Virus Testing Machine - Pagina 7

Bazz89 · 12-02-2009, 20:00

Quote:

Originariamente inviato da cloutz

(cut)
@Bazz89:
Grazie anke a te!
in linea generale sarebbe più comodo il video, effettivamente...però è anche vero che così è più facile chiarire ogni popup..inserire osservazioni, commenti, specificazioni...
anche perchè il tutto si svolge in una ventina di secondi..risulterebbe poco chiaro, soprattutto se s'intende fare un'analsi (+ o meno) scrupolosa...

si si, hai ragione: x questo genere di esperimenti, forse è piu utile inserire i singoli screen

però...du balls

quindi a maggior ragione:complimenti!!! Good Job!!!

ciao

cloutz · 12-02-2009, 20:24

piuttosto mi confermate (chi lo possiede) che il sample "RTKT Agent EZ.SSDT unhooker" non si avvia in VM?

una volta consentito l'esecuzione e l'accesso alla memoria fisica non accadeva nulla

...per questo, poi, son passato al winsyst.exe...

sampei.nihira · 12-02-2009, 20:34

Quote:

Originariamente inviato da cloutz

la prevenzione è molto importante, come per esempio la rilevazione degli ADS(una differenza importante per un hips)... ma è anche interessante osservare il comportamento dell'infezione, studiarla, monitorarla e vedere (talvolta) come il software riesce a gestirla...

ma è un'altra storia, e soprattutto è molto più difficile/lungo...se avessi le conoscenze x farlo sarei felicissimo

diciamo che mi accontento di vedere quali sono i punti su cui l'infezione agisce...anche per sapere cosa rinforzare nelle mie difese..sta pur certo che vedrò di fare qualcosa per gli ADS, è impossibile che solo MD e il D+ li intercettino

...

@erreale:
grazie per i complimenti...
di nulla per il sample

@Bazz89:
Grazie anke a te!
in linea generale sarebbe più comodo il video, effettivamente...però è anche vero che così è più facile chiarire ogni popup..inserire osservazioni, commenti, specificazioni...
anche perchè il tutto si svolge in una ventina di secondi..risulterebbe poco chiaro, soprattutto se s'intende fare un'analsi (+ o meno) scrupolosa...

Bravo Cloutz anche da parte mia !!

Anche se ho letto troppo velocemente il tutto,vedo che avete il "pallino" degli ADS,mi sorge una curiosità cosa accadrebbe a ripetere il test in FAT32 ?
Saluti ancora.

nV 25 · 12-02-2009, 21:12

Quote:

Originariamente inviato da cloutz

piuttosto mi confermate (chi lo possiede) che il sample "RTKT Agent EZ.SSDT unhooker" non si avvia in VM?

una volta consentito l'esecuzione e l'accesso alla memoria fisica non accadeva nulla...

in realtà , devev esserci un qualche problema legato alla tua VM:
il Rootkit in questione, infatti, per guadagnarsi l'accesso al Ring0, tenta di farlo tramite 2 strade, accedere cioè alla memoria fisica e alla memoria kernel (il famoso "debug at (the) system level" di PS....

Il non rilevare il 2° canale era successo anche a me con la vecchia versione 5.5 di VmWare...

cloutz · 12-02-2009, 21:26

Quote:

Originariamente inviato da nV 25

in realtà , devev esserci un qualche problema legato alla tua VM:
il Rootkit in questione, infatti, per guadagnarsi l'accesso al Ring0, tenta di farlo tramite 2 strade, accedere cioè alla memoria fisica e alla memoria kernel (il famoso "debug at (the) system level" di PS....

Il non rilevare il 2° canale era successo anche a me con la vecchia versione 5.5 di VmWare...

strano, perchè ho provato ad avviarlo diverse volte...magari un problema di VM come dici te (uso Virtual PC 2007), dato che non la aggiorno mai...

@Sirio@ · 03-03-2009, 18:58

Quote:

Originariamente inviato da deepdark

a tempo perso ne ho trovato un altro: http://www.virustotal.com/it/analisi...b665b428c0dc74

Mi dite quel thread che mi permetteva di inviarlo una volta sola a tutte le case che non lo trovo più???

Edit: trovato

Ciao deepdark

li trovi sempre tu, il nostro fornitore...

Me lo invieresti per favore?

Grazie in anticipo.

bozzato · 17-03-2009, 18:11

scusate per la domanda ma....se ho infettata una chiavetta USB da bagle, c'è un modo per infettare sicuramente i pc su cui viene messa? Anonimatamente?

Devo vedere se il reparto tecnico che c'è a scuola mia è preparato

xcdegasp · 18-03-2009, 15:51

Quote:

Originariamente inviato da bozzato

scusate per la domanda ma....se ho infettata una chiavetta USB da bagle, c'è un modo per infettare sicuramente i pc su cui viene messa? Anonimatamente?

Devo vedere se il reparto tecnico che c'è a scuola mia è preparato

cloutz · 22-03-2009, 11:56

fatto qualche piccolo test, abbastanza frettoloso perchè devo studiare fisica

Il test è strutturato in 2 parti:
1. Sotto Account limitato
2. Come amministratore

Sample testato:
- i2.exe; famiglia rootkit (backdoor?)
- Analisi Virus Total

1. Account Limitato
Configurazione:
-Lua
-Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode)

Sono state fatte le seguenti modifiche a Comodo:
1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors
2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni

Iniziamo col test:

1. Avvio il sample

2. crea una nuova .dll in system32

3. crea un nuovo driver, sempre in system 32

4. cerca di creare una chiave per avviare il driver precedentemente creato (p81eskse.sys)

5. L'.exe di partenza (i2.exe) accede a explorer.exe.

--------------------------------------------------------
Il test per l'account limitato termina qui, non ho avuto nessun altro popup e cmq il rootkit non è riuscito ad infettare (pienamente?) il computer: non si nota nessun sintomo strano.
Come si vedrà, lo stesso non si può dire per la seconda parte, con l'account amministratore

cloutz · 22-03-2009, 12:13

2. Account Amministratore

Configurazione:
-Account Amministratore
-Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode)

Sono state fatte le seguenti modifiche a Comodo:
1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors
2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni

Iniziamo col test:

1. il sample, dopo essere stato avviato va a crearsi una chiave di Winlogon, per creare problemi allo startup, impedendo di lanciare la shell (explorer)

2. Crea - Modifica un valore relativo sempre a WinLogon, DllName.

3. Va a modifcare altri valori di startup

4. crea altri valori, questa volta Impersonate

5. altro valore: Asynchronous.

6.crea un altro valore per la propria chiave: MaxWait

7.altro valore: 2sksid

cloutz · 22-03-2009, 12:37

8. crea una nuova dll in system32: pasksa.dll

9. crea un nuovo driver in system32: p81eskse.sys

10. Crea una chiave per avviare p81eskse.sys

11. fino ad ora gli avvisi vedevano i2.exe come parent application..adesso è Services.exe, ormai controllato dal rootkit, che modifica la chiave di p81eskse

12. Services.exe, controllato dall'infezione, va a modificare il "windows service registry root" inserendo un valore Type alla solita chiave HKLM/System/ControlSet001/Services/p81eskse. Il D+ dice chiaramente che tale azione è da bloccare.

13. Sempre services.exe inserirà un valore "Security" alla chiave infetta.

14.Services crea un ulteriore valore: HKLM/System/.../Security/Security

15. i2.exe torna a farsi vedere, prendendo controllo di explorer.exe.

16. Fine dei giochi. Il computer si riavvia e continuerà a riavviarsi allo startup senza mai farmi accedere al Logon.

---------------------------------------------------------------------
L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato.
Le chiavi relative al winlogon erano destinate a fottermi al riavvio, senza permettermi di caricare nè explorer, nè la schermata di Login, nè nient'altro.

Non mi sono chiare tutte le chiavi e i valori di registro che ha creato, purtroppo non ho le conoscenze per sapere cosa voleva attaccare con ciascuna di esse (nonostante ciò sarebbe interessantissimo)

Scusate per la lunghezza del test e le numerose immagini, avrei potuto riportare solo le immagini salienti, ma avrei tagliato parte del test..almeno così ognuno può trarre le conclusioni che vuole e fare diverse osservazioni

Saluti

erreale · 22-03-2009, 13:56

Quote:

Originariamente inviato da cloutz

L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato.

Più che altro gli sarebbe stata impedita anche in questo se non avessi premuto allow ad ogni richiesta. A mio avviso test come questi andrebbero condotti in maniera diversa. Cioè si dovrebbe verificare fino a che punto il D+ ( o qualunque altro Hips) riesce a fermare l'infezione più a monte possibile.

cloutz · 22-03-2009, 14:05

Quote:

Originariamente inviato da erreale

Più che altro gli sarebbe stata impedita anche in questo se non avessi premuto allow ad ogni richiesta. A mio avviso test come questi andrebbero condotti in maniera diversa. Cioè si dovrebbe verificare fino a che punto il D+ ( o qualunque altro Hips) riesce a fermare l'infezione più a monte possibile.

questo vale nel caso volessi testare solo l'hips...ma interesse del 3d è studiare anche il sample, per vedere come/dove agisce ecc...
Cambia il presupposto...ciò non toglie che si possa studiare sia l'uno che l'altro aspetto...

erreale · 22-03-2009, 14:06

Quote:

Originariamente inviato da cloutz

questo vale nel caso volessi testare solo l'hips...ma interesse del 3d è studiare anche il sample, per vedere come/dove agisce ecc...

Ah..ok in questo caso il discorso è diverso. Grazie della delucidazione.

cloutz · 22-03-2009, 14:10

Quote:

Originariamente inviato da erreale

Ah..ok in questo caso il discorso è diverso. Grazie della delucidazione.

Nulla

,
Saluti

@Sirio@ · 26-03-2009, 12:15

..quest'ultimo test mi era proprio sfuggito

Grande cloutz

molto molto interessante

specie il fatto di averlo eseguito sia come amministratore che con account limitato per far vedere le differenze.
Ottime anche le spiegazioni che hai fornito: sono chiare e semplici da capire.

Quote:

Originariamente inviato da cloutz

questo vale nel caso volessi testare solo l'hips...ma interesse del 3d è studiare anche il sample, per vedere come/dove agisce ecc...
Cambia il presupposto...ciò non toglie che si possa studiare sia l'uno che l'altro aspetto...

Questo è il vero scopo del thread!

@Sirio@ · 26-03-2009, 12:35

Interessante e dettagliata analisi del malware Conficker (in inglese): http://mtc.sri.com/Conficker/

Variante C: http://mtc.sri.com/Conficker/addendumC/

cloutz · 26-03-2009, 14:27

Quote:

Originariamente inviato da @Sirio@

..quest'ultimo test mi era proprio sfuggito

Grande cloutz

molto molto interessante

specie il fatto di averlo eseguito sia come amministratore che con account limitato per far vedere le differenze.
Ottime anche le spiegazioni che hai fornito: sono chiare e semplici da capire.

Questo è il vero scopo del thread!

Grazie sirio, è sempre un piacere ricevere i tuoi complimenti

Appena ho tempo mi leggo le analisi dei Conficker, ammesso che ci capisca qualcosa, sembrano molto dettagliate

magari se trovo in giro un esemplare potrei testarlo

Ciaociao

@Sirio@ · 27-03-2009, 19:48

Eccolo! L'ho trovato però purtroppo ho il SO aggiornato e il conficker non riesce.

http://www.virustotal.com/analisis/4...c6adc2cb43627f

http://www.threatexpert.com/report.a...30eb36690ea59e

XP Sp3
Amministratore
CIS 3.8.xxxxx.477 in Paranoid Mode
Returnil

Avvio l'eseguibile

si avvia la finestra DOS, do l'assenso all'accesso diretto al disco

e tutto finisce così

il worm non riesce a fare niente su un sistema operativo aggiornato.

Saluti.

sampei.nihira · 01-04-2009, 19:09

Ultimamente noto che è di moda dichiarare che appena possibile si procederà alla disinstallazione dell'antivirus in real time.

Io naturalmente non sono di questo avviso......ma potrei sbagliare !!

A tal proposito esorto questi utenti a fare un test.
Inserirò un link (ATTENZIONE INFETTO):

xxx.yuotnbe.com

Dico subito per coloro che hanno installato,come me,Avira che l'antivirus interviene,come è possibile notare all'immagine sotto:

Esorto gli utenti che vorranno,di propria spontanea volontà, aprire il link a prendere ogni possibile precauzione in tema sicurezza.
Qualsiasi danno,dopo questo chiaro avviso, sarà imputabile solo alla loro personale mancanza di prudenza.

Se avete il javascript attivo,come è attivo nell'immagine sopra,sarete bombardati oltre a quelli sopra da altri pop-up.
Ma anche con il javascript disattivo noterete un intervento di Avira (fatela dopo questa prova).

Ora naturalmente nessun utente (senza antivirus perchè si presuppone che coloro che lo hanno disinstallato siano certamente utenti esperti) cadrebbe nel tranello.
E se anche (presumibilmente) un utente ci casca, interverebbe quasi certamente anche Prevx Edge,per chi lo ha installato naturalmente, (non ho provato) e l'HIPS quindi il sistema sarebbe protetto lo stesso.

Ma perchè passare alla sequenza successiva quando c'è la possibilità di fermare il tutto sul nascere ?

12-02-2009, 20:24	#122
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	piuttosto mi confermate (chi lo possiede) che il sample "RTKT Agent EZ.SSDT unhooker" non si avvia in VM? una volta consentito l'esecuzione e l'accesso alla memoria fisica non accadeva nulla...per questo, poi, son passato al winsyst.exe... __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122

22-03-2009, 11:56	#129
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	fatto qualche piccolo test, abbastanza frettoloso perchè devo studiare fisica Il test è strutturato in 2 parti: 1. Sotto Account limitato 2. Come amministratore Sample testato: - i2.exe; famiglia rootkit (backdoor?) - Analisi Virus Total 1. Account Limitato Configurazione: -Lua -Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode) Sono state fatte le seguenti modifiche a Comodo: 1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors 2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni Iniziamo col test: 1. Avvio il sample 2. crea una nuova .dll in system32 3. crea un nuovo driver, sempre in system 32 4. cerca di creare una chiave per avviare il driver precedentemente creato (p81eskse.sys) 5. L'.exe di partenza (i2.exe) accede a explorer.exe. -------------------------------------------------------- Il test per l'account limitato termina qui, non ho avuto nessun altro popup e cmq il rootkit non è riuscito ad infettare (pienamente?) il computer: non si nota nessun sintomo strano. Come si vedrà, lo stesso non si può dire per la seconda parte, con l'account amministratore __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 22-03-2009 alle 13:13.

22-03-2009, 12:13	#130
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	2. Account Amministratore Configurazione: -Account Amministratore -Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode) Sono state fatte le seguenti modifiche a Comodo: 1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors 2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni Iniziamo col test: 1. il sample, dopo essere stato avviato va a crearsi una chiave di Winlogon, per creare problemi allo startup, impedendo di lanciare la shell (explorer) 2. Crea - Modifica un valore relativo sempre a WinLogon, DllName. 3. Va a modifcare altri valori di startup 4. crea altri valori, questa volta Impersonate 5. altro valore: Asynchronous. 6.crea un altro valore per la propria chiave: MaxWait 7.altro valore: 2sksid __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 22-03-2009 alle 13:14.

22-03-2009, 12:37	#131
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	8. crea una nuova dll in system32: pasksa.dll 9. crea un nuovo driver in system32: p81eskse.sys 10. Crea una chiave per avviare p81eskse.sys 11. fino ad ora gli avvisi vedevano i2.exe come parent application..adesso è Services.exe, ormai controllato dal rootkit, che modifica la chiave di p81eskse 12. Services.exe, controllato dall'infezione, va a modificare il "windows service registry root" inserendo un valore Type alla solita chiave HKLM/System/ControlSet001/Services/p81eskse. Il D+ dice chiaramente che tale azione è da bloccare. 13. Sempre services.exe inserirà un valore "Security" alla chiave infetta. 14.Services crea un ulteriore valore: HKLM/System/.../Security/Security 15. i2.exe torna a farsi vedere, prendendo controllo di explorer.exe. 16. Fine dei giochi. Il computer si riavvia e continuerà a riavviarsi allo startup senza mai farmi accedere al Logon. --------------------------------------------------------------------- L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato. Le chiavi relative al winlogon erano destinate a fottermi al riavvio, senza permettermi di caricare nè explorer, nè la schermata di Login, nè nient'altro. Non mi sono chiare tutte le chiavi e i valori di registro che ha creato, purtroppo non ho le conoscenze per sapere cosa voleva attaccare con ciascuna di esse (nonostante ciò sarebbe interessantissimo) Scusate per la lunghezza del test e le numerose immagini, avrei potuto riportare solo le immagini salienti, ma avrei tagliato parte del test..almeno così ognuno può trarre le conclusioni che vuole e fare diverse osservazioni Saluti __________________ "Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 Ultima modifica di cloutz : 22-03-2009 alle 13:15.

27-03-2009, 19:48	#139
@Sirio@ Bannato Iscritto dal: May 2007 Città: London Messaggi: 3186	Test Conficker B Eccolo! L'ho trovato però purtroppo ho il SO aggiornato e il conficker non riesce. http://www.virustotal.com/analisis/4...c6adc2cb43627f http://www.threatexpert.com/report.a...30eb36690ea59e XP Sp3 Amministratore CIS 3.8.xxxxx.477 in Paranoid Mode Returnil Avvio l'eseguibile si avvia la finestra DOS, do l'assenso all'accesso diretto al disco e tutto finisce così il worm non riesce a fare niente su un sistema operativo aggiornato. Saluti.

17-03-2009, 18:11	#127
bozzato Senior Member Iscritto dal: Feb 2009 Messaggi: 481	scusate per la domanda ma....se ho infettata una chiavetta USB da bagle, c'è un modo per infettare sicuramente i pc su cui viene messa? Anonimatamente? Devo vedere se il reparto tecnico che c'è a scuola mia è preparato

26-03-2009, 12:35	#137
@Sirio@ Bannato Iscritto dal: May 2007 Città: London Messaggi: 3186	Interessante e dettagliata analisi del malware Conficker (in inglese): http://mtc.sri.com/Conficker/ Variante C: http://mtc.sri.com/Conficker/addendumC/

01-04-2009, 19:09	#140
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Ultimamente noto che è di moda dichiarare che appena possibile si procederà alla disinstallazione dell'antivirus in real time. Io naturalmente non sono di questo avviso......ma potrei sbagliare !! A tal proposito esorto questi utenti a fare un test. Inserirò un link (ATTENZIONE INFETTO): xxx.yuotnbe.com Dico subito per coloro che hanno installato,come me,Avira che l'antivirus interviene,come è possibile notare all'immagine sotto: Esorto gli utenti che vorranno,di propria spontanea volontà, aprire il link a prendere ogni possibile precauzione in tema sicurezza. Qualsiasi danno,dopo questo chiaro avviso, sarà imputabile solo alla loro personale mancanza di prudenza. Se avete il javascript attivo,come è attivo nell'immagine sopra,sarete bombardati oltre a quelli sopra da altri pop-up. Ma anche con il javascript disattivo noterete un intervento di Avira (fatela dopo questa prova). Ora naturalmente nessun utente (senza antivirus perchè si presuppone che coloro che lo hanno disinstallato siano certamente utenti esperti) cadrebbe nel tranello. E se anche (presumibilmente) un utente ci casca, interverebbe quasi certamente anche Prevx Edge,per chi lo ha installato naturalmente, (non ho provato) e l'HIPS quindi il sistema sarebbe protetto lo stesso. Ma perchè passare alla sequenza successiva quando c'è la possibilità di fermare il tutto sul nascere ? Ultima modifica di sampei.nihira : 01-04-2009 alle 19:30.

Strumenti
Mostra una versione stampabile Invia questa pagina per email