nV 25
12-05-2006, 21:10
ATTENZIONE:
PER SICUREZZA, ESEGUIRE QUESTO TEST SOLO IN AMBIENTE PROTETTO (es. una VIRTUAL MACHINE) o SOLO SE si è fatto precedentemente un BACK-UP dei DATI !!!
Scartabellando un pò su Wilders, ho trovato questo thread:
http://www.wilderssecurity.com/showthread.php?t=103492&highlight=threat+simulator
che fa riferimento ad un nuovo simulatore di minacce, il "DFK ThreatSimulator", che nasce per superare i limiti dell'ormai obsoleto "Eicar Antivirus Test" proponendo un nuovo tester più aderente a quelle che sono le attuali minacce riproducendo infatti tecniche di dropper, rootkit, virus, trojan, spyware, keylogger, leaktest....
"Although the security community has relied on the "Eicar Antivirus Test File" for years, the complex advances in malware requires a more modern and thorough threat simulation. To this end the "DFK Threat Simulator" was created. Bundling a declawed collection of dropper, rootkit, virus, trojan, spyware, keylogger, leaktest, and alternate data stream technology, the DFK Threat Simulator is a serious representation of the modern dangers facing computer users today."
Ho deciso quindi di mettere alla frusta la configurazione che trovate in sign. per vedere come reagiva. :)
Anzitutto metto il link alla pagina dell'autore,
http://www.morgud.com/interests/security/dfk-threat-simulator.asp
davvero spettacolare per come è messo l'esempio che mostra quanto sia altro il rischio che incombe quotidianamente su ogniuno di noi....(specie i + incauti... :D )
- SCENARIO ipotizzato - CLICCAMI - (http://www.morgud.com/interests/security/dfk-threat-simulator.asp#example) :p
(traduzione della storiella:
BOB = utente medio con XP SP2 AGGIORNATO + NAV 2005, ZA Free, Microsoft Antispyware beta1...
un bel giorno riceve una mail da 1 amico con un allegato di nome "Office Idiots (funny).exe"....fa la sua bella scansioncina con il suo AV, tira un sospiro di sollievo perchè non viene rilevato nulla.... :p ..e decide di eseguirlo.
PECCATO Xò che l'allegato sia uno "zero day" attack :D (NB: DFK Threat Simulator in relatà NON E' NOCIVO!! )
Lanciato l'eseguibile, BOB riceve un msg di errore generico generato in realtà ad arte dal malware stesso per mascherare la sua vera attività.
"this type of malware falls under the classification of "dropper" because the legitimate file "drops" and runs additional payload (or files) invisibly in the background."
http://www.morgud.com/interests/security/gallery/s10.png
ZA gli dice che c'è qualcosa di strano:
"swfactive.exe cerca di comunicare con l'esterno.....
http://www.morgud.com/interests/security/gallery/s11.png
"swfactive.exe" simula infatti un trojan comune: Optix Pro, opportunamente modificato per evitare di essere intercettato da AV/AntiSpyware e sfrutta la porta TCP n° 9.....
Bob nega il permesso ma....
e qui inizia il bello: :sofico:
TA-DAAAAAA'
ZoneAlarm sembra abbia ignorato il comando "Deny" e autorizza la connessione: (la porta, infatti, viene messa in ascolto...)
http://www.morgud.com/interests/security/gallery/s12.png
"Optix Pro uses a straightforward method to open a port and communicate through it. "
.. il trojan in questione in sostanza usa tecniche tipiche del LEAKTEST Thermite.....http://www.firewallleaktester.com/leaktest8.htm
"it could have just as easily downloaded and run a virus, trojan, or additional malware or uploaded your passwords and credit card numbers to a malicious attacker."
Per grattare allora informazioni, DFK Threat Simulator avvia un "keylogger" che registra le cose....
Il trojan Optix Pro è costruito per disattivare i programmi di sicurezza che rintraccia.... e VINCE!!
http://www.morgud.com/interests/security/gallery/s16.png
...
Compare la finestrella:
http://www.morgud.com/interests/security/gallery/s19.png
C'è poi tutta la storiella dell'infezione sulle chiavi di registro...
Sebbene Bob termini il Simulator usando il Task Manager, la finestrella riappare dopo pochi minuti... DFK Threat Simulator infetta infatti la chiave "Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run"...
FINE 1° PARTE.... :D
RIPETO: NON E' PERICOLOSO ma per scrupolo seguite le raccomandazioni sopra!!!!!
PER SICUREZZA, ESEGUIRE QUESTO TEST SOLO IN AMBIENTE PROTETTO (es. una VIRTUAL MACHINE) o SOLO SE si è fatto precedentemente un BACK-UP dei DATI !!!
Scartabellando un pò su Wilders, ho trovato questo thread:
http://www.wilderssecurity.com/showthread.php?t=103492&highlight=threat+simulator
che fa riferimento ad un nuovo simulatore di minacce, il "DFK ThreatSimulator", che nasce per superare i limiti dell'ormai obsoleto "Eicar Antivirus Test" proponendo un nuovo tester più aderente a quelle che sono le attuali minacce riproducendo infatti tecniche di dropper, rootkit, virus, trojan, spyware, keylogger, leaktest....
"Although the security community has relied on the "Eicar Antivirus Test File" for years, the complex advances in malware requires a more modern and thorough threat simulation. To this end the "DFK Threat Simulator" was created. Bundling a declawed collection of dropper, rootkit, virus, trojan, spyware, keylogger, leaktest, and alternate data stream technology, the DFK Threat Simulator is a serious representation of the modern dangers facing computer users today."
Ho deciso quindi di mettere alla frusta la configurazione che trovate in sign. per vedere come reagiva. :)
Anzitutto metto il link alla pagina dell'autore,
http://www.morgud.com/interests/security/dfk-threat-simulator.asp
davvero spettacolare per come è messo l'esempio che mostra quanto sia altro il rischio che incombe quotidianamente su ogniuno di noi....(specie i + incauti... :D )
- SCENARIO ipotizzato - CLICCAMI - (http://www.morgud.com/interests/security/dfk-threat-simulator.asp#example) :p
(traduzione della storiella:
BOB = utente medio con XP SP2 AGGIORNATO + NAV 2005, ZA Free, Microsoft Antispyware beta1...
un bel giorno riceve una mail da 1 amico con un allegato di nome "Office Idiots (funny).exe"....fa la sua bella scansioncina con il suo AV, tira un sospiro di sollievo perchè non viene rilevato nulla.... :p ..e decide di eseguirlo.
PECCATO Xò che l'allegato sia uno "zero day" attack :D (NB: DFK Threat Simulator in relatà NON E' NOCIVO!! )
Lanciato l'eseguibile, BOB riceve un msg di errore generico generato in realtà ad arte dal malware stesso per mascherare la sua vera attività.
"this type of malware falls under the classification of "dropper" because the legitimate file "drops" and runs additional payload (or files) invisibly in the background."
http://www.morgud.com/interests/security/gallery/s10.png
ZA gli dice che c'è qualcosa di strano:
"swfactive.exe cerca di comunicare con l'esterno.....
http://www.morgud.com/interests/security/gallery/s11.png
"swfactive.exe" simula infatti un trojan comune: Optix Pro, opportunamente modificato per evitare di essere intercettato da AV/AntiSpyware e sfrutta la porta TCP n° 9.....
Bob nega il permesso ma....
e qui inizia il bello: :sofico:
TA-DAAAAAA'
ZoneAlarm sembra abbia ignorato il comando "Deny" e autorizza la connessione: (la porta, infatti, viene messa in ascolto...)
http://www.morgud.com/interests/security/gallery/s12.png
"Optix Pro uses a straightforward method to open a port and communicate through it. "
.. il trojan in questione in sostanza usa tecniche tipiche del LEAKTEST Thermite.....http://www.firewallleaktester.com/leaktest8.htm
"it could have just as easily downloaded and run a virus, trojan, or additional malware or uploaded your passwords and credit card numbers to a malicious attacker."
Per grattare allora informazioni, DFK Threat Simulator avvia un "keylogger" che registra le cose....
Il trojan Optix Pro è costruito per disattivare i programmi di sicurezza che rintraccia.... e VINCE!!
http://www.morgud.com/interests/security/gallery/s16.png
...
Compare la finestrella:
http://www.morgud.com/interests/security/gallery/s19.png
C'è poi tutta la storiella dell'infezione sulle chiavi di registro...
Sebbene Bob termini il Simulator usando il Task Manager, la finestrella riappare dopo pochi minuti... DFK Threat Simulator infetta infatti la chiave "Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run"...
FINE 1° PARTE.... :D
RIPETO: NON E' PERICOLOSO ma per scrupolo seguite le raccomandazioni sopra!!!!!