Virus Testing Machine

[leolas]

Ringrazio cloutz e xcdegasp per avermi aiutato a scrivere il primo post (ne hanno scritto più o meno il 70% ), e murack, chill-out per aver contribuito in altri punti del thread.

Organizzazione Guida:

1. Breve Premessa, Come partecipare, Linee guida, Per chi vuole proporre i virus/malware da analizzare, Procedura di difesa, Tools e programmi utili
2. Virus
3. Test
4. Partecipanti
5. Post Vuoto

Introduzione


Breve Premessa:
Questo thread nasce dopo la constatazione dell'interesse di alcuni di noi verso la sperimentazione e lo studio di sample virali. Riteniamo infatti che, benchè i virus siano altamente pericolosi, sia altrettanto edificante conoscerli e studiarli.
Ci teniamo a sottolineare che ogni sample dopo lo studio verrà inviato ai vari laboratori di analisi degli antivirus, quindi non vi è nessuno scopo ludico dietro tutto ciò (e soprattutto non abbiamo interesse a diffondere virus, per poi dovervi curare nella sezione "Aiuto sono infetto", mi pare ovvio), ma voglia di conoscere, sperimentare e testare nuove soluzioni in ambito della sicurezza informatica.
In questo senso i test qui condotti risulteranno utili anche per constatare come le softwarehouse procedono nelle aggiunte delle firme virali, facendo analizzare più volte il sample a servizi online come VirusTotal o VirScan.


Come partecipare

Potete partecipare al progetto in due modi:

1. Eseguendo i test:
   Leggete la procedura Linee guida– per non commettere errori
   
   
2. Inviando sample di virus nuovi:
   Leggete la procedura: Per chi vuole proporre i virus/malware da analizzare

Linee guida – per non commettere errori.


N.B.: Questi sono virus veri, spesso non riconosciuti dalla quasi totalità degli antivirus. Qui sono elencate accortezze che vengono date per la sicurezza di tutti. Non vogliamo che si finisca per diffondere infezioni, a causa della mancata cura del tester, cosa di cui non vogliamo/possiamo esser responsabili.
Liberi di non seguirle, a vostro rischio e pericolo, ma poi non lamentatevi.

1. Qualunque test deve essere effettuato all’interno di una Macchina Virtuale e non sulla macchina principale che si usa tutti i giorni. Liberi di non farlo, il rischio lo correte voi.
   
   
2. Qualunque tipo di virtualizzatore (da Returnil, per intere partizioni, a Sandboxie, per singole applicazioni, ad immagini di sistema con AcronisTrueImage o DriveImageXML) è altamente consigliato sia in VM che sul sistema host, dato che ogni software ha i propri bug. E’ nel vostro interesse, al fine di evitare spiacevoli inconvenienti.
   
   
3. Chiunque parteciperà all'analisi dovrà dichiarare le metodologie che intende seguire per svolgere il test e indicare i programmi che nel corso del test possiede e saranno attivi o comunque partecipi nell'analisi pertanto prima dovrà esesre censito nell'elenco dei tester.
   
   
4. Chiunque effettui un test e vuole postare sul forum i propri risultati deve quanto meno utilizzare un hips e un firewall. Questo è l’equipaggiamento che consente di valutare con esattezza i movimenti e le modifiche che compie il sample:
   
   
   • Ogni avviso visualizzato da tali software (o comunque quelli più importanti, nei limiti delle possibilità) andrebbe catturato e postato, per una migliore comprensibilità.
     
     
   • Per un analisi più approfondita è opportuno controllare il file log dell’hips e magari con screenshoot mostrare gli eventi principali sempre del log.
     
     
   • Con il firewall si potrebbero segnalare le porte utilizzate per la connessione all’esterno, se questa avviene (anche controllare la provenienza dell’ip non sarebbe male).
     
     
   • Con SysInspector si rilascierà un'analisi completa del sistema da chiavi di registro, servizi e file, sia nella situazione pulita sia nella situazione con infezione completa questo ci darà modo di avere un quadro generale il più completo possibile.
     Istruzioni su come generare il log:
     doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)
     
     
   • E’ sempre opportuno far analizzare il sample a Virus Total o VirScan, per aver presente una panoramica complessiva sull’individuazione degli antivirus e la “rarità” del virus testato.
     
     
   • Per ultimo descrivere i problemi che si incontrano nell’utilizzo di windows ad infezione avvenuta, se possibile.
     
     
   • Infine pubblicare tutti i log prodotti dai programmi coinvolti nell'analisi seguendo le modalità descritte in Regole di Sezione, ricordarsi per sysinspector di pubblicare i due log (il "prima" e il "dopo")
   
   
5. Ultimo ma forse più importante: lamer & coglioni al largo.

Per chi vuole proporre i virus/malware da analizzare

1. I sample devono venire compressi in file zip, e bisognerà proteggerli con una password (di almeno 10 caratteri alfanumerici, maiuscoli e minuscoli)
   
   
2. I file *.zip devono essere inviati a http://www.wikisend.com. Prima di caricarli, è obbligatorio cliccare su Properties, aumentare i giorni di vita del file (si consiglia di impostare 30 giorni) e dove impostare una password, diversa da quella del file zip, sempre composta da almeno 10 caratteri alfanumerici, maiuscoli e minuscoli, per impedirne il download a chi è senza autorizzazione. Tutti i sample sprovvisti di password, saranno eliminati dal thread.
   
   
3. Alla presentazione del sample, dovrà essere inserito un link all'analisi di http://www.virustotal.com e di http://www.virscan.org. Senza queste due analisi non verranno presi in considerazione.
   
   
4. Ritengo opportuno anche verificare che il contenuto sia corretto tramite calcolo degli hash; in questo senso l’MD5 sarà reso pubblico nella discussione (sia del pacchetto zippato che del file in chiaro), insieme alla descrizione del virus. Questo sempre per la vostra sicurezza.
   
   
5. Le password saranno distribuite solo in via privata, a completa discrezione (ovviamente con cognizione di causa) di chi le possiede mettendo in copia conoscenza ogni volta il moderatore di sezione.
   
   
6. Ogni 3/4 giorni dovrà essere pubblicata una nuova analisi eseguita di http://www.virustotal.com e http://www.virscan.org. Questo permetterà di monitorare il grado di velocità che le software house adotteranno per includere questo sample nelle loro enciclopedie virali, ovviamente quando un sostanzioso numero di antivrius lo riconosce si smette di monitorare la situazione.
   
   
7. Nel post #2, verrà mantenuto un elenco aggiornato dei vari sample proposti nel thread con relativi link alle rispettive analisi.

Procedura di difesa

Ovviamente, nessuno vorrà infettarsi la partizione principale, o testare il virus senza protezioni adeguate.
Qui sotto, trovate la procedura per proteggere la vostra partizione.

Legenda:
█ Necessario
█ Consigliato
█ Utile

1. Installa Sandbox: Come funziona una sandbox: http://www.sandboxie.com/
   Si può scegliere tra:
   • BufferZone
   • Sandboxie
   • GesWall
   • SafeSpace
     Core Force(beta)
     Haute Secure (beta)
   
   
2. Installa una Virtual Machine: Serve a virtualizzare un sistema operativo, consentendo così di non infettare l'OS principale (NB: alcuni virus sono in grado di bypassare le VM, quindi effettuate anche i passaggi sucessivi). Bisogna quindi installare una macchina virtuale a scelta tra le sottostanti. Se avete installato anche la sanbox, installate la VM all'interno della Sandbox.
   • Virtual Box (free)
   • VMware Workstation (non free)
   • VMware Server
   • Virtual PC
   
   
3. Returnil: Dato che alcuni virus sono in grado di bypassare le protezioni delle macchine virtuali, è altamente consigliato installare Returnil, ovvero un sistema di protezione che consente di riportare il sistema allo stato della sessione precedente.
   • Returnil

In pratica, è consigliabile avere uno di quest 3 tipi di configurazione:

1. Hard Disk principale --> Returnil --> Sandboxie --> VM
2. Hard Disk principale --> Sandboxie --> VM (NOTA: Virtual PC e Sanboxie vanno in conflitto)
3. Hard Disk principale --> Returnil --> VM

Tools e programmi utili per eseguire il test

Non ha senso provare i sample dei virus, se non si hanno i programmi necessari per capirne il funzionamento.
Qui sotto, vi sono le 4 categorie di software consigliati per eseguire i test.

Vanno, ovviamente, installati all'interno della Virtual Machine.

1. HIPS: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.
   
   
2. Antivirus: Necessario per i test solo nel caso si voglia testare anche l'antivirus. Scegliete voi che configurazione testare.
   
   
3. Firewall: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.
   
   
4. Antispyware: Necessario per i test solo nel caso si voglia testare anche l'antispyware. Scegliete voi che configurazione testare.
   
   
5. SysInspector: Necessario per avere un'analisi completa del sistema da chiavi di registro, servizi e file.
   DOWNLOAD (32 bit)
   DOWNLOAD (64 bit)
   
   
6. Sysinternals Suite: i tool utili sono RegMon, FileMon, ProcessExplorer e TCPView. Sono (almeno in parte) informazioni visualizzabili anche con SysInspector + Firewall ecc.
   DOWNLOAD

[leolas]

VIRUS


Immagine presa dal sito di alex dragulescu. Fa parte dell'album Malwarez

• PREMESSA
  LEGGETE TUTTO IL PRIMO POST
  
  
  
• Download Virus
  
  
  • slideshow2.zip:
    
    
    • Breve descrizione
      Sostanzialmente, un trojan downloader. Nel post #3 i vari test
      
      
    • MD5
      afddc711f288f9422bcbffb81b4d967c
      
      
    • Scan Virustotal
      http://www.virustotal.com/analisis/f...31a11e3e639cbf
      
    
    
  • wmcodec_update.zip:
    
    
    • Breve descrizione
      Falso codec video, di cui ci si potrebbe infettare visitando pagine in cui è presente un finto player video (è molto facile incappare in questi player sui siti porno!)
      
      
    • MD5
      094fccc0a8adaf30c2a0f1d9061cc12a
      
      
    • Scan Virustotal
      http://www.virustotal.com/it/analisi...a4b5a24d260ed9
      

[leolas]

TEST



PREMESSA

LEGGETE TUTTO IL PRIMO POST.




Test

• Slideshow2.exe
  
  
  • Test n.1
    
    • Link: http://www.hwupgrade.it/forum/showpo...3&postcount=31
    • Autore: Leolas
    • Configurazione di sicurezza interna alla VM: Online Armor 3b - Account Amministratore
    • Configurazione di sicurezza esterna alla VM: VMware
    • Immagini: sì
    • Descrizione: Dettagliata (grazie ai numerosi screen)
    • Link a test esterni: no
    
    
  • Test n.2
    
    • Link: http://www.hwupgrade.it/forum/showpo...&postcount=123
    • Autore: cloutz
    • Configurazione di sicurezza interna alla VM: EQS 3.41 (Alcyon ruleset) - Rising Firewall - EsetSysInspector - Account amministratore
    • Configurazione di sicurezza esterna alla VM: VirtualPc2007
    • Immagini: sì
    • Descrizione: Dettagliata (anche grazie ai numerosi screen)
    • Link a test esterni: sì (VirScan - VirusTotal - SySinspector)
    
    
  • Test n.3
    • Link: http://www.hwupgrade.it/forum/showpo...1&postcount=25
    • Autore: murack87pa
    • Configurazione di sicurezza interna alla VM: N/D
    • Configurazione di sicurezza esterna alla VM: N/D
    • Immagini: no
    • Descrizione: Abbastanza Dettagliata (solo alcuni comportamenti sono stati analizzati)
    • Link a test esterni: sì (con chi comunica l'ip - siteadvisor)
    
    
  • Test n.4
    • Link: http://www.hwupgrade.it/forum/showpo...5&postcount=26
    • Autore: Chill-Out
    • Configurazione di sicurezza interna alla VM: N/D
    • Configurazione di sicurezza esterna alla VM: N/D
    • Immagini: no
    • Descrizione: Abbastanza Dettagliata (solo alcuni comportamenti sono stati analizzati)
    • Link a test esterni: sì (VirScan - VirusTotal)
    
    
  • Test n.5
    • Link: http://www.hwupgrade.it/forum/showpo...5&postcount=38
    • Autore: murack87pa
    • Configurazione di sicurezza interna alla VM: Comodo - Combofix - tool rimozione malware Kaspersky
    • Configurazione di sicurezza esterna alla VM: N/D
    • Immagini: sì
    • Descrizione: Abbastanza Dettagliata (grazie agli screen)
    • Link a test esterni: no
  
  
  
  
• wmcodec_update.exe
  
  
  • Test n.1
    
    • Link: http://www.hwupgrade.it/forum/showpo...1&postcount=48
    • Autore: @Sirio@
    • Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
    • Configurazione di sicurezza esterna alla VM: VM - Returnil
    • Immagini: sì
    • Descrizione: Dettagliata (grazie anche ai numerosi screen)
    • Link a test esterni: no
    
    
  • Test n.2 - parte 1
    
    • Link: http://www.hwupgrade.it/forum/showpo...&postcount=151
    • Autore: @Sirio@
    • Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
    • Configurazione di sicurezza esterna alla VM: VM - Returnil
    • Immagini: sì
    • Descrizione: Dettagliata (grazie anche ai numerosi screen)
    • Link a test esterni: no
    
    
  • Test n.2 - parte 2
    
    • Link: http://www.hwupgrade.it/forum/showpo...&postcount=152
    • Autore: @Sirio@
    • Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
    • Configurazione di sicurezza esterna alla VM: VM - Returnil
    • Immagini: sì
    • Descrizione: Dettagliata (grazie anche ai numerosi screen)
    • Link a test esterni: no
    
    
  • Test n.2 - parte 3
    
    • Link: http://www.hwupgrade.it/forum/showpo...&postcount=153
    • Autore: @Sirio@
    • Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
    • Configurazione di sicurezza esterna alla VM: VM - Returnil
    • Immagini: sì
    • Descrizione: Dettagliata (grazie anche ai numerosi screen)
    • Link a test esterni: sì (VirusTotal)
    
    
  • Test n.3
    
    • Link: http://www.hwupgrade.it/forum/showpo...2&postcount=52
    • Autore: HIRO
    • Descrizione: Link a test di ThreatExpert
    • Link a test esterni: sì

[leolas]

Partecipanti

• Leolas
  
  
• xcdegasp
  
  
• Chill-Out
  
  
• Murack83pa
  
  
• cloutz
  
  
• ShoShen
  
  
• @Sirio@
  
  
• Diventa tu il prossimo partecipante
  

[leolas]

Post di servizio - 4

[leolas]

post che ho scritto per sbaglio

[leolas]

Visto che c'avete tutti paura di inaugurare il thread, me lo autoinauguro io

[@Sirio@]

Grandiiiissimo leo ..un lavoretto con i fiocchi
..come quelli che fai sempre tu.

[xcdegasp]

Quote:

Originariamente inviato da leolas

Visto che c'avete tutti paura di inaugurare il thread, me lo autoinauguro io

devi modificare il messaggio numero 3 perchè in quella maniera non ci sta un elenco utile al thread...
e aggiungo che è poco fruibile con 5 sample...

Inoltre nelle linee guida ora sono sparite le indicazioni che debba esserci una password differente sullo zip rispetto a wikisend e lunghezza minima per accettare il sample.
i 10 caratteri non li avevo proposti io quindi se non vi stanno bene è il caso ne discutiate e troviate una ccordo su una dimensione inferiore anche se 10 caratteri non sono poi questo complesso a inventare

[leolas]

@ @Sirio@

Grazie
E' merito di tutti quanti, comunque

@ xcdegasp

Doh hai ragione. Cmq, non c'è perchè non c'è mai stato.. ero convinto di aver copia/incollato anche quella parte

[xcdegasp]

ottimo

manca da rivedere il metodo di pubblicazioen epr l'elenco dei test ed eventualmente del malware per contenerne di più e in maniera più diretta osservabili..

[leolas]

Quote:

Originariamente inviato da xcdegasp

ottimo

manca da rivedere il metodo di pubblicazioen epr l'elenco dei test ed eventualmente del malware per contenerne di più e in maniera più diretta osservabili..

esatto
appena ho tempo, modifico quella cosa

[cloutz]

leo complimenti anche da parte mia
davvero mi piace un cifro il 3d

[GOLDRAKES]

Ottimo lavoro

[leolas]

Grazie a tutti



..cominciano i test d'ingresso.....

[@Sirio@]

Quote:

Originariamente inviato da leolas

[...]

..cominciano i test d'ingresso.....

...si leo, appena trovo il tempo ne posto uno.

Quale preferisci?

[@Sirio@]

@ riazzituoi

Ho trovato unreal.c e unreal.d mentre di ureal.b solo l'MD5, ti può interessare?

Ciao.

[eraser]

Scusate, mi permetto di intervenire.

Posso avere questi sample di Unreal.C e Unreal.D?

Grazie mille

[leolas]

Quote:

Originariamente inviato da @Sirio@

...si leo, appena trovo il tempo ne posto uno.

Quale preferisci?

qual'è l'unreal più cattivo....?

Quote:

Originariamente inviato da eraser

Scusate, mi permetto di intervenire.

Posso avere questi sample di Unreal.C e Unreal.D?

Grazie mille

uh?

vuoi dire che tu non hai accesso a (più o meno..) tutti i malware del mondo?

[eraser]

Quote:

Originariamente inviato da leolas

uh?

vuoi dire che tu non hai accesso a (più o meno..) tutti i malware del mondo?

No Ma comunque, appunto per questo vorrei vedere questi sample, perché dubito siano ciò che è stato indicato siano. Temo più che sia una "svista" causata dai nomi dati dalle società di antivirus che spesso non coincidono o, ancor peggio, non parlano della stessa cosa.