Virus Testing Machine

[@Sirio@]

Quote:

Originariamente inviato da gavel

- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili.

-poi fare lo steso test con "Rustock.B" .

-poi ti mando degli altri bei esemplari.

Aspetto gli altri esemplari

Intanto eccoti il Rustock.B che hai mandato.

[@Sirio@]

• Windows XP sp3
• Returnil Virtual System 2008 premium edition
• Real-Time Defender Professional 1.0
• Jetico Personal Firewall 2
• A-SQUARED ANTIMALWARE 4
• SysInspector

MD5: 60f7ae2098b2d58869d021e441d2c90e

Analisi su Virustotal: http://www.virustotal.com/analisis/e...ce93c4a0c98c6d

Analisi su threatexpert: http://www.threatexpert.com/report.a...d021e441d2c90e

Descrizione: Trojan.Mailbot è un trojan che funziona usando tecniche furtive per nascondersi su un PC infetto. In particolare, include funzionalità di rootkit che gli permettono di rimanere completamente invisibile all'utente. Una volta che è stato installato con successo su un computer, questo Trojan eseguirà spamming di massa, consumando e congestionando la larghezza di banda di rete disponibile.

Al momento dell'estrazione del file AntiVir lo riconosce così disabilito il real-time di Avira e dopo aver dato l'Allow per l'avvio di malware.exe a RTD, mi avvisa anche A-Squared Antimalware 4 questo sarà l'unico ed ultimo avviso di A-Squared 4.

Continuo dando i vari assensi a RTD e JPF2... possiamo vedere l'installazione del servizio la creazione del file bot.log, la sua scrittura,

=====>> ====>>

accetto anche le richieste successive e il malware chiede la connessione ===>> ===>>

===>> ===>> ===>> ===>>

continua nel post successivo

[@Sirio@]

poi la cosa si ripete all'infinito... di nuovo la richiesta di accesso alla rete da parte di services.exe, la scrittura di bot.log, ancora la richiesta di accesso alla rete per services.exe ===>> ===>> ===>>
visto che la cosa si ripeteva ho chiuso la connessione e avviato SysInspector, il malware intanto finita l'analisi

Come possiamo vedere dal rapporto di analisi di www.threatexpert.com, molto chiaro e dettagliato, mi aspettavo accadesse qualcos'altro, tipo il download e la creazione di ICQLite.log... ma niente da fare forse dovevo continuare, oppure la configurazione di Jetico che ho, lo impediva

Parola a voi... che ne pensate?

[WarDuck]

Quote:

Originariamente inviato da gavel

[...]
Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica. (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

EICAR è il classico esempio di pseudo-"virus" rilevabile con le firme, e visto che non fa nulla, mi sembra normale che l'euristica nn intervenga.

[@Sirio@]

Quote:

Originariamente inviato da WarDuck

EICAR è il classico esempio di pseudo-"virus" rilevabile con le firme, e visto che non fa nulla, mi sembra normale che l'euristica nn intervenga.

Il discorso è nato perché ogni casa di antivirus, assegna nomi diversi agli stessi malware.

Forse gavel voleva sottolineare l'inefficacia degli antivirus... e, come anche usando lo stesso virus leggermente modificato, questi non riescano a rilevarlo facilmente.

Se questo è il suo pensiero io sono d'accordo con lui. Oggi per avere una buona protezione, oltre l'antivirus dovremmo imparare bene ad usare il firewall e magari un HIPS.
Proprio per questo "mi diverto" a testare i malware, vorrei rendere più chiaro il funzionamento dei software come l'hips e il firewall... possibile che non avete domande o meglio ancora, risposte () da fare/dare.

[WarDuck]

Quote:

Originariamente inviato da @Sirio@

Il discorso è nato perché ogni casa di antivirus, assegna nomi diversi agli stessi malware.

Esatto, questa è una cosa che andrebbe di sicuro corretta, meglio ancora se con un db unico (ma questa sarebbe utopia).

Quote:

Originariamente inviato da @Sirio@

Forse gavel voleva sottolineare l'inefficacia degli antivirus... e, come anche usando lo stesso virus leggermente modificato, questi non riescano a rilevarlo facilmente.

Se questo è il suo pensiero io sono d'accordo con lui. Oggi per avere una buona protezione, oltre l'antivirus dovremmo imparare bene ad usare il firewall e magari un HIPS.
Proprio per questo "mi diverto" a testare i malware, vorrei rendere più chiaro il funzionamento dei software come l'hips e il firewall... possibile che non avete domande o meglio ancora, risposte () da fare/dare.

Concordo sul fatto che fa "strano" vedere molti AV che toppano a livello di definizioni un EICAR rinominato. Ma questo non testa l'effiacia dell'euristica, che imho è al giorno d'oggi quella che conta maggiormente.

Riguardo alla buona protezione, andando controcorrente, non uso un antivirus. Uso il firewall di vista configurato per bloccare le connessioni in uscita, e finora non ho mai avuto problemi di sorta (ogni tanto faccio scansioni online per stare sicuro e trovano sempre il nulla).

[@Sirio@]

Quote:

Originariamente inviato da WarDuck

Esatto, questa è una cosa che andrebbe di sicuro corretta, meglio ancora se con un db unico (ma questa sarebbe utopia).

Sarebbe fantastico ..almeno per fare un poco di chiarezza, visto che regna il caos.

Quote:

Concordo sul fatto che fa "strano" vedere molti AV che toppano a livello di definizioni un EICAR rinominato. Ma questo non testa l'effiacia dell'euristica, che imho è al giorno d'oggi quella che conta maggiormente.

Riguardo alla buona protezione, andando controcorrente, non uso un antivirus. Uso il firewall di vista configurato per bloccare le connessioni in uscita, e finora non ho mai avuto problemi di sorta (ogni tanto faccio scansioni online per stare sicuro e trovano sempre il nulla).

Interessante, quindi ti trovi bene? E su XP come la vedi la cosa?
Vorrei toglierlo anch'io, almeno il real time... penso che appena scade la licenza proverò

[sampei.nihira]

Quote:

Originariamente inviato da @Sirio@

Sarebbe fantastico ..almeno per fare un poco di chiarezza, visto che regna il caos.



Interessante, quindi ti trovi bene? E su XP come la vedi la cosa?
Vorrei toglierlo anch'io, almeno il real time... penso che appena scade la licenza proverò

Sirio tu però non usi un account limitato e/o simili e quindi non puoi paragonarti (trà XP) con Vista.
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw.
E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere.

Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time.

Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo.
Che purtroppo non calano mai ma aumentano e così la pesantezza.

E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc.

[xcdegasp]

Quote:

Originariamente inviato da sampei.nihira

Sirio tu però non usi un account limitato e/o simili e quindi non puoi paragonarti (trà XP) con Vista.
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw.
E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere.

Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time.

Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo.
Che purtroppo non calano mai ma aumentano e così la pesantezza.

E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc.

se poi già parti con una pachiderma dal nome AstaLaVista è ovvio che poi andrai a penalizzare limare e sacrificare altre componenti della configurazione di protezione sperando di ottenere quelle velocità/prestazioni che ti attenderesti dal tuo hardware...

comunque ogni decisione che si prende per la difesa del proprio pc è sempre relazionata a cosa si deve/vuole proteggere, del resto anche per andare in motocicletta non c'è bisogno di avere per forza di cose tute della daynese e protezioni varie, un conto è partire per fare 500km e un conto è fare 5-10km

[@Sirio@]

Quote:

Originariamente inviato da sampei.nihira

Sirio tu però non usi un account limitato e/o simili e quindi non puoi paragonarti (trà XP) con Vista.
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw.
E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere.

Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time.

Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo.
Che purtroppo non calano mai ma aumentano e così la pesantezza.

E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc.

È vero, non pensavo all'account limitato, comunque è una prova che voglio fare... per una serie di motivi: verificare quanto incide sulla velocità del mio vecchio PC, vedere se riesco a difendermi ugualmente e tenere il PC pulito... anche se, quando ci penso mi corre un brivido lungo la schiena

Poi come dice il nostro mod... non è che mi metto a fare l'home banking durante il periodo di prova.

[Unax]

forse questi software possono esservi utili per l'analisi di cosa fa un malware quando viene eseguito

http://labs.idefense.com/software/malcode.php

http://labs.idefense.com/files/labs/...ws/SysAnalyzer

[sampei.nihira]

Vi inserisco un 3D di Wilders:

http://www.wilderssecurity.com/showthread.php?t=223399

E' possibile notare alcuni sw che da noi sono poco usati.
Sarebbe interessante una maggiore attenzione da parte degli utenti che sono soliti fare delle prove non solo verso i malwares ma anche verso i sw.
Anzi credo proprio che sarebbe più interessante !!
Però sono il primo a dire che potrebbe essere il contrario.....

[@Sirio@]

Quote:

Originariamente inviato da Unax

forse questi software possono esservi utili per l'analisi di cosa fa un malware quando viene eseguito

http://labs.idefense.com/software/malcode.php

http://labs.idefense.com/files/labs/...ws/SysAnalyzer

Ottima segnalazione! Sicuramente saranno utili.
Grazie Unax, così... dopo un primo sguardo mi attira questo SysAnalyzer, come anche il Malcode Analysis Pack...li proverò.

[@Sirio@]

Quote:

Originariamente inviato da sampei.nihira

Vi inserisco un 3D di Wilders:

http://www.wilderssecurity.com/showthread.php?t=223399

E' possibile notare alcuni sw che da noi sono poco usati.
Sarebbe interessante una maggiore attenzione da parte degli utenti che sono soliti fare delle prove non solo verso i malwares ma anche verso i sw.
Anzi credo proprio che sarebbe più interessante !!
Però sono il primo a dire che potrebbe essere il contrario.....

Grazie sampei ..anche secondo me sarebbe più interessante.
Ci vorrebbero più persone che testano i vari programmi di sicurezza, io per il momento sono interessato a capire bene RTD e JPF2 e finché non avrò acquisito una buona conoscenza non li cambierò, anche perché mi piacciono tanto e soprattutto, il tempo e i mezzi scarseggiano per fare altre prove.

Purtroppo dei tester iniziali sembrerebbe sia rimasto solo io.

[xcdegasp]

ci sarebbe ancora da modificare il messaggio numero 3 ma vista la poca attività non è cosa imminente

[leolas]

Cavolo, mi stavo dimenticando del thread!

Appena ho un pò di tempo, inserisco tutti i nuovi test.

Scusate, ma ultimamente c'ho da fare con la scuola. Oggi mi son fatto 6 ore di storia dell'arte, ad esempio.. Da bucarsi in pratica
In questo momento mi sento molto a favore riguardo alla legalizzazione!

[xcdegasp]

Quote:

Originariamente inviato da deepdark

Ho trovato due virus freschi frschi per voi su emule. Cercate crack e scaricate tutto ciò che è sotto i due mega

Esempio 1: http://www.virustotal.com/it/analisi...898b73b58b84bb

Esempio 2: http://www.virustotal.com/it/analisi...b9b4dd10c8cd58

P.s. NOD32 mi sta deludendo molto....

virustotal ha dei problemi e non visualizza l'analisi... usa anche viruscan.org quando analizzi i file

[leolas]

Qualcuno ha un Sinowal/Mebroot stealth rootkit, di cui si parla qui? -> http://windowssecrets.com/2008/11/20...e-super-Trojan

[erreale]

Quote:

Originariamente inviato da leolas

Qualcuno ha un Sinowal/Mebroot stealth rootkit, di cui si parla qui? -> http://windowssecrets.com/2008/11/20...e-super-Trojan

Potrei avere quello che cerchi. Se mi contatti su alessandro.recchia@pianetapc.it ti giro per email quello che ho. ;-)

[leolas]

Quote:

Originariamente inviato da cloutz

credo che il post del mod andasse inteso come una sollecitazione all'uso del 3d apposito per testare il malware (e non magari in macchina reale, più rischioso e imprudente, non conoscendo la natura del sample) :
http://www.hwupgrade.it/forum/showthread.php?t=1823645

questa rimane cmq una mia interpretazione, quindi probabilmente sbagliata...

quoto dal thread degli HIPS.

Comunque son d'accordo con deg, non ha senso lasciar morire questo thread.
Purtroppo non ho molto tempo per modificare il primo post, men che meno in questi giorni, visto che sono occupato col MEP a scuola fino alle 18.30, ma un giorno il tempo di metterlo a posto lo troverò