnil --> VM

Tools e programmi utili per eseguire il test

Non ha senso provare i sample dei virus, se non si hanno i programmi necessari per capirne il funzionamento.
Qui sotto, vi sono le 4 categorie di software consigliati per eseguire i test.

Vanno, ovviamente, installati all'interno della Virtual Machine.

1. HIPS: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.
   
   
2. Antivirus: Necessario per i test solo nel caso si voglia testare anche l'antivirus. Scegliete voi che configurazione testare.
   
   
3. Firewall: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.
   
   
4. Antispyware: Necessario per i test solo nel caso si voglia testare anche l'antispyware. Scegliete voi che configurazione testare.
   
   
5. SysInspector: Necessario per avere un'analisi completa del sistema da chiavi di registro, servizi e file.
   DOWNLOAD (32 bit)
   DOWNLOAD (64 bit)
   
   
6. Sysinternals Suite: i tool utili sono RegMon, FileMon, ProcessExplorer e TCPView. Sono (almeno in parte) informazioni visualizzabili anche con SysInspector + Firewall ecc.
   DOWNLOAD

le regole sono ben chiare, non rispettarle equivale a chiudere il thread con relativo cestinamento di tutti i messaggi contenuti ovviamente il discorso poi non si riaprirà più!

ero stato chiaro NO CAZZATE!


fino ad ora non sono passati nessun pvt, vengono uppati zip su lidi che non prioteggono da password, la password viene scritta in chiaro, non viene spedita la password in pvt con CC me..

in sostanza si chiude qui il discorso.

[xcdegasp]

il thread rimarrà chiuso fino a lunedì mattina come monito.

chi propone il sample deve shararlo correttamente e nessuno si deve far carico di farlo al suo posto.
è questione di responsabilità e mantenere trasparenza in un therad di un argomento che può diventare pericoloso per chiunque

grazie per la collaborazione