Ringrazio cloutz e xcdegasp per avermi aiutato a scrivere il primo post (ne hanno scritto più o meno il 70% :D), e murack, chill-out per aver contribuito in altri punti del thread.

Organizzazione Guida:

Breve Premessa, Come partecipare, Linee guida, Per chi vuole proporre i virus/malware da analizzare, Procedura di difesa, Tools e programmi utili
Virus
Test
Partecipanti
Post Vuoto


Introduzione


Breve Premessa:
Questo thread nasce dopo la constatazione dell'interesse di alcuni di noi verso la sperimentazione e lo studio di sample virali (http://www.hwupgrade.it/forum/showthread.php?t=1812356). Riteniamo infatti che, benchè i virus siano altamente pericolosi, sia altrettanto edificante conoscerli e studiarli.
Ci teniamo a sottolineare che ogni sample dopo lo studio verrà inviato ai vari laboratori di analisi degli antivirus, quindi non vi è nessuno scopo ludico dietro tutto ciò (e soprattutto non abbiamo interesse a diffondere virus, per poi dovervi curare nella sezione "Aiuto sono infetto", mi pare ovvio), ma voglia di conoscere, sperimentare e testare nuove soluzioni in ambito della sicurezza informatica.
In questo senso i test qui condotti risulteranno utili anche per constatare come le softwarehouse procedono nelle aggiunte delle firme virali, facendo analizzare più volte il sample a servizi online come VirusTotal o VirScan.


Come partecipare

Potete partecipare al progetto in due modi:

Eseguendo i test:
Leggete la procedura Linee guida– per non commettere errori


Inviando sample di virus nuovi:
Leggete la procedura: Per chi vuole proporre i virus/malware da analizzare



Linee guida – per non commettere errori.


N.B.: Questi sono virus veri, spesso non riconosciuti dalla quasi totalità degli antivirus. Qui sono elencate accortezze che vengono date per la sicurezza di tutti. Non vogliamo che si finisca per diffondere infezioni, a causa della mancata cura del tester, cosa di cui non vogliamo/possiamo esser responsabili.
Liberi di non seguirle, a vostro rischio e pericolo, ma poi non lamentatevi.



Qualunque test deve essere effettuato all’interno di una Macchina Virtuale e non sulla macchina principale che si usa tutti i giorni. Liberi di non farlo, il rischio lo correte voi.


Qualunque tipo di virtualizzatore (da Returnil, per intere partizioni, a Sandboxie, per singole applicazioni, ad immagini di sistema con AcronisTrueImage o DriveImageXML) è altamente consigliato sia in VM che sul sistema host, dato che ogni software ha i propri bug. E’ nel vostro interesse, al fine di evitare spiacevoli inconvenienti.


Chiunque parteciperà all'analisi dovrà dichiarare le metodologie che intende seguire per svolgere il test e indicare i programmi che nel corso del test possiede e saranno attivi o comunque partecipi nell'analisi pertanto prima dovrà esesre censito nell'elenco dei tester.


Chiunque effettui un test e vuole postare sul forum i propri risultati deve quanto meno utilizzare un hips e un firewall. Questo è l’equipaggiamento che consente di valutare con esattezza i movimenti e le modifiche che compie il sample:



Ogni avviso visualizzato da tali software (o comunque quelli più importanti, nei limiti delle possibilità) andrebbe catturato e postato, per una migliore comprensibilità.


Per un analisi più approfondita è opportuno controllare il file log dell’hips e magari con screenshoot mostrare gli eventi principali sempre del log.


Con il firewall si potrebbero segnalare le porte utilizzate per la connessione all’esterno, se questa avviene (anche controllare la provenienza dell’ip non sarebbe male).


Con SysInspector si rilascierà un'analisi completa del sistema da chiavi di registro, servizi e file, sia nella situazione pulita sia nella situazione con infezione completa questo ci darà modo di avere un quadro generale il più completo possibile.
Istruzioni su come generare il log:
doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)


E’ sempre opportuno far analizzare il sample a Virus Total o VirScan, per aver presente una panoramica complessiva sull’individuazione degli antivirus e la “rarità” del virus testato.


Per ultimo descrivere i problemi che si incontrano nell’utilizzo di windows ad infezione avvenuta, se possibile.


Infine pubblicare tutti i log prodotti dai programmi coinvolti nell'analisi seguendo le modalità descritte in Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), ricordarsi per sysinspector di pubblicare i due log (il "prima" e il "dopo")



Ultimo ma forse più importante: lamer & coglioni al largo.



Per chi vuole proporre i virus/malware da analizzare


I sample devono venire compressi in file zip, e bisognerà proteggerli con una password (di almeno 10 caratteri alfanumerici, maiuscoli e minuscoli)


I file *.zip devono essere inviati a http://www.wikisend.com. Prima di caricarli, è obbligatorio cliccare su Properties, aumentare i giorni di vita del file (si consiglia di impostare 30 giorni) e dove impostare una password, diversa da quella del file zip, sempre composta da almeno 10 caratteri alfanumerici, maiuscoli e minuscoli, per impedirne il download a chi è senza autorizzazione. Tutti i sample sprovvisti di password, saranno eliminati dal thread.


Alla presentazione del sample, dovrà essere inserito un link all'analisi di http://www.virustotal.com e di http://www.virscan.org. Senza queste due analisi non verranno presi in considerazione.


Ritengo opportuno anche verificare che il contenuto sia corretto tramite calcolo degli hash; in questo senso l’MD5 sarà reso pubblico nella discussione (sia del pacchetto zippato che del file in chiaro), insieme alla descrizione del virus. Questo sempre per la vostra sicurezza.


Le password saranno distribuite solo in via privata, a completa discrezione (ovviamente con cognizione di causa) di chi le possiede mettendo in copia conoscenza ogni volta il moderatore di sezione.


Ogni 3/4 giorni dovrà essere pubblicata una nuova analisi eseguita di http://www.virustotal.com e http://www.virscan.org. Questo permetterà di monitorare il grado di velocità che le software house adotteranno per includere questo sample nelle loro enciclopedie virali, ovviamente quando un sostanzioso numero di antivrius lo riconosce si smette di monitorare la situazione.


Nel post #2, verrà mantenuto un elenco aggiornato dei vari sample proposti nel thread con relativi link alle rispettive analisi.



Procedura di difesa

Ovviamente, nessuno vorrà infettarsi la partizione principale, o testare il virus senza protezioni adeguate.
Qui sotto, trovate la procedura per proteggere la vostra partizione.

Legenda:
█ Necessario
█ Consigliato
█ Utile



Installa Sandbox: Come funziona una sandbox: http://www.sandboxie.com/
Si può scegliere tra:

BufferZone (http://www.trustware.com/)
Sandboxie (http://www.sandboxie.com/)
GesWall (http://www.gentlesecurity.com/getstarted.html) SafeSpace (http://www.artificialdynamics.com/content/products/register-personal.aspx)
Core Force(beta) (http://force.coresecurity.com/)
Haute Secure (beta) (http://hautesecure.com/howitworks.aspx)



Installa una Virtual Machine: Serve a virtualizzare un sistema operativo, consentendo così di non infettare l'OS principale (NB: alcuni virus sono in grado di bypassare le VM, quindi effettuate anche i passaggi sucessivi). Bisogna quindi installare una macchina virtuale a scelta tra le sottostanti. Se avete installato anche la sanbox, installate la VM all'interno della Sandbox.
Virtual Box (free) (http://www.virtualbox.org/)
VMware (http://www.vmware.com/) Workstation (non free)
VMware (http://www.vmware.com/) Server
Virtual PC (http://www.microsoft.com/windows/downloads/virtualpc/default.mspx)



Returnil: Dato che alcuni virus sono in grado di bypassare le protezioni delle macchine virtuali, è altamente consigliato installare Returnil, ovvero un sistema di protezione che consente di riportare il sistema allo stato della sessione precedente.

Returnil (http://www.returnilvirtualsystem.com/)




In pratica, è consigliabile avere uno di quest 3 tipi di configurazione:


Hard Disk principale --> Returnil --> Sandboxie --> VM
Hard Disk principale --> Sandboxie --> VM (NOTA: Virtual PC e Sanboxie vanno in conflitto)
Hard Disk principale --> Returnil --> VM



Tools e programmi utili per eseguire il test

Non ha senso provare i sample dei virus, se non si hanno i programmi necessari per capirne il funzionamento.
Qui sotto, vi sono le 4 categorie di software consigliati per eseguire i test.

Vanno, ovviamente, installati all'interno della Virtual Machine.


HIPS: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.


Antivirus: Necessario per i test solo nel caso si voglia testare anche l'antivirus. Scegliete voi che configurazione testare.


Firewall: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.


Antispyware: Necessario per i test solo nel caso si voglia testare anche l'antispyware. Scegliete voi che configurazione testare.


SysInspector: Necessario per avere un'analisi completa del sistema da chiavi di registro, servizi e file.
DOWNLOAD (32 bit)
(http://www.eset.eu/sysinspector32_enu)DOWNLOAD (64 bit) (http://www.eset.eu/sysinspector64_enu)


Sysinternals Suite: i tool utili sono RegMon, FileMon, ProcessExplorer e TCPView. Sono (almeno in parte) informazioni visualizzabili anche con SysInspector + Firewall ecc.
DOWNLOAD (http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx)

VIRUS

http://img27.picoodle.com/data/img27/3/9/19/t_virutmytobm_523b8c0.jpg (http://www.sq.ro/viewer.php?i=115)
Immagine presa dal sito di alex dragulescu. Fa parte dell'album Malwarez (http://www.sq.ro/malwarez.php)


PREMESSA
LEGGETE TUTTO IL PRIMO POST



Download Virus



slideshow2.zip (http://wikisend.com/download/963818/slideshow2.zip):



Breve descrizione
Sostanzialmente, un trojan downloader. Nel post #3 i vari test


MD5
afddc711f288f9422bcbffb81b4d967c


Scan Virustotal
http://www.virustotal.com/analisis/fd6dc2d13f960bfe0031a11e3e639cbf




wmcodec_update.zip (http://wikisend.com/download/532072/wmcodec_update.zip):



Breve descrizione
Falso codec video, di cui ci si potrebbe infettare visitando pagine in cui è presente un finto player video (è molto facile incappare in questi player sui siti porno!)


MD5
094fccc0a8adaf30c2a0f1d9061cc12a


Scan Virustotal
http://www.virustotal.com/it/analisis/bcf5d0cf6788713b4ea4b5a24d260ed9

TEST



PREMESSA

LEGGETE TUTTO IL PRIMO POST.




Test



Slideshow2.exe



Test n.1


Link: http://www.hwupgrade.it/forum/showpost.php?p=24076053&postcount=31
Autore: Leolas
Configurazione di sicurezza interna alla VM: Online Armor 3b - Account Amministratore
Configurazione di sicurezza esterna alla VM: VMware
Immagini: sì
Descrizione: Dettagliata (grazie ai numerosi screen)
Link a test esterni: no



Test n.2


Link: http://www.hwupgrade.it/forum/showpost.php?p=24214817&postcount=123
Autore: cloutz
Configurazione di sicurezza interna alla VM: EQS 3.41 (Alcyon ruleset) - Rising Firewall - EsetSysInspector - Account amministratore
Configurazione di sicurezza esterna alla VM: VirtualPc2007
Immagini: sì
Descrizione: Dettagliata (anche grazie ai numerosi screen)
Link a test esterni: sì (VirScan - VirusTotal - SySinspector)



Test n.3

Link: http://www.hwupgrade.it/forum/showpost.php?p=24067471&postcount=25
Autore: murack87pa
Configurazione di sicurezza interna alla VM: N/D
Configurazione di sicurezza esterna alla VM: N/D
Immagini: no
Descrizione: Abbastanza Dettagliata (solo alcuni comportamenti sono stati analizzati)
Link a test esterni: sì (con chi comunica l'ip - siteadvisor)



Test n.4

Link: http://www.hwupgrade.it/forum/showpost.php?p=24073125&postcount=26
Autore: Chill-Out
Configurazione di sicurezza interna alla VM: N/D
Configurazione di sicurezza esterna alla VM: N/D
Immagini: no
Descrizione: Abbastanza Dettagliata (solo alcuni comportamenti sono stati analizzati)
Link a test esterni: sì (VirScan - VirusTotal)



Test n.5

Link: http://www.hwupgrade.it/forum/showpost.php?p=24080445&postcount=38
Autore: murack87pa
Configurazione di sicurezza interna alla VM: Comodo - Combofix - tool rimozione malware Kaspersky
Configurazione di sicurezza esterna alla VM: N/D
Immagini: sì
Descrizione: Abbastanza Dettagliata (grazie agli screen)
Link a test esterni: no






wmcodec_update.exe



Test n.1


Link: http://www.hwupgrade.it/forum/showpost.php?p=24085451&postcount=48
Autore: @Sirio@
Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
Configurazione di sicurezza esterna alla VM: VM - Returnil
Immagini: sì
Descrizione: Dettagliata (grazie anche ai numerosi screen)
Link a test esterni: no



Test n.2 - parte 1


Link: http://www.hwupgrade.it/forum/showpost.php?p=24240911&postcount=151
Autore: @Sirio@
Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
Configurazione di sicurezza esterna alla VM: VM - Returnil
Immagini: sì
Descrizione: Dettagliata (grazie anche ai numerosi screen)
Link a test esterni: no



Test n.2 - parte 2


Link: http://www.hwupgrade.it/forum/showpost.php?p=24085451&postcount=152
Autore: @Sirio@
Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
Configurazione di sicurezza esterna alla VM: VM - Returnil
Immagini: sì
Descrizione: Dettagliata (grazie anche ai numerosi screen)
Link a test esterni: no



Test n.2 - parte 3


Link: http://www.hwupgrade.it/forum/showpost.php?p=24241156&postcount=153
Autore: @Sirio@
Configurazione di sicurezza interna alla VM: Avira - JTF2 - RTD
Configurazione di sicurezza esterna alla VM: VM - Returnil
Immagini: sì
Descrizione: Dettagliata (grazie anche ai numerosi screen)
Link a test esterni: sì (VirusTotal)



Test n.3


Link: http://www.hwupgrade.it/forum/showpost.php?p=24088042&postcount=52
Autore: HIRO
Descrizione: Link a test di ThreatExpert
Link a test esterni: sì

Partecipanti



Leolas


xcdegasp


Chill-Out


Murack83pa


cloutz


ShoShen


@Sirio@


Diventa tu il prossimo partecipante ;) :)

Post di servizio - 4

post che ho scritto per sbaglio :fagiano:

Visto che c'avete tutti paura di inaugurare il thread, me lo autoinauguro io :sofico:

:D :D
Grandiiiissimo leo :cincin: ..un lavoretto con i fiocchi :sofico:
..come quelli che fai sempre tu. ;)

Visto che c'avete tutti paura di inaugurare il thread, me lo autoinauguro io :sofico:

devi modificare il messaggio numero 3 perchè in quella maniera non ci sta un elenco utile al thread... :)
e aggiungo che è poco fruibile con 5 sample...

Inoltre nelle linee guida ora sono sparite le indicazioni che debba esserci una password differente sullo zip rispetto a wikisend e lunghezza minima per accettare il sample.
i 10 caratteri non li avevo proposti io quindi se non vi stanno bene è il caso ne discutiate e troviate una ccordo su una dimensione inferiore anche se 10 caratteri non sono poi questo complesso a inventare :)

@ @Sirio@

Grazie :D
E' merito di tutti quanti, comunque

@ xcdegasp

Doh hai ragione. Cmq, non c'è perchè non c'è mai stato.. ero convinto di aver copia/incollato anche quella parte ;)

ottimo :)

manca da rivedere il metodo di pubblicazioen epr l'elenco dei test ed eventualmente del malware per contenerne di più e in maniera più diretta osservabili..

ottimo :)

manca da rivedere il metodo di pubblicazioen epr l'elenco dei test ed eventualmente del malware per contenerne di più e in maniera più diretta osservabili..

esatto ;)
appena ho tempo, modifico quella cosa

leo complimenti anche da parte mia:)
davvero mi piace un cifro il 3d:sofico:

Ottimo lavoro ;)

Grazie a tutti :D



..cominciano i test d'ingresso..... :cry:

[...]

..cominciano i test d'ingresso..... :cry:

:D
...si leo, appena trovo il tempo ne posto uno.

Quale preferisci?

@ riazzituoi

Ho trovato unreal.c e unreal.d mentre di ureal.b solo l'MD5, ti può interessare?

Ciao.

Scusate, mi permetto di intervenire.

Posso avere questi sample di Unreal.C e Unreal.D? :)

Grazie mille ;)

:D
...si leo, appena trovo il tempo ne posto uno.

Quale preferisci?

:rotfl: :rotfl:


qual'è l'unreal più cattivo....? :D

Scusate, mi permetto di intervenire.

Posso avere questi sample di Unreal.C e Unreal.D? :)

Grazie mille ;)

uh? :confused:

vuoi dire che tu non hai accesso a (più o meno..) tutti i malware del mondo?

uh? :confused:

vuoi dire che tu non hai accesso a (più o meno..) tutti i malware del mondo?

No :D Ma comunque, appunto per questo vorrei vedere questi sample, perché dubito siano ciò che è stato indicato siano. Temo più che sia una "svista" causata dai nomi dati dalle società di antivirus che spesso non coincidono o, ancor peggio, non parlano della stessa cosa.

No :D Ma comunque, appunto per questo vorrei vedere questi sample, perché dubito siano ciò che è stato indicato siano. Temo più che sia una "svista" causata dai nomi dati dalle società di antivirus che spesso non coincidono o, ancor peggio, non parlano della stessa cosa.

peccato, allora non posso chiedere a te i virus per infettare la rete della scuola :O :sofico: scherzo eh!

Cmq dai, a scrivere unreal non serve una laurea :D


ps: leggevo su pcalsicuro (http://www.pcalsicuro.com/main/) che CSI blocca il rustock.c... Anche quello non l'hai? :D
PPS: comunque l'avevo fiutato che stava per uscire un nuovo Prevx... :O

ps: leggevo su pcalsicuro (http://www.pcalsicuro.com/main/) che CSI blocca il rustock.c... Anche quello non l'hai? :D:O

no :O :D

Scusate, mi permetto di intervenire.

Posso avere questi sample di Unreal.C e Unreal.D? :)

Grazie mille ;)

Ooo... quale onore :D

Ho provato ad upparli su wikisend ma ho qualche problema: dopo aver aumentato i giorni e messo la psw mi restituisce una pagina bianca :wtf:

Provo su rapidshare, purtroppo non posso mettere la password quindi non posto il link, te li mando con un MP altrimenti degasp si arrabbia.

Ciao. :)

No :D Ma comunque, appunto per questo vorrei vedere questi sample, perché dubito siano ciò che è stato indicato siano. Temo più che sia una "svista" causata dai nomi dati dalle società di antivirus che spesso non coincidono o, ancor peggio, non parlano della stessa cosa.

Mah... AntiVir me li da così:

http://img33.picoodle.com/img/img33/3/10/2/sirio/f_1m_9ce1db2.png (http://www.picoodle.com/view.php?img=/3/10/2/sirio/f_1m_9ce1db2.png&srv=img33) http://img01.picoodle.com/img/img01/3/10/2/sirio/f_2m_68dc574.png (http://www.picoodle.com/view.php?img=/3/10/2/sirio/f_2m_68dc574.png&srv=img01)

vuoi sempre che te li mandi?

:rotfl: :rotfl:


qual'è l'unreal più cattivo....? :D

[...]

Non lo so, ancora devo provare.
Posterò quello più cattivo... se non mi distrugge il PC :asd:

Mah... AntiVir me li da così:

http://img33.picoodle.com/img/img33/3/10/2/sirio/f_1m_9ce1db2.png (http://www.picoodle.com/view.php?img=/3/10/2/sirio/f_1m_9ce1db2.png&srv=img33) http://img01.picoodle.com/img/img01/3/10/2/sirio/f_2m_68dc574.png (http://www.picoodle.com/view.php?img=/3/10/2/sirio/f_2m_68dc574.png&srv=img01)

vuoi sempre che te li mandi?

Temo proprio che sia un'altra cosa :)

Comunque si, mandameli :) Grazie mille :)

Non mi pare di aver letto da nessuna parte DiabloNova (o EP_XOFF) vantarsi di questi nuovi rootkit. Già Unreal.b sembra più un mito che una realtà (eraser sicuramente potrebbe togliermi questo dubbio).
Secondo me è solo la classificazione datagli da Avira.
Sono curioso di sapere da eraser davvero di cosa si tratta. :)

Temo proprio che sia un'altra cosa :)

Comunque si, mandameli :) Grazie mille :)

Inviati.

Poi ci fai sapere? Sono molto curioso.. c'ho messo un giorno intero per trovarli.

Non mi pare di aver letto da nessuna parte DiabloNova (o EP_XOFF) vantarsi di questi nuovi rootkit. Già Unreal.b sembra più un mito che una realtà (eraser sicuramente potrebbe togliermi questo dubbio).
Secondo me è solo la classificazione datagli da Avira.
Sono curioso di sapere da eraser davvero di cosa si tratta. :)

Ciao Nuz, :)

Smanettando qua e la ho letto di un altro fantomatico unreal, per la precisione unreal.e che dovrebbe essere l'evoluzione del B. Introvabile come il B :(

Come immaginavo :)

Sono due PoC exploit, uno per Pragma FortressSSH e l'altro per Seattle Lab Telnet Server.

Non c'entrano niente con il rootkit Unreal :)

Voi un Rustock? to!
(Rustock.c, Rustock.N, Rustock.NDL, Rustock.B, Rustock.Gen.1)

Use on ur own risk !!

Password: =========

http://rapidshare.com/files/150282623/hardware.zip.html

PS: se non basta chidete......

________________________________________________________

Voi un Rustock? to!

Se ti riferisci a me, no grazie :D Ne ho le....uhm...i database pieni di Rustock :)

Comunque sì, in quel pack che hai messo tu c'è anche il vero Rustock.C, peccato che così com'è ci si faccia poco e niente :)

PS: occhio a postare link a malware con relativa password così in chiaro ;)

ehilà gavel! Hai sempre tutto pure te...

BTW, puoi rimuovere la password, per favore?

Nel primo post c'è scritta la procedura per postare i sample... se ti "tira" seguirla, basta che lo dai a qualcuno in privato, che poi lo uppa seguendo il metodo richiesto ;)

Così rischiamo che qualche lamerazzo scarichi il virus e si infetti e/o infetti altre persone :fagiano:

Se ti riferisci a me, no grazie...:D

No a te, sono per leolas gli vechii Rustock, per te un nuovo!

http://rapidshare.com/files/150296289/hardware2.zip.html

Passw: come prima..

_____________________________________________________________

Grazie Gavel! :) :D

wowww che bello rivedere tutta la banda del buco qua :D
Un salutone a tutti e soprattutto a quello che sta in Cina, Gavel stai ancora lì?

Per ora non ho tempo di virtualizzare il pc che è tra l'altro l'unico che ho a parte il giocattolino eeepc, ma vi seguirà con affetto e quando avrò un attimo magari faro qualche test.
Bravo Leo come sempre

P.S. I pallini nei primi post così belli ordinati so già chi li ha messi :D

Segnalo questa piccola chicca http://www.hbgary.com/download_flypaper.html

Segnalo questa piccola chicca http://www.hbgary.com/download_flypaper.html

Ci sei arrivato da questo post? Link (http://www.wilderssecurity.com/showpost.php?p=1324387&postcount=1)

A prescindere dalla risposta, ottima segnalazione anche se non mi stupisce dato che i tuoi interventi sono sempre costruttivi...

Ringrazio cloutz e xcdegasp per avermi aiutato a scrivere il primo post (ne hanno scritto più o meno il 70% :D), e murack, chill-out per aver contribuito in altri punti del thread.

Organizzazione Guida:

Breve Premessa, Come partecipare, Linee guida, Per chi vuole proporre i virus/malware da analizzare, Procedura di difesa, Tools e programmi utili
Virus
Test
Partecipanti
Post Vuoto


Introduzione


Breve Premessa:
Questo thread nasce dopo la constatazione dell'interesse di alcuni di noi verso la sperimentazione e lo studio di sample virali (http://www.hwupgrade.it/forum/showthread.php?t=1812356). Riteniamo infatti che, benchè i virus siano altamente pericolosi, sia altrettanto edificante conoscerli e studiarli.
Ci teniamo a sottolineare che ogni sample dopo lo studio verrà inviato ai vari laboratori di analisi degli antivirus, quindi non vi è nessuno scopo ludico dietro tutto ciò (e soprattutto non abbiamo interesse a diffondere virus, per poi dovervi curare nella sezione "Aiuto sono infetto", mi pare ovvio), ma voglia di conoscere, sperimentare e testare nuove soluzioni in ambito della sicurezza informatica.
In questo senso i test qui condotti risulteranno utili anche per constatare come le softwarehouse procedono nelle aggiunte delle firme virali, facendo analizzare più volte il sample a servizi online come VirusTotal o VirScan.


Come partecipare

Potete partecipare al progetto in due modi:

Eseguendo i test:
Leggete la procedura Linee guida– per non commettere errori


Inviando sample di virus nuovi:
Leggete la procedura: Per chi vuole proporre i virus/malware da analizzare



Linee guida – per non commettere errori.


N.B.: Questi sono virus veri, spesso non riconosciuti dalla quasi totalità degli antivirus. Qui sono elencate accortezze che vengono date per la sicurezza di tutti. Non vogliamo che si finisca per diffondere infezioni, a causa della mancata cura del tester, cosa di cui non vogliamo/possiamo esser responsabili.
Liberi di non seguirle, a vostro rischio e pericolo, ma poi non lamentatevi.



Qualunque test deve essere effettuato all’interno di una Macchina Virtuale e non sulla macchina principale che si usa tutti i giorni. Liberi di non farlo, il rischio lo correte voi.


Qualunque tipo di virtualizzatore (da Returnil, per intere partizioni, a Sandboxie, per singole applicazioni, ad immagini di sistema con AcronisTrueImage o DriveImageXML) è altamente consigliato sia in VM che sul sistema host, dato che ogni software ha i propri bug. E’ nel vostro interesse, al fine di evitare spiacevoli inconvenienti.


Chiunque parteciperà all'analisi dovrà dichiarare le metodologie che intende seguire per svolgere il test e indicare i programmi che nel corso del test possiede e saranno attivi o comunque partecipi nell'analisi pertanto prima dovrà esesre censito nell'elenco dei tester.


Chiunque effettui un test e vuole postare sul forum i propri risultati deve quanto meno utilizzare un hips e un firewall. Questo è l’equipaggiamento che consente di valutare con esattezza i movimenti e le modifiche che compie il sample:



Ogni avviso visualizzato da tali software (o comunque quelli più importanti, nei limiti delle possibilità) andrebbe catturato e postato, per una migliore comprensibilità.


Per un analisi più approfondita è opportuno controllare il file log dell’hips e magari con screenshoot mostrare gli eventi principali sempre del log.


Con il firewall si potrebbero segnalare le porte utilizzate per la connessione all’esterno, se questa avviene (anche controllare la provenienza dell’ip non sarebbe male).


Con SysInspector si rilascierà un'analisi completa del sistema da chiavi di registro, servizi e file, sia nella situazione pulita sia nella situazione con infezione completa questo ci darà modo di avere un quadro generale il più completo possibile.
Istruzioni su come generare il log:
doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)


E’ sempre opportuno far analizzare il sample a Virus Total o VirScan, per aver presente una panoramica complessiva sull’individuazione degli antivirus e la “rarità” del virus testato.


Per ultimo descrivere i problemi che si incontrano nell’utilizzo di windows ad infezione avvenuta, se possibile.


Infine pubblicare tutti i log prodotti dai programmi coinvolti nell'analisi seguendo le modalità descritte in Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), ricordarsi per sysinspector di pubblicare i due log (il "prima" e il "dopo")



Ultimo ma forse più importante: lamer & coglioni al largo.



Per chi vuole proporre i virus/malware da analizzare


I sample devono venire compressi in file zip, e bisognerà proteggerli con una password (di almeno 10 caratteri alfanumerici, maiuscoli e minuscoli)


I file *.zip devono essere inviati a http://www.wikisend.com. Prima di caricarli, è obbligatorio cliccare su Properties, aumentare i giorni di vita del file (si consiglia di impostare 30 giorni) e dove impostare una password, diversa da quella del file zip, sempre composta da almeno 10 caratteri alfanumerici, maiuscoli e minuscoli, per impedirne il download a chi è senza autorizzazione. Tutti i sample sprovvisti di password, saranno eliminati dal thread.


Alla presentazione del sample, dovrà essere inserito un link all'analisi di http://www.virustotal.com e di http://www.virscan.org. Senza queste due analisi non verranno presi in considerazione.


Ritengo opportuno anche verificare che il contenuto sia corretto tramite calcolo degli hash; in questo senso l’MD5 sarà reso pubblico nella discussione (sia del pacchetto zippato che del file in chiaro), insieme alla descrizione del virus. Questo sempre per la vostra sicurezza.


Le password saranno distribuite solo in via privata, a completa discrezione (ovviamente con cognizione di causa) di chi le possiede mettendo in copia conoscenza ogni volta il moderatore di sezione.


Ogni 3/4 giorni dovrà essere pubblicata una nuova analisi eseguita di http://www.virustotal.com e http://www.virscan.org. Questo permetterà di monitorare il grado di velocità che le software house adotteranno per includere questo sample nelle loro enciclopedie virali, ovviamente quando un sostanzioso numero di antivrius lo riconosce si smette di monitorare la situazione.


Nel post #2, verrà mantenuto un elenco aggiornato dei vari sample proposti nel thread con relativi link alle rispettive analisi.



Procedura di difesa

Ovviamente, nessuno vorrà infettarsi la partizione principale, o testare il virus senza protezioni adeguate.
Qui sotto, trovate la procedura per proteggere la vostra partizione.

Legenda:
█ Necessario
█ Consigliato
█ Utile



Installa Sandbox: Come funziona una sandbox: http://www.sandboxie.com/
Si può scegliere tra:

BufferZone (http://www.trustware.com/)
Sandboxie (http://www.sandboxie.com/)
GesWall (http://www.gentlesecurity.com/getstarted.html) SafeSpace (http://www.artificialdynamics.com/content/products/register-personal.aspx)
Core Force(beta) (http://force.coresecurity.com/)
Haute Secure (beta) (http://hautesecure.com/howitworks.aspx)



Installa una Virtual Machine: Serve a virtualizzare un sistema operativo, consentendo così di non infettare l'OS principale (NB: alcuni virus sono in grado di bypassare le VM, quindi effettuate anche i passaggi sucessivi). Bisogna quindi installare una macchina virtuale a scelta tra le sottostanti. Se avete installato anche la sanbox, installate la VM all'interno della Sandbox.
Virtual Box (free) (http://www.virtualbox.org/)
VMware (http://www.vmware.com/) Workstation (non free)
VMware (http://www.vmware.com/) Server
Virtual PC (http://www.microsoft.com/windows/downloads/virtualpc/default.mspx)



Returnil: Dato che alcuni virus sono in grado di bypassare le protezioni delle macchine virtuali, è altamente consigliato installare Returnil, ovvero un sistema di protezione che consente di riportare il sistema allo stato della sessione precedente.

Returnil (http://www.returnilvirtualsystem.com/)




In pratica, è consigliabile avere uno di quest 3 tipi di configurazione:


Hard Disk principale --> Returnil --> Sandboxie --> VM
Hard Disk principale --> Sandboxie --> VM (NOTA: Virtual PC e Sanboxie vanno in conflitto)
Hard Disk principale --> Returnil --> VM



Tools e programmi utili per eseguire il test

Non ha senso provare i sample dei virus, se non si hanno i programmi necessari per capirne il funzionamento.
Qui sotto, vi sono le 4 categorie di software consigliati per eseguire i test.

Vanno, ovviamente, installati all'interno della Virtual Machine.


HIPS: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.


Antivirus: Necessario per i test solo nel caso si voglia testare anche l'antivirus. Scegliete voi che configurazione testare.


Firewall: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.


Antispyware: Necessario per i test solo nel caso si voglia testare anche l'antispyware. Scegliete voi che configurazione testare.


SysInspector: Necessario per avere un'analisi completa del sistema da chiavi di registro, servizi e file.
DOWNLOAD (32 bit)
(http://www.eset.eu/sysinspector32_enu)DOWNLOAD (64 bit) (http://www.eset.eu/sysinspector64_enu)


Sysinternals Suite: i tool utili sono RegMon, FileMon, ProcessExplorer e TCPView. Sono (almeno in parte) informazioni visualizzabili anche con SysInspector + Firewall ecc.
DOWNLOAD (http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx)


le regole sono ben chiare, non rispettarle equivale a chiudere il thread con relativo cestinamento di tutti i messaggi contenuti ovviamente il discorso poi non si riaprirà più!

ero stato chiaro NO CAZZATE!


fino ad ora non sono passati nessun pvt, vengono uppati zip su lidi che non prioteggono da password, la password viene scritta in chiaro, non viene spedita la password in pvt con CC me..

in sostanza si chiude qui il discorso.

il thread rimarrà chiuso fino a lunedì mattina come monito.

chi propone il sample deve shararlo correttamente e nessuno si deve far carico di farlo al suo posto.
è questione di responsabilità e mantenere trasparenza in un therad di un argomento che può diventare pericoloso per chiunque

grazie per la collaborazione :)

il thread riapre ma sempre vincolato alle condizioni della massima trasparenza e massima sicurezza per non essere veicoli di infezione.. vi raccomando l'attenzione al primo posto :)

Ok xcdegasp, grazie. :)

Come immaginavo :)

Sono due PoC exploit, uno per Pragma FortressSSH e l'altro per Seattle Lab Telnet Server.

Non c'entrano niente con il rootkit Unreal :)

:( ..peccato, speravo fossero quelli giusti.

Quindi da quello che ho capito gli exploit oppure i trojan non c'entrano niente con i rootkit?
Si può dire che sono "famiglie" diverse?

Scusa la mia ignoranza e grazie anche per l'eventuale risposta. :)

wowww che bello rivedere tutta la banda del buco qua :D
Un salutone a tutti e soprattutto a quello che sta in Cina, Gavel stai ancora lì?

Per ora non ho tempo di virtualizzare il pc che è tra l'altro l'unico che ho a parte il giocattolino eeepc, ma vi seguirà con affetto e quando avrò un attimo magari faro qualche test.
Bravo Leo come sempre

P.S. I pallini nei primi post così belli ordinati so già chi li ha messi :D

Ciao Romagnolo, :)
quando vuoi/puoi, siamo qui che ti aspettiamo... con molto piacere.

Segnalo questa piccola chicca http://www.hbgary.com/download_flypaper.html

Ho dato una letta veloce, secondo te si puo installare anche senza la VM? O può comportare problemi?
Scusa se ho scritto eventuali stronxxte, ma non ho approfondito.

PC dedicato per i test:


Windows XP sp3
Returnil Virtual System 2008 premium edition
Real-Time Defender Professional 1.0
Jetico Personal Firewall 2
SysInspector



MD5: c074384af50971632df88de847c89233

Analisi su Virus Total: http://www.virustotal.com/analisis/05e93eeb42b26b6474e6db558fb7ad06

Analisi su ThreatExpert: http://www.threatexpert.com/report.aspx?md5=c074384af50971632df88de847c89233

Descrizione: Finto antivirus che in realtà si occupa di scaricare altro malware. Credo sia uno dei malware tanto in voga in questo periodo.

Iniziando AntiVir lo riconosce subito come: http://img33.picoodle.com/img/img33/3/10/5/sirio/t_1m_547e1c1.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_1m_547e1c1.png&srv=img33) disabilito la protezione in tempo reale per poter terminare il test.

Avviando malware.exe appare l'avviso di Real-Time Defender (HIPS) per far partire il setup del finto Antivirus http://img01.picoodle.com/img/img01/3/10/5/sirio/t_2m_7386580.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_2m_7386580.png&srv=img01) e subito dopo Jetico Personal Firewall 2 ci avvisa del Process Attack, http://img29.picoodle.com/img/img29/3/10/5/sirio/t_31m_5d0b8fe.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_31m_5d0b8fe.png&srv=img29) http://img37.picoodle.com/img/img37/3/10/5/sirio/t_41m_cd654fb.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_41m_cd654fb.png&srv=img37)

confermo anche questi e finalmente mi appare l'interfaccia grafica dell'installer, http://img28.picoodle.com/img/img28/3/10/5/sirio/t_5m_21ff849.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_5m_21ff849.png&srv=img28) cliccando sul tasto continue http://img29.picoodle.com/img/img29/3/10/5/sirio/t_61dopoclicsm_f01283b.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_61dopoclicsm_f01283b.png&srv=img29)

Ho avuto anche 3 richieste uguali da parte di JPF2, per guardgui.exe (pop-up di AntiVir quando rileva un virus), http://img28.picoodle.com/img/img28/3/10/5/sirio/t_7m_56a79fa.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_7m_56a79fa.png&srv=img28), secondo me non c'entrano niente con il malware, ma dipendono appunto dalla GUI del guard in real time di AntiVir (questo perché JPF2 segnala gli accessi indiretti, ed io, prima d'ora non avervo mai avuto l'occasione di applicare a guardgui.exe in JPF2, tali accessi. Ecco il perché di queste richieste).

Sempre JPF2 mi rileva l'accesso alla rete da parte di malware.exe e a ruota lo segue anche RTD http://img32.picoodle.com/img/img32/3/10/5/sirio/t_10m_12b7c71.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_10m_12b7c71.png&srv=img32) http://img27.picoodle.com/img/img27/3/10/5/sirio/t_11m_2ea85f0.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_11m_2ea85f0.png&srv=img27)

poi l'accesso indiretto del malware http://img37.picoodle.com/img/img37/3/10/5/sirio/t_12m_5052383.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_12m_5052383.png&srv=img37) e la connessione verso l'IP 84.16.252.138 (vassariumbig.com) sulla porta 80 http://img29.picoodle.com/img/img29/3/10/5/sirio/t_13m_d57d0e5.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_13m_d57d0e5.png&srv=img29), la creazione di av_2009.exe http://img27.picoodle.com/img/img27/3/10/5/sirio/t_16m_6d0b820.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_16m_6d0b820.png&srv=img27) e la sua scrittura http://img34.picoodle.com/img/img34/3/10/5/sirio/t_201m_19614cf.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_201m_19614cf.png&srv=img34) che continua fino alla fine del setup.

Nel frattempo possiamo notare la connessione attiva del malware verso http://img29.picoodle.com/img/img29/3/10/5/sirio/t_211m_2340861.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_211m_2340861.png&srv=img29)

Continuando http://img29.picoodle.com/img/img29/3/10/5/sirio/t_22m_695a8d1.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_22m_695a8d1.png&srv=img29) http://img01.picoodle.com/img/img01/3/10/5/sirio/t_23m_a0f8635.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_23m_a0f8635.png&srv=img01) http://img02.picoodle.com/img/img02/3/10/5/sirio/t_24m_ba213cc.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_24m_ba213cc.png&srv=img02)
http://img33.picoodle.com/img/img33/3/10/5/sirio/t_25m_ab3db75.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_25m_ab3db75.png&srv=img33) http://img02.picoodle.com/img/img02/3/10/5/sirio/t_26m_ccbd737.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_26m_ccbd737.png&srv=img02) http://img37.picoodle.com/img/img37/3/10/5/sirio/t_27m_009e02a.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_27m_009e02a.png&srv=img37)

Continua nel post seguente.

http://img01.picoodle.com/img/img01/3/10/5/sirio/t_28m_30d49f6.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_28m_30d49f6.png&srv=img01) http://img03.picoodle.com/img/img03/3/10/5/sirio/t_29m_e1f43a8.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_29m_e1f43a8.png&srv=img03) http://img33.picoodle.com/img/img33/3/10/5/sirio/t_30m_0886e01.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_30m_0886e01.png&srv=img33)

http://img33.picoodle.com/img/img33/3/10/5/sirio/t_31m_b9cd992.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_31m_b9cd992.png&srv=img33) http://img37.picoodle.com/img/img37/3/10/5/sirio/t_32m_67bfa73.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_32m_67bfa73.png&srv=img37) http://img02.picoodle.com/img/img02/3/10/5/sirio/t_33m_20a4049.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_33m_20a4049.png&srv=img02)

http://img29.picoodle.com/img/img29/3/10/5/sirio/t_34m_0672ce5.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_34m_0672ce5.png&srv=img29) http://img29.picoodle.com/img/img29/3/10/5/sirio/t_35m_33e6c26.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_35m_33e6c26.png&srv=img29) http://img29.picoodle.com/img/img29/3/10/5/sirio/t_36m_e801bc8.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_36m_e801bc8.png&srv=img29)

http://img37.picoodle.com/img/img37/3/10/5/sirio/t_37m_d47b90d.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_37m_d47b90d.png&srv=img37) qui, dopo l'avvio del falso antivirus 2009 ho avuto un'altra richiesta di connessione verso l'IP 216.240.134.211 sempre sulla porta 80 http://img01.picoodle.com/img/img01/3/10/5/sirio/t_38m_ab23f1f.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_38m_ab23f1f.png&srv=img01)

seguita da un'altra ancora verso l'IP 89.18.189.44 porta 80 http://img37.picoodle.com/img/img37/3/10/5/sirio/t_39m_7354734.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_39m_7354734.png&srv=img37) http://img03.picoodle.com/img/img03/3/10/5/sirio/t_40m_957c90d.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_40m_957c90d.png&srv=img03)

Continua nel prossimo post

Possiamo notare il finto Windows Security Center con l'iconcina in basso, nella systray. Guardando attentamente l'icona accanto all'orologio e il security center, ci si accorge che sono un'imitazione, non sono perfetti, ma una buona imitazione http://img02.picoodle.com/img/img02/3/10/5/sirio/t_41m_dfc40ee.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_41m_dfc40ee.png&srv=img02) possiamo vedere anche il pop-up del falso antivirus che ci dice di aver rilevato dei virus :rolleyes:

Il malware richiede i permessi per poter funzionare http://img01.picoodle.com/img/img01/3/10/5/sirio/t_42m_a20668b.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_42m_a20668b.png&srv=img01) http://img02.picoodle.com/img/img02/3/10/5/sirio/t_43m_b73e5db.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_43m_b73e5db.png&srv=img02)

Il programma malevolo continua a "scassare" the balls vuole farci scaricare altro malware, http://img33.picoodle.com/img/img33/3/10/5/sirio/t_44m_d761f62.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_44m_d761f62.png&srv=img33) e cliccando su: "Remove all threats now" ci fa vedere questi fantomatici virus http://img29.picoodle.com/img/img29/3/10/5/sirio/t_46m_aa49a15.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_46m_aa49a15.png&srv=img29)

Cliccando poi sul tasto Remove ci appare un pop-up per la registrazione, http://img32.picoodle.com/img/img32/3/10/5/sirio/t_47m_401a01f.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_47m_401a01f.png&srv=img32) ma... inserendo un indirizzo e-mail, risponde con questo errore http://img03.picoodle.com/img/img03/3/10/5/sirio/t_49m_ac53acc.png (http://www.picoodle.com/view.php?img=/3/10/5/sirio/f_49m_ac53acc.png&srv=img03).

Morale della favola? Fate molta attenzione a quello che installate, l'inganno è sempre dietro l'angolo. :sofico:

________________________________________________________________

@ xcdegasp

Anche solo la comparazione dei log di SysInspector, è piena di informazioni personali che vanno dal nome del computer al mio IP, quindi non la pubblico.

Come potremmo risolvere questo problema?

- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili. :doh:

-poi fare lo steso test con "Rustock.B" .

-poi ti mando degli altri bei esemplari.

@ xcdegasp

Anche solo la comparazione dei log di SysInspector, è piena di informazioni personali che vanno dal nome del computer al mio IP, quindi non la pubblico.

Come potremmo risolvere questo problema?

ilnomeutente e nome del computer non ti compromettono di certo nulla a riguardo di "sicurezza", mentre come privacy credo che un nome non sia così da proteggere in maniera fervida sopratutto a discapito di dati relativi a test eseguiti su macchina virtuale :p

la soluzione è ovvia, basta che in quella virtual machine imposti l'utente a essere YYYYY e il nome del pc XXXXXXX ....

...
-poi fare lo steso test con "Rustock.B" ...

se intendi quelli della definizione data grazie al contributo di GmG, bene:

stai mica scherzando? ;)


(PS, ora RTD..) li previene agile, ma agile agile, guarda...al punto che se dovessero esservi problemi, la causa sarebbe solo un qualche conflitto con JPF2.


Stai sicuro sulle mie sicurezze...;)

Detto questo, ti saluto calorosamente:
gli scambi di vedute mi son sempre piaciuti...:)

- dio mio qunti popup...
senza nulla togliere ovviamente allo sforzo di @Sirio@, mi sembra effettivamente che la consultazione abbia un grado di fruibilità prossima allo 0...

Questi "esperimenti", infatti, o si fanno con i Log (delle azioni bloccate, visto che quelle permesse solitamente NON sono registrate...), o con Log + *qualche* screen *cruciale*...

Riprendere ogni singolo pop-up, infatti, rende particolarmente faticosa l'eventuale consultazione...

IMO...

Ho dato una letta veloce, secondo te si puo installare anche senza la VM? O può comportare problemi?
Scusa se ho scritto eventuali stronxxte, ma non ho approfondito.

Si fallo girare in VM

- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili. :doh:

-poi fare lo steso test con "Rustock.B" .

-poi ti mando degli altri bei esemplari.

Se parli di quello che sta nel pacchetto inviato da te qualche giorno fa... certo che posso. :D

Aspetto gli altri esemplari..:D

:( ..peccato, speravo fossero quelli giusti.

Quindi da quello che ho capito gli exploit oppure i trojan non c'entrano niente con i rootkit?
Si può dire che sono "famiglie" diverse?

Scusa la mia ignoranza e grazie anche per l'eventuale risposta. :)

No, spe :) C'hai un po di confusione :)

I rootkit sono una determinata infezione, i trojan sono un'altra determinata infezione e gli exploit sono semplicemente dei codici che sfruttano delle falle a livello di codice di alcuni programmi per eseguire del codice arbritrario.

Quei file che sono denominati come Exp/unreal.D da Avira sono dei file che sfruttano delle falle nei programmi che ho scritto nel post precedente per avere accesso da remoto al server dove sono installati.

imho quel test in ogni caso è spettacolare :sofico:

Quante ore ci hai messo a farlo? :eek:

Adesso lo aggiungo al post in prima pagina. :)


--edit: anzi no, lo aggiungo dopo perchè devo anche modificare la struttura del post :fagiano:

ilnomeutente e nome del computer non ti compromettono di certo nulla a riguardo di "sicurezza", mentre come privacy credo che un nome non sia così da proteggere in maniera fervida sopratutto a discapito di dati relativi a test eseguiti su macchina virtuale :p

la soluzione è ovvia, basta che in quella virtual machine imposti l'utente a essere YYYYY e il nome del pc XXXXXXX ....

:rolleyes: ...ehmmm, non so come spiegartelo, io non ho potuto installare la Virtual Machine. Il mio vecchio macinino (Pentium II con 288 MB di ram) non ce la fa nemmeno a farla partire...:stordita:
Quindi ho fomattato e installato XP sp3, AntiVir, RTD, JPF2, SysInspector, Browser, ecc. insomma solo i programmi essenziali per i test. Nessuna informazione che mi riguarda, a parte l'IP.
Questo PC lo uso solo per navigare e fare i test.
Cmq, riguardo ai log di SysInspector oltre al nome del PC ci sono gli IP... non è che ho qualcosa da nascondere, solamente non voglio pubblicare appunto il mio IP.
Forse potrei fare degli screen anche di quelli, o un file txt cancellando quello che mi interessa, però ci vuole altro tempo... e come si dice? Il tempo vale oro... soprattutto per me, come tu sai :D

No, spe :) C'hai un po di confusione :)

I rootkit sono una determinata infezione, i trojan sono un'altra determinata infezione e gli exploit sono semplicemente dei codici che sfruttano delle falle a livello di codice di alcuni programmi per eseguire del codice arbritrario.

Quei file che sono denominati come Exp/unreal.D da Avira sono dei file che sfruttano delle falle nei programmi che ho scritto nel post precedente per avere accesso da remoto al server dove sono installati.

Grazie eraser :)
si in effetti ho un pò di confusione :fagiano: ..alimentata anche dagli ultimi avvenimenti.
Adesso, grazie alla tua spiegazione ho un poco più chiare le cose. ;)

se intendi quelli della definizione data grazie al contributo di GmG, bene:

stai mica scherzando? ;)


(PS, ora RTD..) li previene agile, ma agile agile, guarda...al punto che se dovessero esservi problemi, la causa sarebbe solo un qualche conflitto con JPF2.


Stai sicuro sulle mie sicurezze...;)

Detto questo, ti saluto calorosamente:
gli scambi di vedute mi son sempre piaciuti...:)


senza nulla togliere ovviamente allo sforzo di @Sirio@, mi sembra effettivamente che la consultazione abbia un grado di fruibilità prossima allo 0...

Questi "esperimenti", infatti, o si fanno con i Log (delle azioni bloccate, visto che quelle permesse solitamente NON sono registrate...), o con Log + *qualche* screen *cruciale*...

Riprendere ogni singolo pop-up, infatti, rende particolarmente faticosa l'eventuale consultazione...

IMO...

Mio maestro..:D "è colpa tua" se mi è venuta la passione per i test. :p ;)

I log non li ho messi perché non ho negato niente, ho accettato tutte le richieste per vedere cosa succedeva. Gli screen sono consequenziali (ma esiste sta parola? :D ). Forse ci vuole un pò per vederli tutti.. e nonostante ci vogliano ore per preparare e postare il tutto, ho deciso così per far capire agl'inesperti come me ogni fase del processo.

Scherzosamente ti ho chiamato "maestro"... ma è vero: nei tuoi test riesci ad evidenziare (per me in maniera spettacolare) e a postare solo quello necessario per far capire chi ti legge. Però, io tante volte fatico a starti dietro, perché posti appunto, solo l'essenziale, ma l'essenziale che presuppone delle basi che io non ho.
Non so se sono riuscito a spiegarmi... lo spero. :)

Si fallo girare in VM

....:stordita: come dicevo a degasp niente VM, per quello ti chiedevo se è possibile o ha qualche utilità installarlo senza la VM.

imho quel test in ogni caso è spettacolare :sofico:

Quante ore ci hai messo a farlo? :eek:

Adesso lo aggiungo al post in prima pagina. :)


--edit: anzi no, lo aggiungo dopo perchè devo anche modificare la struttura del post :fagiano:

:yeah:
Grazie leo, c'è voluto un bel pò... però a noi (comuni mortali o :fagiano: ) ci piacciono ste cose.

Leo non riesco ad uppare su wikisend... devo avere qualche problema, riprovo appena posso altrimenti lo mando a te.

....:stordita: come dicevo a degasp niente VM, per quello ti chiedevo se è possibile o ha qualche utilità installarlo senza la VM.

ops.....avevo letto male, diciamo che per caratteristiche in VM è meglio

HBGary Flypaper is designed to be used with a virtual machine. Once activated, Flypaper will also block network traffic to and from the machine.

puoi utilizzarlo anche senza

*EDITATO*

:rolleyes: ...ehmmm, non so come spiegartelo, io non ho potuto installare la Virtual Machine. Il mio vecchio macinino (Pentium II con 288 MB di ram) non ce la fa nemmeno a farla partire...:stordita:
Quindi ho fomattato e installato XP sp3, AntiVir, RTD, JPF2, SysInspector, Browser, ecc. insomma solo i programmi essenziali per i test. Nessuna informazione che mi riguarda, a parte l'IP.
Questo PC lo uso solo per navigare e fare i test.
Cmq, riguardo ai log di SysInspector oltre al nome del PC ci sono gli IP... non è che ho qualcosa da nascondere, solamente non voglio pubblicare appunto il mio IP.
Forse potrei fare degli screen anche di quelli, o un file txt cancellando quello che mi interessa, però ci vuole altro tempo... e come si dice? Il tempo vale oro... soprattutto per me, come tu sai :D

c'è solo ip locale (192.168.1.X) e ip dei dns,credo che non ci sia nessun problema per questi dati (voglio sperare che sia un router perchè fose un modem-usb ci si chiederebbe che cosa ci fa connesso)..
dovresti già averli osservati questi dati non capisco cosa ci sia di "utile" per un guardone.
ma dalla forzature credo che nemmeno lo hai spulciato il log prodotto..

*EDITATO*

Ieri non ho fatto in tempo a risponderti..

Io lo trovavo interessante, come tutti i tuoi interventi del resto. Mi hai fatto fare pure 2 risate.

Cmq hai ragione sul limite di eseguire il test acconsentendo a tutte le richieste, e anche riguardo la "lentezza" di alcuni post, ma sono un apprendista... spero di migliorare col tempo.
Fino a ieri non sapevo nemmeno la differenza tra un exploit ed un rootkit, oggi non la so ancora :D però grazie a eraser ho capito che c'è una bella differenza, vedrò di studiare di più.
Vorrei che continuassi (se hai tempo e voglia) a postare le tue critiche/suggerimenti riguardo i test che io o altri possiamo fare.

Ciao "enne" :)

c'è solo ip locale (192.168.1.X) e ip dei dns,credo che non ci sia nessun problema per questi dati (voglio sperare che sia un router perchè fose un modem-usb ci si chiederebbe che cosa ci fa connesso)..
dovresti già averli osservati questi dati non capisco cosa ci sia di "utile" per un guardone.
ma dalla forzature credo che nemmeno lo hai spulciato il log prodotto..

Credi male, l'ho spulciato il log ed è proprio per questo che "forzo".. cmq c'è proprio il mio IP reale con i DNS.
Perché dici: "se fosse un modem USB ci si chiederebbe cosa ci fa connesso". Non capisco, è pericoloso?

Ciao "enne" :)
ciao anche a te! :)
...Mi hai fatto fare pure 2 risate....
ti era piaciuta la metafora sui volatili? :p
Fino a ieri non sapevo nemmeno la differenza tra un exploit ed un rootkit, oggi non la so ancora :D
questa è da guinness...:sbonk:
Mi hai regalato buon umore, grazie! :p

....

Sul capitolo critiche:
è giusto che portiate avanti il metodo di lavoro che avete stabilito di comune accordo a prescindere dai miei gusti personali...


Mi piacerebbe peraltro vedere testata roba più "tossica" (le fonti di approvvigionamento non dovrebbero mancarvi)...




PS:
(anche se ormai un pò datati), ti giro via pvt il link ai rootkit discussi da fcukdat qui! (http://www.dslreports.com/forum/r19621162-One-in-Five-PCs-Infected-With-Rootkits~start=40) nella sua comparativa poi, se interessa, provvederai a shararli nei modi opportuni agli altri tester...

ops.....avevo letto male, diciamo che per caratteristiche in VM è meglio



puoi utilizzarlo anche senza

Grazie :) ..lo proverò

Grazie :) ..lo proverò

Ok fammi sapere che ne pensi ;)

ciao anche a te! :)

ti era piaciuta la metafora sui volatili? :p

questa è da guinness...:sbonk:
Mi hai regalato buon umore, grazie! :p

....

Sul capitolo critiche:
è giusto che portiate avanti il metodo di lavoro che avete stabilito di comune accordo a prescindere dai miei gusti personali...


Mi piacerebbe peraltro vedere testata roba più "tossica" (le fonti di approvvigionamento non dovrebbero mancarvi)...




PS:
(anche se ormai un pò datati), ti giro via pvt il link ai rootkit discussi da fcukdat qui! (http://www.dslreports.com/forum/r19621162-One-in-Five-PCs-Infected-With-Rootkits~start=40) nella sua comparativa poi, se interessa, provvederai a shararli nei modi opportuni agli altri tester...

Vedrò di provare con le "cosine" che mi hai mandato :D

grazie ancora per tutto.

Credi male, lo spulciato il log ed è proprio per questo che "forzo".. cmq c'è proprio il mio IP reale con i DNS.
Perchè dici: "se fosse un modem USB ci si chiederebbe cosa ci fa connesso". Non capisco, è pericoloso?

perchè non ti serve che sia connesso.. devi fare un test mica navigare, a maggior ragione se ti sta così a cuore il tuo ip puoi staccare il modem...

perchè non ti serve che sia connesso.. devi fare un test mica navigare, a maggior ragione se ti sta così a cuore il tuo ip puoi staccare il modem...

Si capisco, però faccio i test connesso per vedere cosa fa il malware, dove vuole connettersi.
Troverò una soluzione e al prossimo test cercherò di mettere anche i log (ripuliti).

Ripeto!
Il modo migliore per gli utenti - fermare a credere in favole da AV società e iniziate a pensare con la propria testa!

Come non ho mai detto niente che non poso confermare! :asd:

Trovato un puo di tempo per fare esempio:

-test con "eicar.com" (www.eicar.org) anti_virus_test_file.
VirusTotal mostra questo, fiuuuu
http://www.virustotal.com/analisis/f51ae281f7a3af439218f8f33602b1ca

Trasformando "eicar.com" con C++ in "eicar.exe"
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/6154ad49d7fba7cca4e6c30ce07f1485

Protegendo "eicar.exe" con "Yoda" Crypter
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/bc8e3a3bc0a808f6667f921d384e0472

Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa ;)
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica.:asd: (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).:asd: :asd:

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

sul
"voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere",
discorso che poi è l'unico sul quale mi sentirei di rispondere, direi
SI!, e non vedo onestamente neppure di cosa stupirsi... [come peraltro mostrato qui! (http://www.dslreports.com/forum/r19621162-One-in-Five-PCs-Infected-With-Rootkits~start=40) dove si parla appunto di Rootkit *attivi*, o in n-altre prove che coinvolgono anche altri prodotti (RootRepeal (http://www.hwupgrade.it/forum/showpost.php?p=23492881&postcount=1), ad es...)
Se scorri peraltro il link al TU di RR che si trova nel mio post, trovi anche "la storia" di questo software, e cioè come è via via maturato nel tempo per arrivare a "decifrare" trucchi e amenità varie che rendevano altrimenti difficile (se non impossibile) lo smascheramento di certi sample...]

Non vedo onestamente neppure di cosa stupirsi, dicevo, anche perchè gira e rigira le *famiglie* di Rootkit attualmente esistenti sono in numero finito, segno del fatto che *non è* cosi' banale costruire ex-novo tecnologie tese a sovvertire l'OS...

E poichè ogni famiglia fà leva su "trucchi comuni" per riuscire nel suo intento, ecco che "se si sa dove guardare", si riuscirà "a vedere" indipendentemente dalla variante in oggetto...



Questo, almeno, mi dice la logica e quel poco che ho capito scartabellando on line...


*OT*:
approfitto della visibilità di cui gode questo thread per segnalare che mi sentirei in grado di spendere 2 parole anche su questo discorso (clicca (http://www.wilderssecurity.com/showthread.php?t=221621)), per lo meno per RTD che, anche sotto questo punto di vista, trovo semplicemente avanti...
Pur consapevole delle energie che disperdo ogni volta che cerco di addentrarmi su certe tematiche, dove eventualmente discuterne lo sappiamo...

Ripeto!
Il modo migliore per gli utenti - fermare a credere in favole da AV società e iniziate a pensare con la propria testa!

Come non ho mai detto niente che non poso confermare! :asd:

Trovato un puo di tempo per fare esempio:

-test con "eicar.com" (www.eicar.org) anti_virus_test_file.
VirusTotal mostra questo, fiuuuu
http://www.virustotal.com/analisis/f51ae281f7a3af439218f8f33602b1ca

Trasformando "eicar.com" con C++ in "eicar.exe"
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/6154ad49d7fba7cca4e6c30ce07f1485

Protegendo "eicar.exe" con "Yoda" Crypter
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/bc8e3a3bc0a808f6667f921d384e0472

Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa ;)
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica.:asd: (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).:asd: :asd:

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

Ma fammi capire, ma tu dov'eri tutti questi anni di test e comparative internazionali, pagine e pagine di ricerca su come fare i test dei software antivirus? :asd:

Cavolo, se c'eri tu si era risolto tutto molto più velocemente e facilmente :asd: E pure in maniera più affidabile :asd:

Come al solito si dorme....Ho letto questo articolo http://www.megalab.it/3542 e ho deciso di scaricare il rogue software stopzilla e di farlo analizzare, ecco il risultato: http://www.virustotal.com/it/analisis/a9abe03c131a9f753e79c91abd70b48e :muro:

come dice e illustra l'articolo non è un veicolo di infezione bensì un programma dalla totale inutilità, viene pure precisato che si disinstalla con il suo unistaller.
che pretendevi che facessero gli antivirus con il tuo exe uppato? :read: :asd:

"In realtà il software si comporta esattamente come un rogue software (ossia uno di quei falsi programmi che tentano di installarsi nel computer facendoti credere che il computer sia veramente infetto da virus, spyware, adware, ecc. Successivamente si viene invitati ad acquistare il software per eliminare le minacce rilevate, che naturalmente non ci sono!) tipo Antivirus XP 2008 e ToolSicuro, per citarne due dei più conosciuti."

Rimango della mia opinione, gli antivirus hanno falito, ancorpiù gli antispyware...

Se non è un programma malevolo questo allora mi sa che non ho capito (e su questo non c'è dubbio :D )

Ti quoto

[OT]
Anchio una sera che non sapevo che fare partendo dagli annunci google di questa pagina :eek: l'ho scaricato e già a naso mi puzzava e il report di VT mi ha lasciato molto perplesso. Però mica mi sono fidato ad eseguirlo.

Ma poi è possibile che gli installer fraudolenti, quelli che ti chiedono di chiamare un 899 per scaricare un software gratuito per capirci, non vengano rilevati dagli AV come fraudolent/installer?

[\OT]

"In realtà il software si comporta esattamente come un rogue software (ossia uno di quei falsi programmi che tentano di installarsi nel computer facendoti credere che il computer sia veramente infetto da virus, spyware, adware, ecc. Successivamente si viene invitati ad acquistare il software per eliminare le minacce rilevate, che naturalmente non ci sono!) tipo Antivirus XP 2008 e ToolSicuro, per citarne due dei più conosciuti."

Rimango della mia opinione, gli antivirus hanno falito, ancorpiù gli antispyware...

Se non è un programma malevolo questo allora mi sa che non ho capito (e su questo non c'è dubbio :D )

si comporta da programma inutile, tutti gkli altri rogue ti portano volontariamente il pc a essere instabile daneggiando ilr egistro di sistema o comunque editandolo, a interrompere servizi a inserire restrizioni per l'utente tipo impossibilità di accedere al pannello di controllo per disinstallare ecc...
questo invece non accade con stopzilla per questo non è considerato pericolo e da bloccare dall'antivirus.

semmai sarebbe carico dell'antispyware ma non di certo di un antivirus :)

Ripeto!
Il modo migliore per gli utenti - fermare a credere in favole da AV società e iniziate a pensare con la propria testa!

Come non ho mai detto niente che non poso confermare! :asd:

Trovato un puo di tempo per fare esempio:

-test con "eicar.com" (www.eicar.org) anti_virus_test_file.
VirusTotal mostra questo, fiuuuu
http://www.virustotal.com/analisis/f51ae281f7a3af439218f8f33602b1ca

Trasformando "eicar.com" con C++ in "eicar.exe"
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/6154ad49d7fba7cca4e6c30ce07f1485

Protegendo "eicar.exe" con "Yoda" Crypter
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/bc8e3a3bc0a808f6667f921d384e0472

Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa ;)
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica.:asd: (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).:asd: :asd:

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

:mbe:
Io non ho capito... cosa volevi dimostrare?
L'inefficacia degli antivirus?
Bhè io spero di toglierlo un giorno, affidandomi solo all'HIPS e al Firewall. :D

Ciao gavel ;)

Ok fammi sapere che ne pensi ;)

http://img02.picoodle.com/img/img02/3/10/13/sirio/f_Flypaperm_efb6b24.png (http://www.picoodle.com/view.php?img=/3/10/13/sirio/f_Flypaperm_efb6b24.png&srv=img02)

Ciao Chill-Out :)
l'ho provato, però almeno per me, sinceramente non ne vedo l'utilità: preferisco usare il firewall per bloccare, negare o accettare il traffico di dati.

Forse devo capire meglio... forse, anzi sicuramente, come mi hanno scritto è più utile se usato insieme a HBGary Responder.

Flypaper will be much more useful if you use it in conjunction with HBGary Responder.
Flypaper will cause malware (and malware droppers) to "stick" in memory.
Then with Responder you can analyze the vmware memory image (.vmem file) and extract the malware binaries for analysis and reverse engineering.

Tu lo hai provato? Mi sai dire qualcosa in più?

[...]

*OT*:
approfitto della visibilità di cui gode questo thread per segnalare che mi sentirei in grado di spendere 2 parole anche su questo discorso (clicca (http://www.wilderssecurity.com/showthread.php?t=221621)), per lo meno per RTD che, anche sotto questo punto di vista, trovo semplicemente avanti...
Pur consapevole delle energie che disperdo ogni volta che cerco di addentrarmi su certe tematiche, dove eventualmente discuterne lo sappiamo...

Bhè, io mi sono sempre fidato dell'install mode del D+, come anche di quello di RTD.
Dalla poca esperienza fatta, ho potuto notare che anche mettendo in install mode gli HIPS (per lo meno questi due che ho citato) questi, per alcune modifiche "critiche" (comportamenti tipici dei malware) ci avvisano comunque e richiedono una nostra conferma, a differenza del learning mode, che impara e memorizza qualsiasi operazione.

Sinceramente non so se ho capito bene. La curiosità di bellgamin è rivolta al controllo che hanno gl'HIPS in install mode?

Ciao nV 25 :)

- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili. :doh:

-poi fare lo steso test con "Rustock.B" .

-poi ti mando degli altri bei esemplari.

Aspetto gli altri esemplari :p :D

Intanto eccoti il Rustock.B che hai mandato.

Windows XP sp3
Returnil Virtual System 2008 premium edition
Real-Time Defender Professional 1.0
Jetico Personal Firewall 2
A-SQUARED ANTIMALWARE 4
SysInspector


MD5: 60f7ae2098b2d58869d021e441d2c90e

Analisi su Virustotal: http://www.virustotal.com/analisis/e712e10d443d489d2ace93c4a0c98c6d

Analisi su threatexpert: http://www.threatexpert.com/report.aspx?md5=60f7ae2098b2d58869d021e441d2c90e

Descrizione: Trojan.Mailbot è un trojan che funziona usando tecniche furtive per nascondersi su un PC infetto. In particolare, include funzionalità di rootkit che gli permettono di rimanere completamente invisibile all'utente. Una volta che è stato installato con successo su un computer, questo Trojan eseguirà spamming di massa, consumando e congestionando la larghezza di banda di rete disponibile.

Al momento dell'estrazione del file AntiVir lo riconosce così http://img28.picoodle.com/img/img28/3/10/19/sirio/t_1m_c71e54d.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_1m_c71e54d.png&srv=img28) disabilito il real-time di Avira e dopo aver dato l'Allow per l'avvio di malware.exe a RTD, mi avvisa anche A-Squared Antimalware 4 http://img32.picoodle.com/img/img32/3/10/19/sirio/t_4m_6d428f1.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_4m_6d428f1.png&srv=img32) questo sarà l'unico ed ultimo avviso di A-Squared 4.

Continuo dando i vari assensi a RTD e JPF2... possiamo vedere l'installazione del servizio http://img27.picoodle.com/img/img27/3/10/19/sirio/t_7m_eca5e29.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_7m_eca5e29.png&srv=img27) la creazione del file bot.log, http://img27.picoodle.com/img/img27/3/10/19/sirio/t_9m_c86bbdd.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_9m_c86bbdd.png&srv=img27) la sua scrittura, http://img01.picoodle.com/img/img01/3/10/19/sirio/t_10m_c2bb845.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_10m_c2bb845.png&srv=img01)

=====>> http://img02.picoodle.com/img/img02/3/10/19/sirio/t_13m_68513e7.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_13m_68513e7.png&srv=img02) ====>> http://img37.picoodle.com/img/img37/3/10/19/sirio/t_14m_98a4048.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_14m_98a4048.png&srv=img37)

accetto anche le richieste successive e il malware chiede la connessione http://img32.picoodle.com/img/img32/3/10/19/sirio/t_17m_a510fed.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_17m_a510fed.png&srv=img32) ===>> http://img01.picoodle.com/img/img01/3/10/19/sirio/t_20m_dd0e24b.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_20m_dd0e24b.png&srv=img01) ===>> http://img03.picoodle.com/img/img03/3/10/19/sirio/t_27m_4c51a22.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_27m_4c51a22.png&srv=img03)

===>> http://img32.picoodle.com/img/img32/3/10/19/sirio/t_39m_34cf444.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_39m_34cf444.png&srv=img32) ===>> http://img27.picoodle.com/img/img27/3/10/19/sirio/t_40m_1896ec4.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_40m_1896ec4.png&srv=img27) ===>> http://img27.picoodle.com/img/img27/3/10/19/sirio/t_41m_6acdb8f.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_41m_6acdb8f.png&srv=img27) ===>> http://img27.picoodle.com/img/img27/3/10/19/sirio/t_42m_bc89c87.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_42m_bc89c87.png&srv=img27)

continua nel post successivo

poi la cosa si ripete all'infinito... di nuovo la richiesta di accesso alla rete da parte di services.exe, la scrittura di bot.log, ancora la richiesta di accesso alla rete per services.exe http://img01.picoodle.com/img/img01/3/10/19/sirio/t_51m_6463fb6.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_51m_6463fb6.png&srv=img01) ===>> http://img37.picoodle.com/img/img37/3/10/19/sirio/t_54m_d244908.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_54m_d244908.png&srv=img37) ===>> http://img34.picoodle.com/img/img34/3/10/19/sirio/t_571m_5fccd70.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_571m_5fccd70.png&srv=img34) ===>> http://img37.picoodle.com/img/img37/3/10/19/sirio/t_591m_43f0dcc.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_591m_43f0dcc.png&srv=img37)
visto che la cosa si ripeteva ho chiuso la connessione e avviato SysInspector, il malware intanto http://img33.picoodle.com/img/img33/3/10/19/sirio/t_66m_6b9e339.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_66m_6b9e339.png&srv=img33) finita l'analisi http://img34.picoodle.com/img/img34/3/10/19/sirio/t_67m_c31d208.png (http://www.picoodle.com/view.php?img=/3/10/19/sirio/f_67m_c31d208.png&srv=img34)

Come possiamo vedere dal rapporto di analisi di www.threatexpert.com, molto chiaro e dettagliato, mi aspettavo accadesse qualcos'altro, tipo il download e la creazione di ICQLite.log... ma niente da fare :( forse dovevo continuare, oppure la configurazione di Jetico che ho, lo impediva :boh:

Parola a voi... che ne pensate?

[...]
Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa ;)
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica.:asd: (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).:asd: :asd:

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

EICAR è il classico esempio di pseudo-"virus" rilevabile con le firme, e visto che non fa nulla, mi sembra normale che l'euristica nn intervenga.

EICAR è il classico esempio di pseudo-"virus" rilevabile con le firme, e visto che non fa nulla, mi sembra normale che l'euristica nn intervenga.

Il discorso è nato perché ogni casa di antivirus, assegna nomi diversi agli stessi malware.

Forse gavel voleva sottolineare l'inefficacia degli antivirus... e, come anche usando lo stesso virus leggermente modificato, questi non riescano a rilevarlo facilmente.

Se questo è il suo pensiero io sono d'accordo con lui. Oggi per avere una buona protezione, oltre l'antivirus dovremmo imparare bene ad usare il firewall e magari un HIPS.
Proprio per questo "mi diverto" a testare i malware, vorrei rendere più chiaro il funzionamento dei software come l'hips e il firewall... possibile che non avete domande o meglio ancora, risposte (:D) da fare/dare.

Il discorso è nato perché ogni casa di antivirus, assegna nomi diversi agli stessi malware.


Esatto, questa è una cosa che andrebbe di sicuro corretta, meglio ancora se con un db unico (ma questa sarebbe utopia).


Forse gavel voleva sottolineare l'inefficacia degli antivirus... e, come anche usando lo stesso virus leggermente modificato, questi non riescano a rilevarlo facilmente.

Se questo è il suo pensiero io sono d'accordo con lui. Oggi per avere una buona protezione, oltre l'antivirus dovremmo imparare bene ad usare il firewall e magari un HIPS.
Proprio per questo "mi diverto" a testare i malware, vorrei rendere più chiaro il funzionamento dei software come l'hips e il firewall... possibile che non avete domande o meglio ancora, risposte (:D) da fare/dare.

Concordo sul fatto che fa "strano" vedere molti AV che toppano a livello di definizioni un EICAR rinominato. Ma questo non testa l'effiacia dell'euristica, che imho è al giorno d'oggi quella che conta maggiormente.

Riguardo alla buona protezione, andando controcorrente, non uso un antivirus. Uso il firewall di vista configurato per bloccare le connessioni in uscita, e finora non ho mai avuto problemi di sorta (ogni tanto faccio scansioni online per stare sicuro e trovano sempre il nulla).

Esatto, questa è una cosa che andrebbe di sicuro corretta, meglio ancora se con un db unico (ma questa sarebbe utopia).

Sarebbe fantastico :O ..almeno per fare un poco di chiarezza, visto che regna il caos. :stordita:

Concordo sul fatto che fa "strano" vedere molti AV che toppano a livello di definizioni un EICAR rinominato. Ma questo non testa l'effiacia dell'euristica, che imho è al giorno d'oggi quella che conta maggiormente.

Riguardo alla buona protezione, andando controcorrente, non uso un antivirus. Uso il firewall di vista configurato per bloccare le connessioni in uscita, e finora non ho mai avuto problemi di sorta (ogni tanto faccio scansioni online per stare sicuro e trovano sempre il nulla).

Interessante, quindi ti trovi bene? E su XP come la vedi la cosa?
Vorrei toglierlo anch'io, almeno il real time... penso che appena scade la licenza proverò :sofico:

Sarebbe fantastico :O ..almeno per fare un poco di chiarezza, visto che regna il caos. :stordita:



Interessante, quindi ti trovi bene? E su XP come la vedi la cosa?
Vorrei toglierlo anch'io, almeno il real time... penso che appena scade la licenza proverò :sofico:

Sirio tu però non usi un account limitato e/o simili e quindi non puoi paragonarti (trà XP) con Vista.
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw.
E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere.

Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time.

Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo.
Che purtroppo non calano mai ma aumentano e così la pesantezza.

E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc.

Sirio tu però non usi un account limitato e/o simili e quindi non puoi paragonarti (trà XP) con Vista.
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw.
E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere.

Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time.

Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo.
Che purtroppo non calano mai ma aumentano e così la pesantezza.

E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc.



se poi già parti con una pachiderma dal nome AstaLaVista è ovvio che poi andrai a penalizzare limare e sacrificare altre componenti della configurazione di protezione sperando di ottenere quelle velocità/prestazioni che ti attenderesti dal tuo hardware...

comunque ogni decisione che si prende per la difesa del proprio pc è sempre relazionata a cosa si deve/vuole proteggere, del resto anche per andare in motocicletta non c'è bisogno di avere per forza di cose tute della daynese e protezioni varie, un conto è partire per fare 500km e un conto è fare 5-10km :)

Sirio tu però non usi un account limitato e/o simili e quindi non puoi paragonarti (trà XP) con Vista.
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw.
E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere.

Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time.

Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo.
Che purtroppo non calano mai ma aumentano e così la pesantezza.

E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc.



:doh: È vero, non pensavo all'account limitato, comunque è una prova che voglio fare... per una serie di motivi: verificare quanto incide sulla velocità del mio vecchio PC, vedere se riesco a difendermi ugualmente e tenere il PC pulito... anche se, quando ci penso mi corre un brivido lungo la schiena :D

Poi come dice il nostro mod... non è che mi metto a fare l'home banking durante il periodo di prova.

forse questi software possono esservi utili per l'analisi di cosa fa un malware quando viene eseguito

http://labs.idefense.com/software/malcode.php

http://labs.idefense.com/files/labs/releases/previews/SysAnalyzer

Vi inserisco un 3D di Wilders:

http://www.wilderssecurity.com/showthread.php?t=223399

E' possibile notare alcuni sw che da noi sono poco usati.
Sarebbe interessante una maggiore attenzione da parte degli utenti che sono soliti fare delle prove non solo verso i malwares ma anche verso i sw.
Anzi credo proprio che sarebbe più interessante !! ;)
Però sono il primo a dire che potrebbe essere il contrario.....

forse questi software possono esservi utili per l'analisi di cosa fa un malware quando viene eseguito

http://labs.idefense.com/software/malcode.php

http://labs.idefense.com/files/labs/releases/previews/SysAnalyzer

Ottima segnalazione! Sicuramente saranno utili.
Grazie Unax, così... dopo un primo sguardo mi attira questo SysAnalyzer, come anche il Malcode Analysis Pack...li proverò. ;)

Vi inserisco un 3D di Wilders:

http://www.wilderssecurity.com/showthread.php?t=223399

E' possibile notare alcuni sw che da noi sono poco usati.
Sarebbe interessante una maggiore attenzione da parte degli utenti che sono soliti fare delle prove non solo verso i malwares ma anche verso i sw.
Anzi credo proprio che sarebbe più interessante !! ;)
Però sono il primo a dire che potrebbe essere il contrario.....

Grazie sampei :) ..anche secondo me sarebbe più interessante.
Ci vorrebbero più persone che testano i vari programmi di sicurezza, io per il momento sono interessato a capire bene RTD e JPF2 e finché non avrò acquisito una buona conoscenza non li cambierò, anche perché mi piacciono tanto e soprattutto, il tempo e i mezzi scarseggiano per fare altre prove. :(

Purtroppo dei tester iniziali sembrerebbe sia rimasto solo io. :cry:

ci sarebbe ancora da modificare il messaggio numero 3 ma vista la poca attività non è cosa imminente :p
:sob:

Cavolo, mi stavo dimenticando del thread! :eek: :D

Appena ho un pò di tempo, inserisco tutti i nuovi test.

Scusate, ma ultimamente c'ho da fare con la scuola. Oggi mi son fatto 6 ore di storia dell'arte, ad esempio.. Da bucarsi in pratica :D
In questo momento mi sento molto a favore riguardo alla legalizzazione! :O

Ho trovato due virus freschi frschi per voi su emule. Cercate crack e scaricate tutto ciò che è sotto i due mega :D

Esempio 1: http://www.virustotal.com/it/analisis/32e1a79e51cadada90898b73b58b84bb

Esempio 2: http://www.virustotal.com/it/analisis/b0b4f4e6a0f506a4a7b9b4dd10c8cd58

P.s. NOD32 mi sta deludendo molto....

virustotal ha dei problemi e non visualizza l'analisi... usa anche viruscan.org quando analizzi i file ;)

Qualcuno ha un Sinowal/Mebroot stealth rootkit, di cui si parla qui? -> http://windowssecrets.com/2008/11/20/03-Dont-be-a-victim-of-Sinowal-the-super-Trojan :fagiano:

Qualcuno ha un Sinowal/Mebroot stealth rootkit, di cui si parla qui? -> http://windowssecrets.com/2008/11/20/03-Dont-be-a-victim-of-Sinowal-the-super-Trojan :fagiano:


Potrei avere quello che cerchi. Se mi contatti su [email protected] ti giro per email quello che ho. ;-)

credo che il post del mod andasse inteso come una sollecitazione all'uso del 3d apposito per testare il malware (e non magari in macchina reale, più rischioso e imprudente, non conoscendo la natura del sample):) :
http://www.hwupgrade.it/forum/showthread.php?t=1823645

questa rimane cmq una mia interpretazione, quindi probabilmente sbagliata...

quoto dal thread degli HIPS.

Comunque son d'accordo con deg, non ha senso lasciar morire questo thread.
Purtroppo non ho molto tempo per modificare il primo post, men che meno in questi giorni, visto che sono occupato col MEP a scuola fino alle 18.30, ma un giorno il tempo di metterlo a posto lo troverò :D

Completamente d'accordo con te, intanto vedo di preparare qualche altro test... tipo con qualcosa di più "tossico" come dice il caro nV 25 :D

Non ho ancora controllato ma tra le cose che mi ha mandato ci dovrebbe essere qualcosa d'interessante.

Ciao ciao.

Completamente d'accordo con te, intanto vedo di preparare qualche altro test... tipo con qualcosa di più "tossico" come dice il caro nV 25 :D

Non ho ancora controllato ma tra le cose che mi ha mandato ci dovrebbe essere qualcosa d'interessante.

Ciao ciao.

se ti avanza qualcosa di carino giralo pure, così faccio qualche test anke io... :p
...e fu così che riesumarono il 3d:D

Certamente cloutz, appena possibile ti invio un MP così ci scambiamo qualcosa. ;)

se avete qualcosa di cattivo, ci sono anch'io :D

Adesso guardo se ho malware cattivo pure io, ma non credo di avere roba particolarmente scottante.

Conficker, trojan "normali", sinowal mebroot...... L'unico "esemplare" bello che ho è un ipotetico Unreal :D (non sono sicurissimo che sia lui..)

...
Non ho ancora controllato ma tra le cose che mi ha mandato ci dovrebbe essere qualcosa d'interessante...

:old: :D



PS e D+ (v3.5.x.439), di quel lotto di Rootkit che ti avevo spedito, superano tutto...:Prrr:

Le famiglie erano varie:
MBR, Srizbi, Rustock A/B, Saturn/Nulprot, Haxdoor, 2 Unhookers ( o SSDT Restorer, l'EZ e lo Storm Worm)...

D+, cmq, ho avuto modo di testarlo anche con altre "perle" prima del mio switch...:D



PS: al di là dell'entusiasmo che sembra trapelare dalle parole spese poc'anzi a favore di D+, chi ha letto i miei ultimi post sa che in realtà, al di là di un discorso di mera effettività di questa soluzione che è indubbia, non sono proprio tenerissimo con questo software per cui il mio giudizio complessivo è ben lontano dall'entusiastico "pieni voti"...

:old: :D



PS e D+ (v3.5.x.439), di quel lotto di Rootkit che ti avevo spedito, superano tutto...:Prrr:

Le famiglie erano varie:
MBR, Srizbi, Rustock A/B, Saturn/Nulprot, Haxdoor, 2 Unhookers ( o SSDT Restorer, l'EZ e lo Storm Worm)...

D+, cmq, ho avuto modo di testarlo anche con altre "perle" prima del mio switch...:D

Posso avere l'immenso onore ed onere di provarle anche con Online Armor? :p

ti mando un pvt...

:old: :D



PS e D+ (v3.5.x.439), di quel lotto di Rootkit che ti avevo spedito, superano tutto...:Prrr:

Le famiglie erano varie:
MBR, Srizbi, Rustock A/B, Saturn/Nulprot, Haxdoor, 2 Unhookers ( o SSDT Restorer, l'EZ e lo Storm Worm)...

D+, cmq, ho avuto modo di testarlo anche con altre "perle" prima del mio switch...:D

Switch? ..ancora? E a cosa sei passato ora?

Cmq mi manderesti le altre "perle"? :fagiano:

PS: al di là dell'entusiasmo che sembra trapelare dalle parole spese poc'anzi a favore di D+, chi ha letto i miei ultimi post sa che in realtà, al di là di un discorso di mera effettività di questa soluzione che è indubbia, non sono proprio tenerissimo con questo software per cui il mio giudizio complessivo è ben lontano dall'entusiastico "pieni voti"...

Fai bene a non essere tenero... almeno ci rendiamo conto di cosa non va.
Però devi ammettere che dalla prima volta che lo hai provato sono migliorate parecchie cose, tempo al tempo.... tanto sono sicuro che non ti piacerà mai :D e i motivi li conosciamo.

Ciao.

"prima del mio switch..." era riferito al passaggio da PS @ D+....


Le altre "perle" sono oramai ite...anche se saprei di nuovo dove andare a riprenderle...

Unica testimonianza, le loro craniate [:D] che fanno bella mostra di se in diverse fotarelle qui sul mio Pc...

Non le ho mai condivise perchè condividerle avrebbe significato dover spiegare alcune cosette e visto che il tutto non è poi cosi' intuitivo, ho preferito risparmiare energie che, peraltro, erano state ampiamente spese in fase di testing....

Anche se i miei test sono amatoriali, infatti, per far si che la metodologia seguita e la ricerca di eventuali alterazioni al sistema risultasse il più possibile attendibile, sono state consumate diverse energie che hanno visto cadere, come eroici combattenti di una guerra non loro, diversi neuroni dei pochi che avevo attivi...:sbonk: :p

Tutto questo, per la sola soddisfazione di dire "conosco meglio quello che uso"...

E' convenuto? :mbe: :D

Bo...:p

allora...fatto qualche test, ringrazio profondamente nV 25;)
premetto che non sono sicuro della veridicità del test, in quanto non sono un esperto e non sono al livello vostro (intendo nV, sirio, ecc)

Nome file: winsyst32

Categoria: rustock (?)

Configurazione VM (Virtual PC):
Win Xp Pro SP2
Account Amministratore
SSM Pro
Sygate 5.5

Analisi VT:
http://www.virustotal.com/it/analisis/c84501e62a5cfe2a42fde8c38ad81dee

http://img502.imageshack.us/img502/6224/15818436vh7.png (http://imageshack.us)
http://img502.imageshack.us/img502/15818436vh7.png/1/w436.png (http://g.imageshack.us/img502/15818436vh7.png/1/)

1.Consento l’avvio del rootkit winsyst32.exe


http://img502.imageshack.us/img502/6770/73292001zp7.png (http://imageshack.us)
http://img502.imageshack.us/img502/73292001zp7.png/1/w440.png (http://g.imageshack.us/img502/73292001zp7.png/1/)

2.Per prima cosa cerca di terminare explorer

http://img134.imageshack.us/img134/2096/89402625gb5.png (http://imageshack.us)
http://img134.imageshack.us/img134/89402625gb5.png/1/w800.png (http://g.imageshack.us/img134/89402625gb5.png/1/)

3.mentre facevo lo screen mi è apparso il modulo d’allarme sul caricamento di un nuovo servizio “Win23lzx files loader”..quindi carica un servizio.

http://img134.imageshack.us/img134/6706/74724044yu3.png (http://imageshack.us)
http://img134.imageshack.us/img134/74724044yu3.png/1/w440.png (http://g.imageshack.us/img134/74724044yu3.png/1/)

4.aggiunto servizio/driver (pe386) e relativa chiave di registro x l’avvio

http://img134.imageshack.us/img134/5440/82698054vu1.png (http://imageshack.us)
http://img134.imageshack.us/img134/82698054vu1.png/1/w800.png (http://g.imageshack.us/img134/82698054vu1.png/1/)

5.avviso alquanto strano, dato che è presente il soggetto ma non l’oggetto:P… comunque era explorer ad essere terminato (dimostrabile dall’assenza delle icone, scomparse)

http://img134.imageshack.us/img134/5246/27847879ne0.png (http://imageshack.us)
http://img134.imageshack.us/img134/27847879ne0.png/1/w441.png (http://g.imageshack.us/img134/27847879ne0.png/1/)

6.altra modifica alla stessa chiave di prima…

http://img134.imageshack.us/img134/647/46050047ok3.png (http://imageshack.us)
http://img134.imageshack.us/img134/46050047ok3.png/1/w440.png (http://g.imageshack.us/img134/46050047ok3.png/1/)

7.winlogon.exe richiama explorer.exe

http://img134.imageshack.us/img134/4447/24009461qk6.png (http://imageshack.us)
http://img134.imageshack.us/img134/24009461qk6.png/1/w438.png (http://g.imageshack.us/img134/24009461qk6.png/1/)

8.stessa modifica, sempre alla stessa chiave, con il nuovo servizio…sembra quasi che controlli che la chiave sia inserita correttamente.

@ nV 25

Per come la vedo io, SI, imo è proprio così che si impara :O

Vabbè, per le perle grazie lo stesso.. penso di sapere dove poterle recuperare.

scusate il doppio post, ma avevo superato il numero di immagini:D


http://img134.imageshack.us/img134/5738/52828897hk8.png (http://imageshack.us)
http://img134.imageshack.us/img134/52828897hk8.png/1/w438.png (http://g.imageshack.us/img134/52828897hk8.png/1/)

9.attraverso svchost.exe il rootkit prende possesso di explorer.exe

http://img134.imageshack.us/img134/6040/44672255nh4.png (http://imageshack.us)
http://img134.imageshack.us/img134/44672255nh4.png/1/w441.png (http://g.imageshack.us/img134/44672255nh4.png/1/)

10.altra modifica al registro.

http://img187.imageshack.us/img187/4849/39560123tv8.png (http://imageshack.us)
http://img187.imageshack.us/img187/39560123tv8.png/1/w440.png (http://g.imageshack.us/img187/39560123tv8.png/1/)

11.caricamento da parte del rootkit del driver lzx32.sys

http://img134.imageshack.us/img134/8412/85018827aa5.png (http://imageshack.us)
http://img134.imageshack.us/img134/85018827aa5.png/1/w440.png (http://g.imageshack.us/img134/85018827aa5.png/1/)

12.il rootkit (winsyst32.exe) accede a explorer.exe

http://img134.imageshack.us/img134/8162/61669364bu7.png (http://imageshack.us)
http://img134.imageshack.us/img134/61669364bu7.png/1/w592.png (http://g.imageshack.us/img134/61669364bu7.png/1/)

13.crea una connessione (attraverso explorer.exe) all’ip 208.66.194.158:80, risultante negli USA, Newark

http://img134.imageshack.us/img134/7628/73873493zu4.png (http://imageshack.us)
http://img134.imageshack.us/img134/73873493zu4.png/1/w374.png (http://g.imageshack.us/img134/73873493zu4.png/1/)

14.tutto rimane normale, finchè non tento di aprire RootRepeal e qui ricevo un avviso: “errore macchina virtuale, la macchina virtuale verrà reimpostata.”
Il OS si riavvia, senza riuscire a caricarsi più: BSOD e si ricomincia da capo.


N.B.:

- Non convinto, ho provato a riprodurre il tutto altre 2 volte con SSM, ma ho ottenuto lo stesso risultato. Alchè ho provato (2 volte) con Malware Defender, che mi ha notificato, in più, l’eliminazione del file eseguibile, che ha dato il via all’infezione:
http://img134.imageshack.us/img134/2232/74381841cg8.png (http://imageshack.us)
http://img134.imageshack.us/img134/74381841cg8.png/1/w574.png (http://g.imageshack.us/img134/74381841cg8.png/1/)

- Non sono, ovviamente, riuscito a fare nessun’altra operazione (intendo comparazione log SysInspector ecc ecc).

- Ho provato a bloccare il caricamento del driver lzx32.sys e l’infezione non è andata a buon fine. Quindi negando il caricamento del driver il computer regge.

- Non avevo mai studiato un rootkit e la cosa che ho trovato interessante è stato il controllo, dopo ogni azione andata a buon fine, delle voci di registro senza cui non si sarebbe potuto inserire come servizio, e di conseguenza non avrebbe permesso l’esito positivo dell’infezione. Anche la cancellazione dell’eseguibile mi ha lasciato “piacevolmente” sorpreso.

Per chi volesse sono riuscito a salvare un log di Malware Defender:
12/02/2009 17:33:57 c:\windows\explorer.exe Create new process c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Permitted [App]* Cmd line: "C:\Documents and Settings\testVM\Desktop\rootkits\rootkits\rootkits\Rustoks\winsyst32.exe"
12/02/2009 17:34:14 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create file C:\WINDOWS\system32:lzx32.sys Permitted [File Group]System Executable Files -> [File]c:\windows\*; *.sys
12/02/2009 17:34:23 c:\windows\system32\services.exe Create registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Permitted [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
12/02/2009 17:34:30 c:\windows\system32\services.exe Set registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386\ImagePath Permitted [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath Data: \??\C:\WINDOWS\system32:lzx32.sys
12/02/2009 17:34:34 c:\windows\system32\services.exe Load kernel driver c:\windows\system32:lzx32.sys Permitted [App]c:\windows\system32\services.exe
12/02/2009 17:34:38 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:34:43 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:34:45 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:34:48 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:34:50 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:34:52 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:34:53 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Access memory of another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:35:01 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create thread in another process c:\windows\explorer.exe Permitted [App]*
12/02/2009 17:35:15 c:\windows\system32\services.exe Duplicate handle from another process c:\windows\system32\svchost.exe Permitted [App]c:\windows\system32\services.exe Handle: (File) \Device\HarddiskVolume1\$Extend\$ObjId
12/02/2009 17:35:26 c:\windows\explorer.exe Access network TCP [Local host : 1036] -> [208.66.194.158 : 80 (http)] Permitted [Network]Any protocol [Local host : Any port] <-> [Any address : Any port]
12/02/2009 17:36:51 c:\windows\explorer.exe Delete file C:\Documents and Settings\testVM\Desktop\rootkits\rootkits\rootkits\Rustoks\winsyst32.exe Permitted [File Group]All Executable Files -> [File]*; *.exe

Finalmente!!! :D

Grande cloutz! :winner:

Complimenti, per me sei stato bravissimo :sofico:

Scusa se mi sono messo in mezzo.

Chiedo gentilmente ai mod se si può spostare il mio precedente post in coda. Grazie

Finalmente!!! :D

Grande cloutz! :winner:

Complimenti, per me sei stato bravissimo :sofico:

Scusa se mi sono messo in mezzo.

Chiedo gentilmente ai mod se si può spostare il mio precedente post in coda. Grazie

figurati, lì ci basta un tocco di mod e siamo apposto:D
sono felice che apprezziate, almeno lo sforzo...mi scuso per la scarsa "leggibilità", dovuta alle tante immagini...spero che comunque possa essere utile (dato che mi è valso un mal di testa impensabile:muro:)

più "appunti" fate e meglio è, vuol dire che il prossimo test ci saranno meno errori;)

Saluti

io, invece, rimango piacevolmente colpito dal vedere che anche MD riesce ad intercettare la creazione (come ADS..) di lzx32.sys:

http://img201.imageshack.us/img201/9148/snap1sf4.jpg

Questo è D+ per il solito ADS:

http://img12.imageshack.us/img12/3835/lzx32ny6.jpg






Bravo cloutz! :)

@ nV:
intanto grazie:)

poi..precisamente, quando ti riferisci all'intercettazione come ADS (della creazione di lzx32.sys) fai riferimento a questo avviso?:
12/02/2009 17:34:14 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create file C:\WINDOWS\system32:lzx32.sys Permitted [File Group]System Executable Files -> [File]c:\windows\*; *.sys

in ogni modo anche bloccando il caricamento del driver con SSM l'infezione è stata arginata...anche se molto dopo (praticamente alla fine)...
sicuramente intervenire a monte bloccando l'ADS ha i suoi vantaggi:rolleyes:

Si, faccio riferimento a quell'avviso.

Corretta anche la 2° interpretazione...:)




EDIT:
quello che noto, cmq, specie alla luce di quelle che sono gli screen che postate, è che a voi piace vedere anche IL DOPO (cosa succede cioè ad infezione in essere, e infatti in questo senso mostri i tentativi di winsyst di scrivere nello spazio di memoria di explorer...), mentre a me interessa fondamentalmente IL PRIMA, e cioè controllare se esiste o - la prevenzione e a che profondità arriva prima che il malware si attivi...

Se di ogni sample, infatti, mi fossi dovuto mettere li' a vedere cosa succedeva ad infezione in corso, probabilmente ci svernavo...

2 approcci diversi anche se entrambi interessanti...

Mi aggiungo anch'io a chi di ha fatto i complimenti.

Bravo cloutz.

Ps. ho ricevuto il tuo sample diversi giorni fa, ma mi sono sempre dimenticato di ringraziarti per @mail.

Grazie ancora.

complimentoni clou!!! :mano:

certo che deve essere snervante fare gli screen x ogni avviso: lo facevo anni fa, ma la cosa mi rompeva alquanto

ora sono passato direttamente ai video :asd:

complimenti ancora

ciao :)

EDIT:
quello che noto, cmq, specie alla luce di quelle che sono gli screen che postate, è che a voi piace vedere anche IL DOPO (cosa succede cioè ad infezione in essere, e infatti in questo senso mostri i tentativi di winsyst di scrivere nello spazio di memoria di explorer...), mentre a me interessa fondamentalmente IL PRIMA, e cioè controllare se esiste o - la prevenzione e a che profondità arriva prima che il malware si attivi...

2 approcci diversi anche se entrambi interessanti...

la prevenzione è molto importante, come per esempio la rilevazione degli ADS(una differenza importante per un hips)... ma è anche interessante osservare il comportamento dell'infezione, studiarla, monitorarla e vedere (talvolta) come il software riesce a gestirla...:)
ma è un'altra storia, e soprattutto è molto più difficile/lungo...se avessi le conoscenze x farlo sarei felicissimo:Prrr:

diciamo che mi accontento di vedere quali sono i punti su cui l'infezione agisce...anche per sapere cosa rinforzare nelle mie difese..sta pur certo che vedrò di fare qualcosa per gli ADS, è impossibile che solo MD e il D+ li intercettino:muro:...

@erreale:
grazie per i complimenti...
di nulla per il sample;)

@Bazz89:
Grazie anke a te!
in linea generale sarebbe più comodo il video, effettivamente...però è anche vero che così è più facile chiarire ogni popup..inserire osservazioni, commenti, specificazioni...
anche perchè il tutto si svolge in una ventina di secondi..risulterebbe poco chiaro, soprattutto se s'intende fare un'analsi (+ o meno) scrupolosa...

(cut)
@Bazz89:
Grazie anke a te!
in linea generale sarebbe più comodo il video, effettivamente...però è anche vero che così è più facile chiarire ogni popup..inserire osservazioni, commenti, specificazioni...
anche perchè il tutto si svolge in una ventina di secondi..risulterebbe poco chiaro, soprattutto se s'intende fare un'analsi (+ o meno) scrupolosa...

si si, hai ragione: x questo genere di esperimenti, forse è piu utile inserire i singoli screen

però...du balls :asd:

quindi a maggior ragione:complimenti!!! Good Job!!!

ciao :)

piuttosto mi confermate (chi lo possiede) che il sample "RTKT Agent EZ.SSDT unhooker" non si avvia in VM?

una volta consentito l'esecuzione e l'accesso alla memoria fisica non accadeva nulla:mbe:...per questo, poi, son passato al winsyst.exe...

la prevenzione è molto importante, come per esempio la rilevazione degli ADS(una differenza importante per un hips)... ma è anche interessante osservare il comportamento dell'infezione, studiarla, monitorarla e vedere (talvolta) come il software riesce a gestirla...:)
ma è un'altra storia, e soprattutto è molto più difficile/lungo...se avessi le conoscenze x farlo sarei felicissimo:Prrr:

diciamo che mi accontento di vedere quali sono i punti su cui l'infezione agisce...anche per sapere cosa rinforzare nelle mie difese..sta pur certo che vedrò di fare qualcosa per gli ADS, è impossibile che solo MD e il D+ li intercettino:muro:...

@erreale:
grazie per i complimenti...
di nulla per il sample;)

@Bazz89:
Grazie anke a te!
in linea generale sarebbe più comodo il video, effettivamente...però è anche vero che così è più facile chiarire ogni popup..inserire osservazioni, commenti, specificazioni...
anche perchè il tutto si svolge in una ventina di secondi..risulterebbe poco chiaro, soprattutto se s'intende fare un'analsi (+ o meno) scrupolosa...

Bravo Cloutz anche da parte mia !! ;)
Anche se ho letto troppo velocemente il tutto,vedo che avete il "pallino" degli ADS,mi sorge una curiosità cosa accadrebbe a ripetere il test in FAT32 ?
Saluti ancora.:)

piuttosto mi confermate (chi lo possiede) che il sample "RTKT Agent EZ.SSDT unhooker" non si avvia in VM?

una volta consentito l'esecuzione e l'accesso alla memoria fisica non accadeva nulla...

in realtà , devev esserci un qualche problema legato alla tua VM:
il Rootkit in questione, infatti, per guadagnarsi l'accesso al Ring0, tenta di farlo tramite 2 strade, accedere cioè alla memoria fisica e alla memoria kernel (il famoso "debug at (the) system level" di PS....

Il non rilevare il 2° canale era successo anche a me con la vecchia versione 5.5 di VmWare...

in realtà , devev esserci un qualche problema legato alla tua VM:
il Rootkit in questione, infatti, per guadagnarsi l'accesso al Ring0, tenta di farlo tramite 2 strade, accedere cioè alla memoria fisica e alla memoria kernel (il famoso "debug at (the) system level" di PS....

Il non rilevare il 2° canale era successo anche a me con la vecchia versione 5.5 di VmWare...

:stordita:
strano, perchè ho provato ad avviarlo diverse volte...magari un problema di VM come dici te (uso Virtual PC 2007), dato che non la aggiorno mai...:boh:

a tempo perso ne ho trovato un altro: http://www.virustotal.com/it/analisis/ebce2c667af49231ccb665b428c0dc74

Mi dite quel thread che mi permetteva di inviarlo una volta sola a tutte le case che non lo trovo più??? :confused:

Edit: trovato :)

Ciao deepdark :)
li trovi sempre tu, il nostro fornitore... :D
Me lo invieresti per favore?

Grazie in anticipo.

scusate per la domanda ma....se ho infettata una chiavetta USB da bagle, c'è un modo per infettare sicuramente i pc su cui viene messa? Anonimatamente?

Devo vedere se il reparto tecnico che c'è a scuola mia è preparato:D

scusate per la domanda ma....se ho infettata una chiavetta USB da bagle, c'è un modo per infettare sicuramente i pc su cui viene messa? Anonimatamente?

Devo vedere se il reparto tecnico che c'è a scuola mia è preparato:D

:mbe:

fatto qualche piccolo test, abbastanza frettoloso perchè devo studiare fisica:cry:

Il test è strutturato in 2 parti:
1. Sotto Account limitato
2. Come amministratore

Sample testato:
- i2.exe; famiglia rootkit (backdoor?)
- Analisi Virus Total (http://www.virustotal.com/analisis/de2ebd5197a666d92417a4fcb0d51773)

1. Account Limitato
Configurazione:
-Lua
-Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode)

Sono state fatte le seguenti modifiche a Comodo:
1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors
2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni

Iniziamo col test:

http://img19.picoodle.com/img/img19/3/3/22/kronos/f_01m_3afb979.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_01m_3afb979.png&srv=img19)
1. Avvio il sample

http://img02.picoodle.com/img/img02/3/3/22/kronos/f_03m_55533ed.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_03m_55533ed.png&srv=img02)
2. crea una nuova .dll in system32

http://img15.picoodle.com/img/img15/3/3/22/kronos/f_04m_8a372d9.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_04m_8a372d9.png&srv=img15)
3. crea un nuovo driver, sempre in system 32

http://img15.picoodle.com/img/img15/3/3/22/kronos/f_05m_bc21d1d.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_05m_bc21d1d.png&srv=img15)
4. cerca di creare una chiave per avviare il driver precedentemente creato (p81eskse.sys)

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_06m_340402f.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_06m_340402f.png&srv=img03)
5. L'.exe di partenza (i2.exe) accede a explorer.exe.


--------------------------------------------------------
Il test per l'account limitato termina qui, non ho avuto nessun altro popup e cmq il rootkit non è riuscito ad infettare (pienamente?) il computer: non si nota nessun sintomo strano.
Come si vedrà, lo stesso non si può dire per la seconda parte, con l'account amministratore:rolleyes:

2. Account Amministratore

Configurazione:
-Account Amministratore
-Comodo (firewall e D+, impostati su Computer Security Policy e Paranoid Mode)

Sono state fatte le seguenti modifiche a Comodo:
1) D+ > Advanced > Defence+ Settings > tolta la spunta ai Trusted Software Vendors
2) D+ > Advanced > Defence+ Settings > Monitor Settings > E' stata messa la spunta a tutte le opzioni

Iniziamo col test:

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_01m_b15c751.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_01m_b15c751.png&srv=img03)
1. il sample, dopo essere stato avviato va a crearsi una chiave di Winlogon, per creare problemi allo startup, impedendo di lanciare la shell (explorer)

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_02m_e008e01.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_02m_e008e01.png&srv=img03)
2. Crea - Modifica un valore relativo sempre a WinLogon, DllName.

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_03m_602ea09.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_03m_602ea09.png&srv=img03)
3. Va a modifcare altri valori di startup

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_04m_0e0ad22.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_04m_0e0ad22.png&srv=img03)
4. crea altri valori, questa volta Impersonate

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_05m_28c0ec2.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_05m_28c0ec2.png&srv=img03)
5. altro valore: Asynchronous.

http://img02.picoodle.com/img/img02/3/3/22/kronos/f_06m_2ff3431.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_06m_2ff3431.png&srv=img02)
6.crea un altro valore per la propria chiave: MaxWait

http://img15.picoodle.com/img/img15/3/3/22/kronos/f_07m_b4bb042.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_07m_b4bb042.png&srv=img15)
7.altro valore: 2sksid

http://img15.picoodle.com/img/img15/3/3/22/kronos/f_08m_096a9d8.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_08m_096a9d8.png&srv=img15)
8. crea una nuova dll in system32: pasksa.dll

http://img03.picoodle.com/img/img03/3/3/22/kronos/f_09m_f85ada2.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_09m_f85ada2.png&srv=img03)
9. crea un nuovo driver in system32: p81eskse.sys

http://img02.picoodle.com/img/img02/3/3/22/kronos/f_10m_3e4196a.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_10m_3e4196a.png&srv=img02)
10. Crea una chiave per avviare p81eskse.sys

http://img19.picoodle.com/img/img19/3/3/22/kronos/f_11m_5708fd1.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_11m_5708fd1.png&srv=img19)
11. fino ad ora gli avvisi vedevano i2.exe come parent application..adesso è Services.exe, ormai controllato dal rootkit, che modifica la chiave di p81eskse

http://img02.picoodle.com/img/img02/3/3/22/kronos/f_12m_86220e9.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_12m_86220e9.png&srv=img02)
12. Services.exe, controllato dall'infezione, va a modificare il "windows service registry root" inserendo un valore Type alla solita chiave HKLM/System/ControlSet001/Services/p81eskse. Il D+ dice chiaramente che tale azione è da bloccare.

http://img06.picoodle.com/img/img06/3/3/22/kronos/f_13m_fad3107.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_13m_fad3107.png&srv=img06)
13. Sempre services.exe inserirà un valore "Security" alla chiave infetta.

http://img02.picoodle.com/img/img02/3/3/22/kronos/f_14m_5b743c5.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_14m_5b743c5.png&srv=img02)
14.Services crea un ulteriore valore: HKLM/System/.../Security/Security

http://img06.picoodle.com/img/img06/3/3/22/kronos/f_15m_1ac0fe6.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_15m_1ac0fe6.png&srv=img06)
15. i2.exe torna a farsi vedere, prendendo controllo di explorer.exe.

http://img06.picoodle.com/img/img06/3/3/22/kronos/t_16errorem_253b59b.png (http://www.picoodle.com/view.php?img=/3/3/22/kronos/f_16errorem_253b59b.png&srv=img06)
16. Fine dei giochi. Il computer si riavvia e continuerà a riavviarsi allo startup senza mai farmi accedere al Logon.

---------------------------------------------------------------------
L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato.
Le chiavi relative al winlogon erano destinate a fottermi al riavvio, senza permettermi di caricare nè explorer, nè la schermata di Login, nè nient'altro.

Non mi sono chiare tutte le chiavi e i valori di registro che ha creato, purtroppo non ho le conoscenze per sapere cosa voleva attaccare con ciascuna di esse (nonostante ciò sarebbe interessantissimo):D

Scusate per la lunghezza del test e le numerose immagini, avrei potuto riportare solo le immagini salienti, ma avrei tagliato parte del test..almeno così ognuno può trarre le conclusioni che vuole e fare diverse osservazioni;)

Saluti

L'infezione questa volta è andata a buon fine, in quanto il malware non ha avuto problemi nel creare nuovi valori di registro, cosa che gli è stata impedita nel test precedente grazie all'account limitato.


Più che altro gli sarebbe stata impedita anche in questo se non avessi premuto allow ad ogni richiesta. A mio avviso test come questi andrebbero condotti in maniera diversa. Cioè si dovrebbe verificare fino a che punto il D+ ( o qualunque altro Hips) riesce a fermare l'infezione più a monte possibile.

Più che altro gli sarebbe stata impedita anche in questo se non avessi premuto allow ad ogni richiesta. A mio avviso test come questi andrebbero condotti in maniera diversa. Cioè si dovrebbe verificare fino a che punto il D+ ( o qualunque altro Hips) riesce a fermare l'infezione più a monte possibile.

questo vale nel caso volessi testare solo l'hips...ma interesse del 3d è studiare anche il sample, per vedere come/dove agisce ecc...
Cambia il presupposto...ciò non toglie che si possa studiare sia l'uno che l'altro aspetto...

questo vale nel caso volessi testare solo l'hips...ma interesse del 3d è studiare anche il sample, per vedere come/dove agisce ecc...

Ah..ok in questo caso il discorso è diverso. Grazie della delucidazione.

Ah..ok in questo caso il discorso è diverso. Grazie della delucidazione.

Nulla:),
Saluti

:doh: ..quest'ultimo test mi era proprio sfuggito :stordita:

Grande cloutz :winner: molto molto interessante :O specie il fatto di averlo eseguito sia come amministratore che con account limitato per far vedere le differenze.
Ottime anche le spiegazioni che hai fornito: sono chiare e semplici da capire.

questo vale nel caso volessi testare solo l'hips...ma interesse del 3d è studiare anche il sample, per vedere come/dove agisce ecc...
Cambia il presupposto...ciò non toglie che si possa studiare sia l'uno che l'altro aspetto...

Questo è il vero scopo del thread! :mano:

Interessante e dettagliata analisi del malware Conficker (in inglese): http://mtc.sri.com/Conficker/

Variante C: http://mtc.sri.com/Conficker/addendumC/

:doh: ..quest'ultimo test mi era proprio sfuggito :stordita:

Grande cloutz :winner: molto molto interessante :O specie il fatto di averlo eseguito sia come amministratore che con account limitato per far vedere le differenze.
Ottime anche le spiegazioni che hai fornito: sono chiare e semplici da capire.



Questo è il vero scopo del thread! :mano:

Grazie sirio, è sempre un piacere ricevere i tuoi complimenti;)

Appena ho tempo mi leggo le analisi dei Conficker, ammesso che ci capisca qualcosa, sembrano molto dettagliate:fagiano::D
magari se trovo in giro un esemplare potrei testarlo:O

Ciaociao

Eccolo! L'ho trovato però purtroppo ho il SO aggiornato e il conficker non riesce.


http://www.virustotal.com/analisis/4b29437a441b60a361c6adc2cb43627f

http://www.threatexpert.com/report.aspx?md5=d60960adb601613ec330eb36690ea59e


XP Sp3
Amministratore
CIS 3.8.xxxxx.477 in Paranoid Mode
Returnil


Avvio l'eseguibile http://img18.picoodle.com/img/img18/3/3/27/sirio/t_1m_8711f54.png (http://www.picoodle.com/view.php?img=/3/3/27/sirio/f_1m_8711f54.png&srv=img18) si avvia la finestra DOS, do l'assenso all'accesso diretto al disco http://img19.picoodle.com/img/img19/3/3/27/sirio/t_2m_7a8feaa.png (http://www.picoodle.com/view.php?img=/3/3/27/sirio/f_2m_7a8feaa.png&srv=img19)

e tutto finisce così http://img06.picoodle.com/img/img06/3/3/27/sirio/t_4m_248e45b.png (http://www.picoodle.com/view.php?img=/3/3/27/sirio/f_4m_248e45b.png&srv=img06) il worm non riesce a fare niente su un sistema operativo aggiornato.

Saluti. :)

Ultimamente noto che è di moda dichiarare che appena possibile si procederà alla disinstallazione dell'antivirus in real time.

Io naturalmente non sono di questo avviso......ma potrei sbagliare !! ;)
A tal proposito esorto questi utenti a fare un test.
Inserirò un link (ATTENZIONE INFETTO):

xxx.yuotnbe.com


Dico subito per coloro che hanno installato,come me,Avira che l'antivirus interviene,come è possibile notare all'immagine sotto:

Esorto gli utenti che vorranno,di propria spontanea volontà, aprire il link a prendere ogni possibile precauzione in tema sicurezza.
Qualsiasi danno,dopo questo chiaro avviso, sarà imputabile solo alla loro personale mancanza di prudenza.

http://img.overpic.net/thumbs/o/h/w/xohwxhb70wmuk20dnk5st_t.jpg (http://www.overpic.net/viewer.php?file=xohwxhb70wmuk20dnk5st.jpg)

Se avete il javascript attivo,come è attivo nell'immagine sopra,sarete bombardati oltre a quelli sopra da altri pop-up.
Ma anche con il javascript disattivo noterete un intervento di Avira (fatela dopo questa prova).

Ora naturalmente nessun utente (senza antivirus perchè si presuppone che coloro che lo hanno disinstallato siano certamente utenti esperti) cadrebbe nel tranello.
E se anche (presumibilmente) un utente ci casca, interverebbe quasi certamente anche Prevx Edge,per chi lo ha installato naturalmente, (non ho provato) e l'HIPS quindi il sistema sarebbe protetto lo stesso.

Ma perchè passare alla sequenza successiva quando c'è la possibilità di fermare il tutto sul nascere ?

Erreale (sotto mia pressione..:p ) alle prese con il dropper del DNSChanger (ndisio.sys)...

Analisi Virustotal (http://www.virustotal.com/it/analisis/c2cfa63d14014a71b2771720558b8646)

Video su youtube (http://www.youtube.com/watch?v=OKSF7CywL-0)

Link diretto al filmato (qualità decisamente più alta rispetto al video su youtube...): http://www.pianetapc.it/file/secondo_test_bis.zip


Considerazioni:
Per ragioni di test è stata volutamente forzata (nel senso di ammessa...) la 1° esecuzione del sample (ma va? :p ) e, più che altro, le successive richieste di esecuzione/lancio di processi indotti dal malware stesso....

Allo stesso tempo, qualsiasi altro pop up diverso da quelli menzionati poc'anzi (privilege escalation, creazione di file/chiavi di registro and so on..) è stato bloccato.

Sitema XP Pro SP3, account AMMINISTRATORE, D+ (v3.8) settato nella modalità da me indicata* (in sostanza, abilitato il privilegio LoadDriver e ripristinato l'RPC Control\ntsvcs)...

Sebbene nel filmato sia mostrato il rapporto del solo RootRepeal, il sistema è stato verificato ex-post anche con PrevX CSI/Gmer...


*il test è stato ripetuto anche senza rimanipolazioni al comparto Protected COM Componets (ip. di default) registrando risultati in linea con quanto mostrato nel video (= sistema **INTATTO**!)

Buona Visione! :)



PS: speriamo di riuscire quanto prima a farvi vedere anche il Seneka: :sperem:
il problema, infatti, è che in questo periodo di crisi anche la "manovalanza" (erreale :D, NDR) è più sfaccendata....:p

Il seneka sta arrivando!

il problema, infatti, è che in questo periodo di crisi anche la "manovalanza" (erreale :D, NDR) è più sfaccendata....:p
[/SIZE]

La "bassa manovalanza" sfaccendata e fancazzista avrebbe consegnato il prodotto finito svariate ore fa. Non è che sono i "super mega direttori, lup... man...gran farabutt..." (ndr: nella fattispecie nv25) a non aver voglia di fare? :D :D :D :D

Il Seneka stà tardando per il semplice fatto che dovevo cercare di capire il + possibile la sua logica di funzionamento...

A questo punto, cmq, credo di essere nella posizione di poter dire che tutto risulta chiaro...

Anche per erreale, peraltro, credo valesse il solito ragionamento, da qui il temporeggiare...


Come anteprima posso solo dire che D+, se non si è fessi a rispondere ai pop-up, è in grado di resistere all'urto...:)

Un urto molto particolare visto che sotto questo sample c'è una discreta genialità di fondo....
Che gran bastardi, cmq....:muro:


PS: non aspettatevi cmq "lezioni" perchè da un lato non sono certo in grado di tenerle e, oltretutto, non credo siano interessanti alla platea...

ciao a tutti inanzitutto complimenti per il lavoro svolto
volevo segnalare due link che potrebbero venirvi utili durante le vosre analisi

un ottima analisi del malware:
http://anubis.iseclab.org/

una macchina virtuale linux con safewine che fa la stessa cosa:

http://sourceforge.net/projects/zerowine

un piccolo consiglio, la maggior parte dei worm come primo test all avvio controllano se stanno girando dentro un ambiente virtuale, ed in tal caso non si eseguono,
per ovviare questo o si usa una macchina fisica, tagliando la testa al toro.
oppure si analizza il worm con un debugger es immunity debugger od ollydbg, andando a modificare la parte di codice che verifica la presenza di una virtual machine,

link utile su Conficker.:
https://www.honeynet.org/files/KYE-Conficker.pdf

spero di esservi stato d'aiuto buon lavoro!!

@ nV 25

Carino il video :) , peccato che sul mio PC non riesco a leggere bene :( , me lo rivedrò su un 32 pollici...:D

Ciao caro nV ;)

@ sampei.nihira

Ora sto uscendo però appena posso faccio un test...

Ciao sampei ;)

C'è 1 solo errore:

è erreale che gentilmente si è prestato a fare tutto e, dunque, ogni merito va a lui (sbattimento per il test/upload ecc..)

Il mio contributo, infatti, che poi altro non è che un puro scambio di idee sulla metodologia da seguire + "tecnologia" dei sample, è un contributo teso fondamentalmente a stressare in n modi diversi il malcapitato tester se qualcosa non mi sfagiola...:D

Anzi, ne approfitto per ringraziarlo nuovamente...:)

------------------------
Anche se si cerca in tutti i modi di essere il più professionali possibile, lo spirito, cmq, è sempre quello del gioco e credo di poter dire senza paura di smentita che tanto io che ale non abbiamo assolutamente pretesa di insegnare nulla a nessuno....
Questo, a beneficio di chi legge...


...Carino il video :) , peccato che sul mio PC non riesco a leggere bene :( , me lo rivedrò su un 32 pollici...:D
nel post c'è anche il link per il download diretto dell'avi...:)

C'è 1 solo errore:

è erreale che gentilmente si è prestato a fare tutto e, dunque, ogni merito va a lui (sbattimento per il test/upload ecc..)

Il mio contributo, infatti, che poi altro non è che un puro scambio di idee sulla metodologia da seguire + "tecnologia" dei sample, è un contributo teso fondamentalmente a stressare in n modi diversi il malcapitato tester se qualcosa non mi sfagiola...:D

Anzi, ne approfitto per ringraziarlo nuovamente...:)

------------------------
Anche se si cerca in tutti i modi di essere il più professionali possibile, lo spirito, cmq, è sempre quello del gioco e credo di poter dire senza paura di smentita che tanto io che ale non abbiamo assolutamente pretesa di insegnare nulla a nessuno....
Questo, a beneficio di chi legge...


nel post c'è anche il link per il download diretto dell'avi...:)

Intervengo quotandoti perchè quello che hai scritto mi ha fatto riflettere e molto........

Ci sono delle persone che nonostante hanno una normale vita sociale e di relazione si trovano più a proprio agio trà le "macchine".

Io sono uno di questi.

Lo possiamo catalogare come ha scritto nV25 come gioco,passatempo,svago.....nel mio caso l'ultimo termine che ho scritto rende meglio l'idea.

Ed il passare del tempo ha incrementato questo "fenomeno".

Ma quasi non mi sono accorto che mia figlia è ormai diventata adolescente.

Se altri 15 anni passeranno così..... in un momento....... mi risveglierò da questo "torpore" che ormai avrà una vita tutta sua.

Ed io avrò perduto per "gioco" il mio "attimo fuggente".

Mannaggia al mio amico Enne (che con rammarico non ho mai visto) che mi fà nascere in testa questi pensieri..........

Chissà se in futuro "giocherò" sempre di meno per dedicarmi,se ne avrà bisogno, più a Lei........

Perdonate questo "pescatore" che vuole calarsi malamente nei panni di un filosofo.

I miei auguri di Buona Pasqua a tutti gli amici di questo luogo virtuale.

@ Sirio Saluti e tanti auguri.

Alla fine della fiera sei riuscito a precipitare anche me in un vortice di tristezza visto che anch'io, aimè, spendo diverse ore del mio tempo in questo "gioco" trascurando di conseguenza cose ben più importanti...:(

@ Sampei - enne...

Non dite così. Lo svago, le passioni, il gioco sono importanti tanto quanto altre cose. Se non aveste la passione per il pc molto probabilmente dedichereste il vostro tempo libero a qualcos'altro.
C'è chi due volte alla settimana va a giocare a calcio nella squadra di paese, chi passa il sabato mattina a fare 100km in bicicletta, chi gioca a biliardo 3 volte la settimana....

L'importante è che questo tempo non venga sottratto a cose più importanti. Dal canto mio i miei test li faccio la sera tardi o di notte quando le piccole dormono. E' questione di priorità. Tutto quì. Ma non mi si venga a dire che il "gioco" non è importante.

@ Sampei - enne...

Non dite così. Lo svago, le passioni, il gioco sono importanti tanto quanto altre cose. Se non aveste la passione per il pc molto probabilmente dedichereste il vostro tempo libero a qualcos'altro.
C'è chi due volte alla settimana va a giocare a calcio nella squadra di paese, chi passa il sabato mattina a fare 100km in bicicletta, chi gioca a biliardo 3 volte la settimana....

L'importante è che questo tempo non venga sottratto a cose più importanti. Dal canto mio i miei test li faccio la sera tardi o di notte quando le piccole dormono. E' questione di priorità. Tutto quì. Ma non mi si venga a dire che il "gioco" non è importante.

Si hai ragione,grazie per quello che hai scritto.:)
E' stato un attimo di tristezza.
Come ho scritto altre volte il nostro cervello ricorda come dilatati i ricordi tristi e contratti quelli felici.
E' un meccanismo di difesa, ed è vero !!
Ecco perchè esiste il detto che "la felicità dura un attimo".
Ma noi ci rimboccheremo come altre volte le maniche ed andremo avanti.....;)

Perdonate questi O.T.

Host : XP sp3 aggiornato
VM : VirtualBox 3.0.4.0
Guest : XP sp3 aggiornato
Suite di sicurezza : CIS 3.11.xxxxx.552 completa - database AV 2264 - Proactive Security - Paranoid Mode
ISR : RVS 2010 beta 8

Malware wversion.exe - MD5: f5c6b935e47b6a8da4c5337f8dc84f76

Analisi su VirusTotal : http://www.virustotal.com/analisis/4e48da87b815d2a6396a35b39e5f0c027151f9b6e0c73572205178a727df99f5-1252526364

Come già ci aveva anticipato nV 25 (http://www.hwupgrade.it/forum/showpost.php?p=28338489&postcount=2152), il malware in questione si occupa di criptare alcuni file in modo da renderne impossibile il recupero.

Il controllo in tempo reale degli antivirus lo riconoscono entrambi http://img39.imagefra.me/img/img39/2/9/10/sirio/t_v7apmm_35fc946.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_v7apmm_35fc946.png&srv=img39) http://img40.imagefra.me/img/img40/2/9/10/sirio/t_b6m_c29ac36.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_b6m_c29ac36.png&srv=img40) disattivo i real-time per poter proseguire.

Ho fatto tre test, il primo con CIS in Proactive Security a default accettando tutte le richieste...e notiamo la prima cosa strana, il secondo accettando solo l'avvio di wversion.exe e negando tutte le richieste...qui la cosa "strana" diventa preoccupante (avendo negato col D+ tutte le richieste successive all'avvio :wtf:).
Prima del terzo test sono andato a vedere le policy del D+ per controllare eventuali regole troppo permissive, createsi in Safe Mode. Ho trovato tutto normale, così ho deciso di portare su Aggressive l'Image Execution Control ed ho avviato il virus.. ma storia è sempre quella.

Primo Test

Consento l'esecuzione di wversion.exe http://img38.imagefra.me/img/img38/2/9/10/sirio/t_1m_23ab9a7.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_1m_23ab9a7.png&srv=img38) il quale chiede l'accesso diretto al disco http://img38.imagefra.me/img/img38/2/9/10/sirio/t_2m_9479e33.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_2m_9479e33.png&srv=img38) consentito, e qui ho avuto la richiesta (IMO) strana http://img38.imagefra.me/img/img38/2/9/10/sirio/t_3m_83cc4c0.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_3m_83cc4c0.png&srv=img38) strana perché non è il virus che tenta di modificare la cartella zippata di wversion bensì rvsmon.exe (il servizio di Returnil). :confused:
Dopo il malware si comporta come mi aspettavo e va a criptare alcuni file. Il D+ in questo caso ci avvisa prima della modifica (prendo due avvisi a caso) http://img37.imagefra.me/img/img37/2/9/10/sirio/t_12m_48da246.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_12m_48da246.png&srv=img37) poi della creazione del file criptato (gz) http://img40.imagefra.me/img/img40/2/9/10/sirio/t_13m_5e9264b.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_13m_5e9264b.png&srv=img40) e così via per gli altri file. Invece, per la criptazione fatta da rvsmon.exe alla cartella zippata di wversion ho avuto solamente un popup: quello relativo alla modifica ma non quello della creazione :confused:
Una volta concluso vado a controllare qualche file e come potete immaginare il virus a fatto i suoi danni modificando - e rendedone quindi impossibile l'apertura - parecchi file e cartelle.
Riavvio la macchina virtuale per controllare se RVS 2010 ha fatto bene il suo lavoro e tutto mi sembra normale eccetto la partizione virtuale di RVS, la Z: (dove appunto avevo appoggiato momentaneamente la cartella zippata del malware), trovo wversion modificato e inaccessibile (non avevo protetto la partizione con RVS perché dovevo salvarci le immagini... che per fortuna non ha criptato :D). In C: le cartelle/file sono tornati come prima.


Secondo Test

Questa volta avendo bloccato tutte le richieste successive all'esecuzione, ero tranquillo che non sarebbe riuscito a modificare qualcosa e invece il D+ è riuscito si a bloccare tutto quello che accadeva su C: ma non la modifica http://img38.imagefra.me/img/img38/2/9/10/sirio/t_3m_83cc4c0.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_3m_83cc4c0.png&srv=img38) della cartella zippata su Z: :wtf: http://img38.imagefra.me/img/img38/2/9/10/sirio/t_1p1hlnstgh6m_9661350.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_1p1hlnstgh6m_9661350.png&srv=img38)
Ecco il log http://img38.imagefra.me/img/img38/2/9/10/sirio/t_tjeb0vgpf11m_97fa011.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_tjeb0vgpf11m_97fa011.png&srv=img38)


Terzo test

Image Execution Control su Aggressive e ripeto la prova.... arrivo fino a questa richiesta bloccando le precedenti e poi provo a dare la policy predefinita Isolated Application http://img39.imagefra.me/img/img39/2/9/10/sirio/t_4m_a90d08a.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_4m_a90d08a.png&srv=img39) http://img37.imagefra.me/img/img37/2/9/10/sirio/t_6m_cc52a52.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_6m_cc52a52.png&srv=img37) tutto come prima: disco C protetto disco Z no :cry: http://img38.imagefra.me/img/img38/2/9/10/sirio/t_1p1hlnstgh6m_9661350.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_1p1hlnstgh6m_9661350.png&srv=img38)
Questo il log http://img39.imagefra.me/img/img39/2/9/10/sirio/t_y0ugxqbsu8km_a17a320.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_y0ugxqbsu8km_a17a320.png&srv=img39)

ciao Sirio :)

non ho capito una mazza del test, ma ti chiedo: ccè dovemo kakà ? :D :D

...ccè dovemo kakà ? :D :D
parzialmente....:ciapet:

comunque in alcuni passaggi il comportamento del D+ è stato strano, non mi convince..soprattutto perchè si disinteressa di una partizione senza apparente motivo :cry:

ciao Sirio :)

non ho capito una mazza del test, ma ti chiedo: ccè dovemo kakà ? :D :D

Sei proprio er peggio :Prrr: :Prrr:

Si può sapere quando riapre 'sto negozio che non si legge :D :D :asd:

Sei proprio er peggio :Prrr: :Prrr:

Si può sapere quando riapre 'sto negozio che non si legge :D :D :asd:

dal 23/2 fino a......quando passa :ciapet: :ciapet:

parzialmente....:ciapet:

comunque in alcuni passaggi il comportamento del D+ è stato strano, non mi convince..soprattutto perchè si disinteressa di una partizione senza apparente motivo :cry:

I miei complimenti a Sirio per il test.;)

Comodo e AO hanno raggiunto un indice di penetrazione considerevole.
C'erano da aspettarsele queste "vulnerabilità" ,i soliti furboni infatti certamente testano il loro malwares in primis con questi 2 sw di sicurezza.

Grazie sampei :)

Cmq è vero: non fanno in tempo a coprire un buco che ne escono fuori altri 10 :cry: ..una lotta senza fine.
Poi... forse sarà perché sono le suite più diffuse e vengono prese di mira maggiormente, in ogni caso c'è sempre qualche malware che riesce a trovare il modo di bypassare le protezioni.

Avevo dimenticato di scrivere che questa volta (per me la prima) l'euristica del D+ ha fatto cilecca http://img38.imagefra.me/img/img38/2/9/10/sirio/t_1m_23ab9a7.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_1m_23ab9a7.png&srv=img38)

ciao Sirio :)

non ho capito una mazza del test, ma ti chiedo: ccè dovemo kakà ? :D :D

Come ha scritto cloutz la cosa non va tanto bene :stordita: perché nel secondo e terzo test, ho bloccato anche la modifica della cartella compressa wversion sulla partizione virtuale Z: ...ma non ha funzionato.
Come puoi vedere dal log, l'evento è registrato come bloccato ma andando a verificare ho trovato la cartella modificata in gz.
Ho provato varie volte rimettendo sempre la cartella originale... e il maledetto me la criptava sempre :(

Ciao bona......salve :D

P.S. Davvero carino l'avatar, lo devo adottare anch'io :sofico: :stordita:

Come ha scritto cloutz la cosa non va tanto bene :stordita: perché nel secondo e terzo test, ho bloccato anche la modifica della cartella compressa wversion sulla partizione virtuale Z: ...ma non ha funzionato.
Come puoi vedere dal log, l'evento è registrato come bloccato ma andando a verificare ho trovato la cartella modificata in gz.
Ho provato varie volte rimettendo sempre la cartella originale... e il maledetto me la criptava sempre :(

Ciao bona......salve :D

P.S. Davvero carino l'avatar, lo devo adottare anch'io :sofico: :stordita:

ciao Sirio :D

son sicuro che se comunichi la cosa a quelli di Comodo risolveranno il problema.
o ti manderanno a caghèr :Prrr: :ciapet:

;)

Grazie sampei :)

Cmq è vero: non fanno in tempo a coprire un buco che ne escono fuori altri 10 :cry: ..una lotta senza fine.
Poi... forse sarà perché sono le suite più diffuse e vengono prese di mira maggiormente, in ogni caso c'è sempre qualche malware che riesce a trovare il modo di bypassare le protezioni.

Avevo dimenticato di scrivere che questa volta (per me la prima) l'euristica del D+ ha fatto cilecca http://img38.imagefra.me/img/img38/2/9/10/sirio/t_1m_23ab9a7.png (http://imagefra.me/view.php?img=/2/9/10/sirio/f_1m_23ab9a7.png&srv=img38)

E' per quello che io preferisco da sempre usare sw meno diffusi di quelli più diffusi.
Ci potrebbe essere il rovescio della medaglia e cioè che lo sviluppo dei sw poco diffusi è meno efficiente, ma probabilmente la maggiore attenzione vanifica come giustamente hai scritto tu questo sforzo.

E' per quello che io preferisco da sempre usare sw meno diffusi di quelli più diffusi.
Ci potrebbe essere il rovescio della medaglia e cioè che lo sviluppo dei sw poco diffusi è meno efficiente, ma probabilmente la maggiore attenzione vanifica come giustamente hai scritto tu questo sforzo.



quello di cui mi sto rendendo conto io è che tutto è vano..
i softw meno diffusi sono meno presi di mira, ma il loro sviluppo ristagna e lascia spazio a bug; i softw più diffusi hanno uno sviluppo incessante, ma sono i più esposti...
per un motivo o per un altro ci sono sempre fattori, vulnerabilità, che rendono precaria la sicurezza del nostro sistema...

è una corsa contro il tempo ad armi impari...che tristezza:(

quello di cui mi sto rendendo conto io è che tutto è vano..
i softw meno diffusi sono meno presi di mira, ma il loro sviluppo ristagna e lascia spazio a bug; i softw più diffusi hanno uno sviluppo incessante, ma sono i più esposti...
per un motivo o per un altro ci sono sempre fattori, vulnerabilità, che rendono precaria la sicurezza del nostro sistema...

è una corsa contro il tempo ad armi impari...che tristezza:(

e' come una partita al poker...non si ha mai la sicurezza di vincere,perche' non esiste il punto assoluto...:read:

Vero.. ma noi non ci abbattiamo e ci mettiamo una "pezza" :D

wvwersion vs CIS 3.11 e RVS 2010 - Aggiornamenti

Forse il popup in cui ricevevo la richiesta per la modifica di wversion.zip nella partizione virtuale Z: da parte di rvsmon.exe, per intenderci questo http://img37.imagefra.me/img/img37/2/9/13/sirio/t_3m_28c35c5.png (http://imagefra.me/view.php?img=/2/9/13/sirio/f_3m_28c35c5.png&srv=img37) era dovuto ad un errore di RVS 3.0.5438.4886 http://img40.imagefra.me/img/img40/2/9/9/sirio/t_17j3kbanq5xm_5b3dd90.png (http://imagefra.me/view.php?img=/2/9/9/sirio/f_17j3kbanq5xm_5b3dd90.png&srv=img40) ricevuto dopo aver eseguito il primo test e riavviato il PC.
Ho scaricato e installato la nuova beta 3.0.5869.4905 di RVS 2010, e ripetuto la prova.
Questa volta non ho ricevuto alcuna richiesta da parte di rvsmon.exe ma sempre da wversion.exe... come IMO dovrebbe essere, però il problema del D+ che non riesce a bloccare la modifica degli archivi nella partizione Z anche negando le richieste, rimane. Allora, visto che il malware si preoccupa di criptare alcuni archivi o file di testo, ho tentato aggiungendo questi tipi di file nei File Protetti http://img37.imagefra.me/img/img37/2/9/13/sirio/t_lqhu74smxptm_9b4c0fa.png (http://imagefra.me/view.php?img=/2/9/13/sirio/f_lqhu74smxptm_9b4c0fa.png&srv=img37) per l'esattezza, ho creato prima dei gruppi dal pulsante Gruppi... e poi li ho aggiunti nel My Protected Files.
Aggiungendo queste estensioni, il D+ sfornerà qualche popup in più riguardo i file in questione, per esempio, avendo creato le voci *.zip, *.rar e *.7z, quando andremo a comprimere o decomprimere un archivio avente una di queste estensioni (attività legittime), il D+ si farà sentire sempre e comunque (una palla...), ma noi possiamo ovviare al problema andando a fare le regole opportune. Andiamo in D+ -> Avanzate -> Policy di Sicurezza del Computer -> cerchiamo il nostro programma di compressione (Winzip, 7-Zip, ecc.), doppio click -> Diritti di Accesso -> cerchiamo File/Cartelle protette e clicchiamo sul tasto Modifica corrispondente -> Aggiungi -> Sfoglia... -> su Aggiungi nuovo elemento digitiamo: *.zip e clicchiamo sul pulsante + che è accanto e la voce *.zip andrà a spostarsi negli Elementi Selezionati. http://img39.imagefra.me/img/img39/2/9/13/sirio/t_l5chofd9o1lm_600b204.png (http://imagefra.me/view.php?img=/2/9/13/sirio/f_l5chofd9o1lm_600b204.png&srv=img39)
Ripetiamo questo passaggio per tutte le estensioni che ci interessano (.rar, .7z, ecc.) -> click su Applica e otterremo una finestra del genere http://img37.imagefra.me/img/img37/2/9/13/sirio/t_lqhu74smxptm_9634f30.png (http://imagefra.me/view.php?img=/2/9/13/sirio/f_lqhu74smxptm_9634f30.png&srv=img37) -> click su OK -> Applica -> Applica -> Applica. In questo modo il nostro programma di compressione potrà fare il suo lavoro senza che il D+ intervenga per ogni file o cartella.

Le richieste che ho avuto rieseguendo il test sono sempre le stesse (eccetto per rvsmon.exe che non ho più visto) però questa volta il virus non riesce a modificare alcun file, neache quelli su Z: :asd:

Eccovi il Log http://img37.imagefra.me/img/img37/2/9/13/sirio/t_spnlk12dmxqm_a30826f.png (http://imagefra.me/view.php?img=/2/9/13/sirio/f_spnlk12dmxqm_a30826f.png&srv=img37)

ciao Sirio :D

son sicuro che se comunichi la cosa a quelli di Comodo risolveranno il problema.
o ti manderanno a caghèr :Prrr: :ciapet:

;)

Vedrò in seguito, forse dipende da RVS che è ancora in fase beta... dovrei fare qualche altra prova ma il tempo è quello che è, e per fare questi test cercando di non sbagliare ce ne vuole tanto. :p

Ciao.

...

e cioè che lo sviluppo dei sw poco diffusi è meno efficiente, ma probabilmente la maggiore attenzione vanifica come giustamente hai scritto tu questo sforzo.



In che senso? SCusami ma non ho ben capito :)

quello di cui mi sto rendendo conto io è che tutto è vano..
i softw meno diffusi sono meno presi di mira, ma il loro sviluppo ristagna e lascia spazio a bug; i softw più diffusi hanno uno sviluppo incessante, ma sono i più esposti...
per un motivo o per un altro ci sono sempre fattori, vulnerabilità, che rendono precaria la sicurezza del nostro sistema...

è una corsa contro il tempo ad armi impari...che tristezza:(

No non è una lotta ad armi impari perchè con ciò che hai esposto sopra tu impari la diversificazione.;)
Prima inizi a diversificare i vari sw di sicurezza nella configurazione di magari vari pc poi secondo me l'ulteriore passo è qella della diversificazione dei OS.

In che senso? SCusami ma non ho ben capito :)

Ciao Sirio volevo scrivere quello che ha scritto Cloutz.
Ed invece non si è capito nulla !! :doh: :doh: :)

@Sirio:
hai ricevuto l'email? c'era scritto, in maniera molto più sbrigativa, proprio questo*:D
poi tu conosci meglio di me il D+, anche per la gestione delle regole, quindi hai fatto un lavoro di fino con eleganza...il mio pensiero era più grezzo:D


*l'aggiungere tali estensioni ai my protected files


Saluti

Vedrò in seguito, forse dipende da RVS che è ancora in fase beta... dovrei fare qualche altra prova ma il tempo è quello che è, e per fare questi test cercando di non sbagliare ce ne vuole tanto. :p

Ciao.

beh mi pare che l'hai risolto da solo il problema con la storia delle regole per zip rar 7zip ;)
se non ho capito male :asd:

cmq dici che quelle regolette dovremmo "apprenderle" anche noi ? :confused:

@Sirio:
hai ricevuto l'email? c'era scritto, in maniera molto più sbrigativa, proprio questo*:D
poi tu conosci meglio di me il D+, anche per la gestione delle regole, quindi hai fatto un lavoro di fino con eleganza...il mio pensiero era più grezzo:D


*l'aggiungere tali estensioni ai my protected files

Saluti

Ciao cloutz,
bravo :) però non ho ricevuto alcuna mail da parte tua, non so quale indirizzo usi ma a me 'ste mail che mi mandi non arrivano mai :boh:


beh mi pare che l'hai risolto da solo il problema con la storia delle regole per zip rar 7zip ;)
se non ho capito male :asd:

cmq dici che quelle regolette dovremmo "apprenderle" anche noi ? :confused:

No, non hai capito male :D

Per le regolette, mmmhhh... beh la possibilità di beccare un virus del genere è remota, poi come hai visto gli AV lo riconoscono, però potrebbe uscire qualche variante... anche se IMHO i malware oggi sono più orientati a fare altro che rendere inservibile il nostro sistema.

Cmq se hai un po' di pazienza e ti vuoi divertire a farle sicuramente renderai il PC più sicuro e imparerai meglio l'uso del D+.

Ciao ;)

Ciao cloutz,
bravo :) però non ho ricevuto alcuna mail da parte tua, non so quale indirizzo usi ma a me 'ste mail che mi mandi non arrivano mai :boh:


ho usato la funzione "Invia e-mail" cliccando sul tuo nome utente:D
d'ora in poi solo pm, sennò è un casino:p

comunque, alla fine, se il problema è stato limitato con la semplice creazione di qualche regola...direi che non può essere considerata una "vulnerabilità", ma solo una questione di ruleset (potremmo farglielo presente, volendo, cosicchè migliorino il ruleset @default).

il problema sarebbe stato ben più grosso se, anche creando le regole, non avesse intercettato tali comportamenti:asd:

Saluti

No, non hai capito male :D

Per le regolette, mmmhhh... beh la possibilità di beccare un virus del genere è remota, poi come hai visto gli AV lo riconoscono, però potrebbe uscire qualche variante... anche se IMHO i malware oggi sono più orientati a fare altro che rendere inservibile il nostro sistema.

Cmq se hai un po' di pazienza e ti vuoi divertire a farle sicuramente renderai il PC più sicuro e imparerai meglio l'uso del D+.

Ciao ;)

ah mbè...allora si possono mettere tranquillamente queste regolette...pararsi il :ciapet: non fa mai male, soprattutto a noi uooooomini :D :D

X Sirio

ho aggiunto le regole come hai segnalato per zip rar 7z.
siccome ho visto che avevi aggiunto anche le regole per i gruppi "file di testo" e "file immagini" li ho aggiunti anche io :Prrr:
va fatta identica procedura, vero ? solo che una volta aggiunti i gruppi in File protetti non so più proseguire in "Avanzate" "Policy di sicurezza" perchè se per Winrar c'era la relativa voce per i file immagini e testo che strada bisogna seguire ? oppure basta solo aggiungere i gruppi e basta ?

@ buonasalve

Visto che le estensioni .zip, .rar, .7z, ecc. interagiscono con il tuo programma di compressione, ovviamente tu avrai fatto le regole per winrar.exe (aggiungere nei suoi Diritti di Accesso nella voce File/Cartelle protette nel tab File Cartelle Abilitati, tali estensioni).
Per i file di testo quali programmi usi? Blocco note, word, ecc.? Bene, nelle Regole Applicazioni dovrai aggiungere ad ogni programma per la gestione dei testi, le varie estensioni messe... nei File Protetti (.txt, .doc, ecc.).
Per le immagini stessa cosa, cerchi nelle Regole Applicazioni i tuoi programmi per la gestione delle immagini e aggiungi tali estensioni... sempre alla voce File/Cartelle protette.
Se vuoi puoi farle pure per i file musicali .mp3, .wav, ecc. :D e così via.....

ho usato la funzione "Invia e-mail" cliccando sul tuo nome utente:D
d'ora in poi solo pm, sennò è un casino:p

Ecco perché :stordita: avoglia a cercare le tue mail :D non uso molto quell'indirizzo eMail... lo devo cambiare. Cmq usa i PM, è più sicuro... a parte che ricordo di averti dato l'indirizzo che uso regolarmente almeno un paio di volte... che fine gl'hai fatto fare? Formattone...? :D ;)

comunque, alla fine, se il problema è stato limitato con la semplice creazione di qualche regola...direi che non può essere considerata una "vulnerabilità", ma solo una questione di ruleset (potremmo farglielo presente, volendo, cosicchè migliorino il ruleset @default).

il problema sarebbe stato ben più grosso se, anche creando le regole, non avesse intercettato tali comportamenti:asd:

Saluti

Si però le richieste ci sono... perché anche rispondendo no, i file vengono modificati? :wtf:

Dovrei provare senza RVS e con qualche pendrive o HD esterno, se trovo il tempo...

Anche perché vorrei passare al b.css

Ciao ;)

@ buonasalve

Visto che le estensioni .zip, .rar, .7z, ecc. interagiscono con il tuo programma di compressione, ovviamente tu avrai fatto le regole per winrar.exe (aggiungere nei suoi Diritti di Accesso nella voce File/Cartelle protette nel tab File Cartelle Abilitati, tali estensioni).
Per i file di testo quali programmi usi? Blocco note, word, ecc.? Bene, nelle Regole Applicazioni dovrai aggiungere ad ogni programma per la gestione dei testi, le varie estensioni messe... nei File Protetti (.txt, .doc, ecc.).
Per le immagini stessa cosa, cerchi nelle Regole Applicazioni i tuoi programmi per la gestione delle immagini e aggiungi tali estensioni... sempre alla voce File/Cartelle protette.
Se vuoi puoi farle pure per i file musicali .mp3, .wav, ecc. :D e così via.....

Grande sirio ...potevi nella grande guida inserire un paragrafo per gli smanettoni...e inserire queste interessanti regole.
questo programma non finisce mai di stupirmi;)

Ecco perché :stordita: avoglia a cercare le tue mail :D non uso molto quell'indirizzo eMail... lo devo cambiare. Cmq usa i PM, è più sicuro... a parte che ricordo di averti dato l'indirizzo che uso regolarmente almeno un paio di volte... che fine gl'hai fatto fare? Formattone...? :D ;)

l'avrò perso figurati:D


Si però le richieste ci sono... perché anche rispondendo no, i file vengono modificati? :wtf:

ehm..questo passaggio mi era sfuggito:stordita: :boh:

edit:
nel 3d dove Aigle ne parla (qui (http://www.wilderssecurity.com/showthread.php?t=248427)) c'è anche D+ che viene testato dal post 14 al 16. Benchè aigle si fermi prima, anche lui sostiene che "data file encrption will be intercepted if u add data files( txt, doc, zip) etc into ur protected files".

Grande sirio ...potevi nella grande guida inserire un paragrafo per gli smanettoni...e inserire queste interessanti regole.
questo programma non finisce mai di stupirmi;)
ci avessi capito qualcosa almeno ! :doh: :D :D :D

le regole per i file rar zip 7z mi pare di essere riuscito a metterle :mc:
ma il messaggio di Sirio di inizio pagina mi è oscurissimo :asd:
ho bisogno dei passi specifici così come aveva fatto per i file compressi :(

Sirioooooo, sii magnanimo da fare una piccola guida :sofico:

ci avessi capito qualcosa almeno ! :doh: :D :D :D

le regole per i file rar zip 7z mi pare di essere riuscito a metterle :mc:
ma il messaggio di Sirio di inizio pagina mi è oscurissimo :asd:
ho bisogno dei passi specifici così come aveva fatto per i file compressi :(

Sirioooooo, sii magnanimo da fare una piccola guida :sofico:

una volta aggiunte le voci nei File Protetti hai fatto in modo che il D+ ti avvisi su tutto ciò che riguarda .zip, .7z e .rar.
In tal caso la regola sarebbe troppo assillante, dato che per esempio WinRar può avere, abbastanza tranquillamente, il permesso di gestire tali estensioni senza creare problemi*.

Quindi vai in D+> Advanced> Computer Security Policy (sarebbe l'equivalente di Policy di Sicurezza del Computer, credo).
Qui doppio click sulla regola per l'applicazione di compressione che ti interessa (per es. WinRar o Izarc) e selezioni Access Rights (Diritti di Accesso). A questo punto vai in Protected Files/Folders e clicchi Modifica.

http://img19.imageshack.us/img19/2998/immaginerz.th.png (http://img19.imageshack.us/i/immaginerz.png/)

Sarà in questa finestra che dovrai impostare le regole che permetteranno al tuo programma (WinRar o Izarc) di usare le estensioni .zip ecc...quindi creerai delle regole permissive.

clicchiamo su Add > Browse (in italiano penso sia Sfoglia)e nella finestra che si apre scriviamo in alto *.zip, cliccando poi sul + che abbiamo in alto a destra. Aggiungiamo le altre estensioni (.rar, .7z e .gz), clicchiamo tutti gli Apply che dobbiamo dare nelle altre finestre rimaste aperte e usciamo.

ora, la stessa ed identica cosa puoi farla con Word e i file .doc, con Notepad e i file .txt, con WindowsMediaPlayer e i file .mp3, .wav ecc...sempre inserendoli nei File protetti e poi andando a permetterli nella scheda Diritti di Accesso di ciascuna Regola Applicazione (Word, Notepad, WMP ecc)..

p.s.: scusate se lo screen e i riferimenti sono in Inglese..momentaneamente ho installato questa:D

Saluti


*in realtà il concetto è un pò diverso..nel senso che, come abbiamo visto in questo test, la fase di criptaggio è stata a carico del nuovo processo (sconosciuto) vwersion.exe, non a carico del programma di compressione predefinto (Winrar per es).
Quindi abbiamo dato libertà al nostro Winrar mentre tutto il resto, per cui non esiste una esplicita regola che consenta ciò (= tutto quello che è sconosciuto), sarà monitorato.
Ciò comporta che con queste regole vwersion.exe sarebbe stato monitorato, come qualunque altro processo sconosciuto che tenta di trattare .zip ;)

*in realtà il concetto è un pò diverso..nel senso che, come abbiamo visto in questo test, la fase di criptaggio è stata a carico del nuovo processo (sconosciuto) vwersion.exe, non a carico del programma di compressione predefinto (Winrar per es).
Quindi abbiamo dato libertà al nostro Winrar mentre tutto il resto, per cui non esiste una esplicita regola che consenta ciò (= tutto quello che è sconosciuto), sarà monitorato.
Ciò comporta che con queste regole vwersion.exe sarebbe stato monitorato, come qualunque altro processo sconosciuto che tenta di trattare .zip ;)

saremmo stati avvisati di questa azione sospetta o ilo nprogramma lo avrebbe negato secondo le regole?

saremmo stati avvisati di questa azione sospetta o ilo nprogramma lo avrebbe negato secondo le regole?

le regole in File Protetti per le estensioni fanno in modo che D+ controlli quelle estensioni, e ti avvisi quando qualche programma le crea/modifica/legge.
Noi abbiamo solo creato una regola che permette a Winrar di usare tali estensioni, senza che ci avvisi, dato che lo conosciamo e lo usiamo abitualmente.
Quindi, per qualunque altro programma saremmo stati avvisati;)


Però ripeto, non state a scervellarvi troppo, è difficile trovare un malware così tosto:D

Grande sirio ...potevi nella grande guida inserire un paragrafo per gli smanettoni...e inserire queste interessanti regole.
questo programma non finisce mai di stupirmi;)

Grazie arny :)
La guida c'è da rifarla tutta, però a questo punto pensavo di aspettare l'uscita della v 4 :D

l'avrò perso figurati:D


ehm..questo passaggio mi era sfuggito:stordita: :boh:

edit:
nel 3d dove Aigle ne parla (qui (http://www.wilderssecurity.com/showthread.php?t=248427)) c'è anche D+ che viene testato dal post 14 al 16. Benchè aigle si fermi prima, anche lui sostiene che "data file encrption will be intercepted if u add data files( txt, doc, zip) etc into ur protected files".

Bè.. allora sono inutili altri test anche lui conferma le modifiche che avvengono su altri dischi/partizioni... e non ha RVS.

Domandina per gli utilizzatori di Sandboxie: Ma Sandboxie crea una sorta di partizione virtuale? Che cos'è quel \Drive\D\? http://img39.imagefra.me/img/img39/2/9/15/sirio/t_nbs3aucw4m_e877858.png (http://imagefra.me/view.php?img=/2/9/15/sirio/f_nbs3aucw4m_e877858.png&srv=img39)
Chiedo questo perché il D+ a me ha sempre protetto il disco C:, dove c'è l'OS.

Cmq visto che D+ a default non protegge altri dischi come dovrebbe, ho provato ad aggiungere tutti i dischi/partizioni che ho http://img37.imagefra.me/img/img37/2/9/15/sirio/t_jaur71m_2a96bbe.png (http://imagefra.me/view.php?img=/2/9/15/sirio/f_jaur71m_2a96bbe.png&srv=img37) vediamo che succede. :D



ci avessi capito qualcosa almeno ! :doh: :D :D :D

le regole per i file rar zip 7z mi pare di essere riuscito a metterle :mc:
ma il messaggio di Sirio di inizio pagina mi è oscurissimo :asd:
ho bisogno dei passi specifici così come aveva fatto per i file compressi :(

Sirioooooo, sii magnanimo da fare una piccola guida :sofico:

Nel test ho spiegato come creare passo passo le regole per abilitare i programmi tipo winrar, ecc., ad usare le estensioni che ho aggiunto nei File Protetti per non essere "disturbati" dal D+ mentre lavorano. Però non ho spiegato come aggiungerle ai File Protetti.

D+ => Funzioni Generali => File Protetti => click sul pulsante Gruppi... => Aggiungi... => Seleziona da... => Nuovo Gruppo... => dare un nome al gruppo (ad es. Archivi compressi) => Applica => scorrere la lista dei Miei File - Gruppi ed in fondo troveremo il gruppo appena creato => click col tasto destro su aggiungi file qui => Aggiungi... => e si aprirà la finestra per aggiungere gli elementi => su Aggiungi nuovo elemento digitare l'estensione con l'asterisco prima (per es. *.zip) => click sul pulsante + accanto, e così via per tutte le altre.
Così anche per gli altri gruppi che vorremmo creare.
Una volta creati i gruppi in Miei File Gruppi dovremo aggiungerli nei File Protetti, quindi click su Aggiungi... => Gruppi File => e nella lista che si aprirà troverete anche i gruppi appena creati => click sul gruppo che ci interessa ed infine Applica. Successivamente andremo fare le regole per le applicazioni che usano le estensioni aggiunte.
Tutto chiaro no? :D

Invece per aggiungere un disco o partizione, una volta arrivati nella finestra per aggiungere gli elementi, andremo nel riquadro degli Elementi Esistenti => click per espandere le Risorse del Computer => selezioniamo il disco che c'interessa e clicchiamo sul pulsante -> per spostarlo negli Elementi Selezionati http://img39.imagefra.me/img/img39/2/9/15/sirio/t_hr5kofdfm_3a89a2a.png (http://imagefra.me/view.php?img=/2/9/15/sirio/f_hr5kofdfm_3a89a2a.png&srv=img39) e così via per gli altri dischi, dopo, ricordarsi di aggiungere il gruppo nei File Protetti come spiegato sopra.

Ciao ciao

grazie Sirio...me lo leggo con calma e poi cerco di rifare tutti i passi ;)

grazie Sirio...me lo leggo con calma e poi cerco di rifare tutti i passi ;)

Una volta create le voci nei File Protetti di CIS, per semplificare potete mettere la regola predefinita Applicazione Fidata al programma che le usa (ad es. winrar.exe), senza andare a modificare i Diritti di Accesso ;)

Host: XP sp3 aggiornato
VM: VirtualBox 3.0.4.0
Guest: XP sp3 aggiornato
Suite di sicurezza: CIS 3.11.108364.552 completa - database AV 2326 - Proactive Security - Paranoid Mode a default
ISR: RVS 2010 - 3.0.5869.4905

Malware b.css MD5: 8404200644217e86445d89d1f3ae8fee

Analisi su VirusTotal: http://www.virustotal.com/analisis/f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15-1253090543

Analisi su ThreatExpert: http://www.threatexpert.com/report.aspx?md5=8404200644217e86445d89d1f3ae8fee

Analisi su CIMA: http://camas.comodo.com/cgi-bin/submit?file=f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15

Da quello che ho potuto notare questo malware si occupa di varie cose una volta avviato, direi... un virus molto cattivo! :eekk: :read:

La protezione real-time di Comodo antivirus lo riconosce http://img38.imagefra.me/img/img38/2/9/16/sirio/t_bh7m_f348d0e.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_bh7m_f348d0e.png&srv=img38) quella di Returnil 2010 beta no.

Avvio b.css da prompt dei comandi (finestra dos) e come potete vedere l'analisi euristica del D+ lo riconosce come possibile malware http://img40.imagefra.me/img/img40/2/9/16/sirio/t_1m_61836e7.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_1m_61836e7.png&srv=img40) dato l'unico assenso per l'esecuzione, nego tutte le attività successive, eccetto l'accesso al DNS/RPC Client Service perché volevo vedere dove si collegava.

Inizia modificando una chiave protetta del registo di sistema http://img39.imagefra.me/img/img39/2/9/16/sirio/t_2m_e70d3c7.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_2m_e70d3c7.png&srv=img39) dopo chiede privilegi di Debug http://img38.imagefra.me/img/img38/2/9/16/sirio/t_3m_c95739b.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_3m_c95739b.png&srv=img38) crea una libreria http://img37.imagefra.me/img/img37/2/9/16/sirio/t_5m_c47e88c.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_5m_c47e88c.png&srv=img37) ed inizia a modificare moltissime chiavi del registro di sistema http://img37.imagefra.me/img/img37/2/9/16/sirio/t_6m_09bf7a8.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_6m_09bf7a8.png&srv=img37) http://img37.imagefra.me/img/img37/2/9/16/sirio/t_7m_36c1969.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_7m_36c1969.png&srv=img37) http://img37.imagefra.me/img/img37/2/9/16/sirio/t_8m_fe0d84d.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_8m_fe0d84d.png&srv=img37) http://img38.imagefra.me/img/img38/2/9/16/sirio/t_9m_4fe6524.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_9m_4fe6524.png&srv=img38) http://img39.imagefra.me/img/img39/2/9/16/sirio/t_11m_85ae001.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_11m_85ae001.png&srv=img39)

Poi cerca di creare o modificare i file autorun.inf con uno infettato nelle varie partizioni che trova, in questo scrren http://img37.imagefra.me/img/img37/2/9/16/sirio/t_12m_80cea65.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_12m_80cea65.png&srv=img37) possiamo vedere mentre prova su C: dove non riesce, in seguito lo farà anche sugli altri dischi ed ecco la prova (purtroppo :() sulla mia pendrive http://img39.imagefra.me/img/img39/2/9/16/sirio/t_1kahr9i3p2mm_9040653.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_1kahr9i3p2mm_9040653.png&srv=img39) http://img40.imagefra.me/img/img40/2/9/16/sirio/t_1s8tpji8qqhm_9b14b74.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_1s8tpji8qqhm_9b14b74.png&srv=img40) solo che io non ho ricevuto alcuna segnalazione da D+ per la creazione dell'autorun.inf su altri dischi, bensì di E:\TPR.PIF o Y:\TPR.PIF... e comunque CAVS non lo riconosce http://img40.imagefra.me/img/img40/2/9/16/sirio/t_132m_60b7857.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_132m_60b7857.png&srv=img40)

Prima del riavvio ho provato a cancellare E:\autorun.inf manualmente ma dopo qualche secondo era lì di nuovo http://img38.imagefra.me/img/img38/2/9/16/sirio/t_2lbc2vj744gm_fd3a229.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_2lbc2vj744gm_fd3a229.png&srv=img38) e niente popup, quindi, aimé.. come avevamo constatato per wversion.exe anche qui D+ non protegge gli altri dischi diversi da dove risiede l'OS.

Per proteggere le altre partizioni bisogna aggiungerle ai File Protetti, come indicato in fondo al post # 189 http://img37.imagefra.me/img/img37/2/9/15/sirio/t_jaur71m_2a96bbe.png (http://imagefra.me/view.php?img=/2/9/15/sirio/f_jaur71m_2a96bbe.png&srv=img37) in questo modo il malware non riesce a scrivere autorun.inf in nessun disco o partizione.

Continua nel prossimo post

Seconda parte

Intanto b.css rimane attivo in memoria http://img39.imagefra.me/img/img39/2/9/16/sirio/t_14e9cm_9d2f8e3.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_14e9cm_9d2f8e3.png&srv=img39) e tenta di fare altri danni, per esempio va alla ricerca di eventuali antivirus installati per corromperli http://img40.imagefra.me/img/img40/2/9/16/sirio/t_28m_8b2fce7.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_28m_8b2fce7.png&srv=img40) http://img37.imagefra.me/img/img37/2/9/16/sirio/t_29m_304b01c.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_29m_304b01c.png&srv=img37) e qui ho avuto una comunicazione da CIS http://img37.imagefra.me/img/img37/2/9/16/sirio/t_2am_661627a.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_2am_661627a.png&srv=img37) (l'unica, anche se non avevo nessuno degli AV o suite di sicurezza per i quali tenta la modifica successivamente) http://img37.imagefra.me/img/img37/2/9/16/sirio/t_36m_70cc7bb.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_36m_70cc7bb.png&srv=img37) http://img38.imagefra.me/img/img38/2/9/16/sirio/t_58m_c149ebe.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_58m_c149ebe.png&srv=img38) http://img38.imagefra.me/img/img38/2/9/16/sirio/t_77m_16f61d2.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_77m_16f61d2.png&srv=img38) ...ecc.

Ma la storia non finisce qui, il trojan downloader (sarebbe opportuno chiamarlo "il bastardo" visto quello che fa) chiede l'accesso al DNS/RPC Client Service http://img37.imagefra.me/img/img37/2/9/16/sirio/t_16ogpm_246b6a9.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_16ogpm_246b6a9.png&srv=img37) e io glielo concedo per controllare dove vuole andare a parare http://img37.imagefra.me/img/img37/2/9/16/sirio/t_15m_8f8c176.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_15m_8f8c176.png&srv=img37) ovviamente bloccata e non ho avuto altre richieste per altri IP, comunque ad intervalli regolari ci riprova per poter scaricare altro malware http://img39.imagefra.me/img/img39/2/9/16/sirio/t_192gnnk8cm_e6b50f9.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_192gnnk8cm_e6b50f9.png&srv=img39)

Il lavoro del virus è incessante, tanto che mi sta rompendo e arrivato alla centesima richiesta decido di trattarlo come Applicazione Isolata http://img37.imagefra.me/img/img37/2/9/16/sirio/t_122m_f07daaf.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_122m_f07daaf.png&srv=img37) e chiudo la finestra DOS... ma lui non si spaventa e continua a rimanere attivo http://img40.imagefra.me/img/img40/2/9/16/sirio/t_14e9cm_88944b0.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_14e9cm_88944b0.png&srv=img40)

Arrivato a questo punto prima di riavviare faccio del scansioni per verificare eventuali infezioni ma, a parte i processi attivi e i file relativi http://img40.imagefra.me/img/img40/2/9/16/sirio/t_14a5m_0e7801d.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_14a5m_0e7801d.png&srv=img40) non trovo altro http://img40.imagefra.me/img/img40/2/9/16/sirio/t_124m_f412fc6.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_124m_f412fc6.png&srv=img40) http://img40.imagefra.me/img/img40/2/9/16/sirio/t_1cuq1g5qr5mm_1189d74.png (http://imagefra.me/view.php?img=/2/9/16/sirio/f_1cuq1g5qr5mm_1189d74.png&srv=img40)

Al riavvio RVS 2010 spazzerà via i processi e i file su C:.

Come abbiamo visto CIS in Proactive Security - Paranoid Mode con le regole a default ci protegge eccetto le altre partizioni, aggiungendo le partizioni ai File Protetti ci proteggerà contro ogni attività di b.css.

I pop-up non sono necessariamente in sequenza e ovviamente ho messo solo quelli che ritenevo importanti per far capire, il log completo lo potete scaricare da qui (link (http://rapidshare.com/files/280912767/D__Log_2.htm)).

Poi proverò abbinando xyplorer.

Saluti :cool:

Bel test Sirio.
Vorrei fare una domanda ma la protezione delle partizioni non C: potrebbe essere demandata a RVS ?

Bel test Sirio.
Vorrei fare una domanda ma la protezione delle partizioni non C: potrebbe essere demandata a RVS ?

Grazie sampei :)

Sinceramente non ho pensato a RVS... ero più preoccupato per CIS :D

Proverò nel prossimo test ;)

ho provato il b.css tanto acclamato da Aigle contro MD, e non ho verificato il comportamento da lui descritto (così come è successo le prime volte che l'ho provato :boh:)

http://img37.imagefra.me/img/img37/2/9/17/t_mwqm_9428fc3.png (http://imagefra.me/view.php?img=/2/9/17/f_mwqm_9428fc3.png&srv=img37)

uppo solo l'immagine del log che mostra da quando xyplorer.exe avvia trp.pif..
potete vedere che il comportamento è totalmente differente da quello di Aigle, e non sono ancora riuscito a riprodurre quei risultati:stordita:

Come da accordo ho segnalato la cosa sul forum di Comodo..poi, però, riprovando da solo ho visto che il popup esce, e selezionando Block l'azione viene effettivamente negata..

Precisamente ho provato a modificare un archivio .gz in .zip, e viceversa, attraverso xyplorer.exe (tanto per dirne uno)..
avvio xyplorer e lo considero come isolated application..poi D+ mi avverte che xyplorer cerca di modificare l'archivio .gz:
http://img39.imagefra.me/img/img39/2/9/18/t_1m_e29b0fe.png (http://imagefra.me/view.php?img=/2/9/18/f_1m_e29b0fe.png&srv=img39)

consento e ricevo il secondo avviso, della creazione del file .zip:
http://img39.imagefra.me/img/img39/2/9/18/t_2m_979890b.png (http://imagefra.me/view.php?img=/2/9/18/f_2m_979890b.png&srv=img39)

ho fatto la stessa cosa anche al contrario (.zip >> .gz) ma idem: negando la modifica o la creazione l'azione viene bloccata, come giusto che sia...
tutto aggiungendo *.zip e *.gz in MyProtectedFiles, altrimenti non apre nessun popup riguardante la modifica..
se invece consento i popup, il file viene normalmente modificato..identico risultato anche se non tratto xyplorer come isolated application..

quindi possibile che sia il malware ad adottare una tecnica strana?? :boh:

intanto chi ha il vwersion.exe può passarmelo? faccio qualche prova anche io:D

Saluti

edit:
qui trovate la discussione che ho aperto nella sezione bug:
https://forums.comodo.com/defense_bugs/d_does_not_block_file_creation_in_other_partition-t45372.0.html#quickreply

Riguardavo il test.. e c'è da dire una cosa a favore del D+ con le regole a default - almeno in quest'ultimo caso (con b.css): è vero che non ferma la creazione di autorun.inf nelle partizioni che trova... però blocca la creazione di TPR.PIF http://img38.imagefra.me/img/img38/2/9/18/sirio/t_2bm_7d5dd09.png (http://imagefra.me/view.php?img=/2/9/18/sirio/f_2bm_7d5dd09.png&srv=img38) http://img38.imagefra.me/img/img38/2/9/18/sirio/t_27m_dd6c067.png (http://imagefra.me/view.php?img=/2/9/18/sirio/f_27m_dd6c067.png&srv=img38) (il virus vero e proprio), senza il quale, le istruzioni contenute in autorun.inf non possono nulla ergo, il solo autorun.inf è innocuo.

Così ho interpretato la cosa... poi può darsi che non sia del tutto esatta. :D

Come da accordo ho segnalato la cosa sul forum di Comodo..poi, però, riprovando da solo ho visto che il popup esce, e selezionando Block l'azione viene effettivamente negata..

In quale caso? Aggiungnedo le regole per le estensioni o senza?

Precisamente ho provato a modificare un archivio .gz in .zip, e viceversa, attraverso xyplorer.exe (tanto per dirne uno)..
avvio xyplorer e lo considero come isolated application..poi D+ mi avverte che xyplorer cerca di modificare l'archivio .gz:
http://img39.imagefra.me/img/img39/2/9/18/t_1m_e29b0fe.png (http://imagefra.me/view.php?img=/2/9/18/f_1m_e29b0fe.png&srv=img39)
consento e ricevo il secondo avviso, della creazione del file .zip:
http://img39.imagefra.me/img/img39/2/9/18/t_2m_979890b.png (http://imagefra.me/view.php?img=/2/9/18/f_2m_979890b.png&srv=img39)

ho fatto la stessa cosa anche al contrario (.zip >> .gz) ma idem: negando la modifica o la creazione l'azione viene bloccata, come giusto che sia...
tutto aggiungendo *.zip e *.gz in MyProtectedFiles, altrimenti non apre nessun popup riguardante la modifica..
se invece consento i popup, il file viene normalmente modificato..identico risultato anche se non tratto xyplorer come isolated application..

quindi possibile che sia il malware ad adottare una tecnica strana?? :boh:

Bè.. penso sia proprio questo il motivo, tu hai provato a fare una modifica con xyplorer (un normale software), a me è accaduto con il virus.

intanto chi ha il vwersion.exe può passarmelo? faccio qualche prova anche io:D

Saluti

edit:
qui trovate la discussione che ho aperto nella sezione bug:
https://forums.comodo.com/defense_bugs/d_does_not_block_file_creation_in_other_partition-t45372.0.html#quickreply

Appena riesco ti mando il link.. oggi la mia connessione fa i capricci..

Grazie per la segnalazione ;)

Ciao.

In quale caso? Aggiungnedo le regole per le estensioni o senza?

mi autoquoto:D:
tutto aggiungendo *.zip e *.gz in MyProtectedFiles, altrimenti non apre nessun popup riguardante la modifica..


Bè.. penso sia proprio questo il motivo, tu hai provato a fare una modifica con xyplorer (un normale software), a me è accaduto con il virus.

:sofico:
Cmq grazie per il sample, stasera provo il virus e posto qui i risultati..;)

Saluti

N.B.: mi sono accorto dopo che la mia VM ha solo una partizione:stordita:
o meglio ha una unità di rete collegata alla macchina reale, che corrisponde alla partizione (F:\) del OS reale, per scambiare file tra VM e il sistema..
pensavo la riconoscesse come partizione, ma evidentemente no:(

quindi il test risulta "ripetitivo", considerando quello già svolto da sirio..comunque lo posto per chi volesse leggerlo:D

--------------------------------------------------------------------

come promesso ecco anche il mio test contro vwersion.exe, il malware cripta-tutto:D

il test è stato condotto in account amministratore e ho usato CIS 3.11.XX.552 configurato come segue:

Configurazione: Proactive Security
Defense+: Paranoid Mode
Firewall: Custom Policy Mode, e gli alert impostati al massimo
Tolta spunta ai trusted software vendors
aggiunte le voci LocalSecurityAuthority.LoadDriver e \RPC Control\ntsvcs alle interfacce COM Protette
non ho aggiunto nulla ai MyProtectedFiles


1 parte - Normale
In questo caso ho consentito l'esecuzione, consentito ogni azione compreso l'accesso diretto al disco...

http://img37.imagefra.me/img/img37/2/9/18/t_1m_5caaac1.png (http://imagefra.me/view.php?img=/2/9/18/f_1m_5caaac1.png&srv=img37)

http://img37.imagefra.me/img/img37/2/9/18/t_2m_c8a2179.png (http://imagefra.me/view.php?img=/2/9/18/f_2m_c8a2179.png&srv=img37)

qui il malware inizia a criptare i file, io consento:
http://img37.imagefra.me/img/img37/2/9/18/t_3m_60a5e64.png (http://imagefra.me/view.php?img=/2/9/18/f_3m_60a5e64.png&srv=img37)

dopo che il malware cripta tutti i file richiama cmd e si autocancella..qui un esempio di file criptato:
http://img38.imagefra.me/img/img38/2/9/18/f_4m_5fdf946.png (http://imagefra.me/)


2 parte - Isolated Application
In questa parte ho solo consentito a vwersion di avviarsi e poi, al secondo avviso, l'ho trattato come Isolated Application

http://img37.imagefra.me/img/img37/2/9/18/t_1m_5caaac1.png (http://imagefra.me/view.php?img=/2/9/18/f_1m_5caaac1.png&srv=img37)

http://img38.imagefra.me/img/img38/2/9/18/t_6m_e9d6dd0.png (http://imagefra.me/view.php?img=/2/9/18/f_6m_e9d6dd0.png&srv=img38)

Risultato: nessun ulteriore avviso, il malware si chiude da solo, nessun file criptato nè in C:\ nè in F:\..

Grazie per l'esperimento cloutz :) mi hai incuriosito, così stasera ho riprovato wversion.exe e b.css con le modifiche di nV 25 al D+ (http://www.hwupgrade.it/forum/showpost.php?p=25040917&postcount=4)... mi dispiace darti questa notizia ma in questi due casi non ci vengono in aiuto: con wversion alcuni file in z:\ vengono criptati in .gz come in precedenza (prova con una pendrive mettendoci qualche file txt e qualche cartella compressa, se tieni la finestra della pendrive aperta, li vedrai trasformarsi in GZ davanti ai tuoi occhi :eek:)
Con b.css purtroppo sono stato interrotto e non ho potuto continuare come volevo ma sono arrivato fino alla creazione dei file autorun... quindi anche qui niente da fare, per proteggere le altre partizioni bisogna aggiungerle nei File Protetti.

Ciao ;)

Endymion ha risposto qui (http://forums.comodo.com/defense_bugs/d_does_not_block_file_creation_in_other_partition-t45372.0.html;msg327573#msg327573) che D+ non intercetta quei comportamenti perchè:

1. .zip e .gz non sono tra le estensioni monitorate
2. non ci sono regole che si propongano di monitorare altre partizioni

bella scoperta, ma io pensavo (speravo) che @default il D+ mi proteggesse:O :D
insomma pare che l'unica possibilità rimanga fare a manina le regole (tanto lo fai una volta e basta, si tratta di pochi secondi), insieme a quelle altre "chicche" proposte da nV...

Saluti

Sempre in merito a ciò ho cercato di fare una prova (chiamarlo test è troppo:D)..più che altro un modo per passare 10 minuti. Ho provato con Malware Defender e D+, gli hips che ho al momento a disposizione..

La prova è facile facile. Via prompt dei comandi:
1. creo un file test.zip nella partizione D:\ (non di sistema)
2. rinomino il file test.zip in test.gz

Di regola mi aspetto che l'hips mi avverta per:
1. cmd.exe che crea test.zip
2. cmd.exe che modifica test.zip
3. cmd.exe che crea test.gz

N.B.: cmd.exe non gode di permessi/regole particolari. E' come se fosse un'applicazione sconosciuta cui è stata concessa l'esecuzione.




1 parte - Malware Defender
il test è stato condotto con ruleset@ default, in cui non è presente alcuna regola specifica per archivi .zip o .gz.

apro il prompt dei comandi ed eseguo quanto detto prima:
http://img40.imagefra.me/img/img40/2/9/20/f_e4focm_5bcc7cd.png

ricevo 3 popup, con ruleset @default...posto il log per comodità:
http://img40.imagefra.me/img/img40/2/9/20/f_o9a2qm_07a7a2c.png

[File]?:\ rappresenta la regola che ha fatto scaturire il popup. E' una regola generica, quindi non c'è bisogno di nessuno regola aggiuntiva per MD.
Negando questi avvisi i file non vengono nè modificati nè creati.


2 parte - Defense+

Faccio la stessa cosa per il D+, con ruleset@ default:
http://img39.imagefra.me/img/img39/2/9/20/f_eijtm0m_d4cd010.png

Come si vede sullo sfondo il file viene creato e modificato in test.gz, e D+ non apre alcun popup, anche gli eventi del D+ non mostrano nulla...

allora aggiungo *.zip e *.gz ai My Protected Files sotto Executables e provo a creare il file nella cartella dei miei documenti in C:\
http://img40.imagefra.me/img/img40/2/9/20/t_e0ilqm_4bdd462.png (http://imagefra.me/view.php?img=/2/9/20/f_e0ilqm_4bdd462.png&srv=img40)

provo anche a modificarlo in *.gz:
http://img40.imagefra.me/img/img40/2/9/20/t_e0ilrm_c3e0f58.png (http://imagefra.me/view.php?img=/2/9/20/f_e0ilrm_c3e0f58.png&srv=img40)

E stavolta il D+ c'è:D :D


Provo a fare la stessa cosa in D:\ e il D+ è presente:
http://img40.imagefra.me/img/img40/2/9/20/t_e0imrm_4ac5a6c.png (http://imagefra.me/view.php?img=/2/9/20/f_e0imrm_4ac5a6c.png&srv=img40)
La cosa in cui c'è una discrepanza tra me e sirio, è che negando queste richieste effettivamente non viene creato nulla (nonostante non avessi altre partizioni nei File Protetti)..mentre sirio anche se negava si ritrovava lo stesso i file...

poi certo, il suo era un malware, il mio una banale prova da prompt dei comandi:asd:

In conclusione:
Malware Defender @default va bene, D+ necessita di queste regole manuali e poi tutto a posto ;)

Saluti

Ho rieseguito il test per controllare anch'io 'sta cosa e... non c'è nessuna discrepanza questa volta (prima c'era per via dell'errore di RVS beta: la prima volta avevo avuto questo pop-up http://img37.imagefra.me/img/img37/2/9/13/sirio/t_3m_28c35c5.png (http://imagefra.me/view.php?img=/2/9/13/sirio/f_3m_28c35c5.png&srv=img37) che poi con la nuova beta non ho avuto più): i file in z:\ vengono criptati subito dopo la risposta data per l'accesso diretto al disco (bloccato), mentre in E:\ (pendrive) non ha fatto niente http://img37.imagefra.me/img/img37/2/9/20/sirio/t_69q9lqo4gbm_3d8437e.png (http://imagefra.me/view.php?img=/2/9/20/sirio/f_69q9lqo4gbm_3d8437e.png&srv=img37)

Questi i file in z:\ dopo il riavvio http://img38.imagefra.me/img/img38/2/9/20/sirio/t_6w12x5c2xltm_48b96d2.png (http://imagefra.me/view.php?img=/2/9/20/sirio/f_6w12x5c2xltm_48b96d2.png&srv=img38) per i quali NON ho ricevuto alcuna richiesta da parte del D+, perché queste attività non sono monitorate a default.. come ti hanno risposto nel forum ufficiale.

Tutte le modifiche che avvengono su C:\ invece, vengono monitorate e D+ ci chiede cosa fare, l'unica richiesta che ho avuto per la partizione Z:\ è questa http://img39.imagefra.me/img/img39/2/9/20/sirio/t_44m_55699bc.png (http://imagefra.me/view.php?img=/2/9/20/sirio/f_44m_55699bc.png&srv=img39) per un eseguibile (che vengono monitorati a default, anche sulle altre partizioni), e bloccando l'azione non viene creato... com'è giusto che sia :sofico:

Invece di mettere le estensioni (visto che non sai quale userà il virus) IMO è meglio mettere l'intera partizione nei File Protetti (d:\*, e:\*, ecc.) che coprirà qualunque estensione.

Mi sembra che su questo malware abbiamo detto tutto ormai.... o no? :D

Ciao cloutz, ottimo lavoro ;)



Bel test Sirio.
Vorrei fare una domanda ma la protezione delle partizioni non C: potrebbe essere demandata a RVS ?

A proposito del tuo dubbio, ho controllato RVS 2010 beta aggiungendo al File Protection la mia pendrive E:\, ma al riavvio le modifiche avvenute durante la sessione protetta, non sono state cancellate :(
Approfondirò la questione, forse mi sfugge qualcosa.

Un salutone sampè :)

Sirio, quindi è bene mettere nei file protetti il C: e D: che mi ritrovo sul notebook senza mettere regole specifiche per zip rar e compagnia ?

Invece di mettere le estensioni (visto che non sai quale userà il virus) IMO è meglio mettere l'intera partizione nei File Protetti (d:\*, e:\*, ecc.) che coprirà qualunque estensione.


si è vero, hai ragione.:)

Mi sembra che su questo malware abbiamo detto tutto ormai.... o no? :D

Ciao cloutz, ottimo lavoro ;)

Grazie, ottimo il nostro lavoro:D
Si direi che abbiamo detto tutto quello che ci poteva interessare...

Saluti

Sirio, quindi è bene mettere nei file protetti il C: e D: che mi ritrovo sul notebook senza mettere regole specifiche per zip rar e compagnia ?

C:\* (partizione di sistema) non lo devi mettere perché protetto da default, le altre si, le estensioni ai File Protetti no, visto che aggiungerai le partizioni... non mettere neanche le modifiche alle Regole Applicazioni per winrar, ecc., casomai avessi problemi (richieste per le partizioni diverse da quella di sistema) facci sapere che correggeremo insieme.

Ciao :)

si è vero, hai ragione.:)

Grazie, ottimo il nostro lavoro:D
Si direi che abbiamo detto tutto quello che ci poteva interessare...

Saluti

Vero, non possiamo che essere soddisfatti :)

C:\* (partizione di sistema) non lo devi mettere perché protetto da default, le altre si, le estensioni ai File Protetti no, visto che aggiungerai le partizioni... non mettere neanche le modifiche alle Regole Applicazioni per winrar, ecc., casomai avessi problemi (richieste per le partizioni diverse da quella di sistema) facci sapere che correggeremo insieme.

Ciao :)

dunque, in D: io ho solamente la Sandbox e basta :D
dici che vale la pena ?
se comunque dovessi procedere, avrei bisogno di tutti gli step perchè non vorrei fare una operazione monca o malriuscita :fagiano:

se non ti va di spiegarmelo adesso non fa nulla, fallo quando ti pare perchè non è che si tratti di vita o morte ;)
però fallo :asd: :asd:

ciao carissimo

Vero, non possiamo che essere soddisfatti :)

complimenti ad entrambi, siete davvero in gamba ragazzi :winner: :winner:

ho provato il b.css tanto acclamato da Aigle contro MD, e non ho verificato il comportamento da lui descritto (così come è successo le prime volte che l'ho provato :boh:)

http://img37.imagefra.me/img/img37/2/9/17/t_mwqm_9428fc3.png (http://imagefra.me/view.php?img=/2/9/17/f_mwqm_9428fc3.png&srv=img37)


uppo solo l'immagine del log che mostra da quando xyplorer.exe avvia trp.pif..
potete vedere che il comportamento è totalmente differente da quello di Aigle, e non sono ancora riuscito a riprodurre quei risultati:stordita:

Ho rieseguito il test con il solo TPR.PIF (file che viene creato durante l'esecuzione di b.css) lanciandolo con explorer.exe (non è necessario usare per forza Xyplorer) e confermo i risultati avuti da Aigle:


http://img245.imageshack.us/img245/3783/logb.th.png (http://img245.imageshack.us/i/logb.png/)

prima di avere a schermo l'alert relativo al tentativo di esecuzione del processo tpr.pif (come è logico che sia), MD ci avverte che explorer.exe tenta di connettersi ad un IP presumibilmente malevolo.
Pertanto, explorer.exe (così come Xyplorer) viene in un certo senso "manipolato" da tpr.pif affinchè si connetta ad internet.

P.S.: il test con TPR.PIF va eseguito con la connessione internet attiva ;)

Ciao commi:)

ricordo che avevamo parlato anche in pvt, ma purtroppo non sono mai riuscito a riprodurre quella situazione:(
penso ci siano troppe variabili, dipendenti anche dal sistema, perchè si ottengano gli stessi risultati..

diciamo che non sono stato "fortunato" col b.css:D
vedrò di rifarmi col prossimo:O :asd:

Saluti

A proposito del tuo dubbio, ho controllato RVS 2010 beta aggiungendo al File Protection la mia pendrive E:\, ma al riavvio le modifiche avvenute durante la sessione protetta, non sono state cancellate :(
Approfondirò la questione, forse mi sfugge qualcosa.

Un salutone sampè :)

Ti ringrazio anche a nome degli altri utenti che come me NON usano,attualmente, nel caso di RVS la versione che citi tu.;)
Anche da parte mia i miei più graditi salutoni.:)

Ho provato anch'io il Trojan Simulator con Online Armor, mi tira troppo fare test con virus veri, ormai...
Magari più avanti..

Il TrojanSimulator è questo -> http://www.misec.net/trojansimulator/

L'ho provato in Modalità Standard: dopo che l'ho fatto una volta non riesco più a farlo, mi si blocca sempre... Ergo, solo il primo popup l'ho anche in modalità avanzata (cambia poco)..

Appena lo avvio, OA mi avverte che è un file pericoloso:
Mod Standard ->> http://img38.imagefra.me/img/img38/2/9/22/t_xb6lum_0d30549.png (http://imagefra.me/view.php?img=/2/9/22/f_xb6lum_0d30549.png&srv=img38) In Mod. Avanzata --> http://img38.imagefra.me/img/img38/2/9/22/t_108rban1m_a25d747.png (http://imagefra.me/view.php?img=/2/9/22/f_108rban1m_a25d747.png&srv=img38)


Clicco sui pulsanti "Info", e mi rimanda a questa pagina -> http://www.tallemu.com/oasis2/search/file/trojansimulator_exe
e cliccando sull'unica voce presente, a questa -> http://www.tallemu.com/oasis2/file/unspecified_vendor/unspecified_product/trojansimulator_exe/199864

Dopodichè, deselezionando le caselle e facendo Consenti, si avvia il test, e il primo popup che OA apre è questo:
http://img39.imagefra.me/img/img39/2/9/22/t_xb6lwm_8e24510.png (http://imagefra.me/view.php?img=/2/9/22/f_xb6lwm_8e24510.png&srv=img39)

e successivamente, sempre deselezionando le caselle e facendo Consenti, questo:
http://img39.imagefra.me/img/img39/2/9/22/t_xb6lxm_6520d14.png (http://imagefra.me/view.php?img=/2/9/22/f_xb6lxm_6520d14.png&srv=img39)
Cliccando sugli Info, rimanda a questa pagina -> http://www.tallemu.com/oasis2/file/malware/joke_trojan_simulator/tsserv_exe/100808

Diciamo che in un caso come questo, sarebbe da idioti riuscire ad infettarsi :D

Tra l'altro, facendolo mi sono accorto che ho cannato alcune traduzioni :stordita:

Ho provato anch'io il Trojan Simulator

Copione :Prrr: :Prrr:
Cloutz lo ha fatto con il suo MD
Adesso metto le immagini di CIS , Avira, Prevx, MBAM (che non lo trova :D )
Il tempo di fare le freccie nelle foto e arrivo

Copione :Prrr: :Prrr:
Cloutz lo ha fatto con il suo MD
Adesso metto le immagini di CIS , Avira, Prevx, MBAM (che non lo trova :D )
Il tempo di fare le freccie nelle foto e arrivo

uff, tutti con ste freccie... state diventando molto più professionali di me :O :D

A me tira.. si è visto dal post abbastanza sintetico che ho fatto :p

Comportamento CIS Vs TrojanSimulator
Qui (http://www.misec.net/trojansimulator/) si trova questo simulatore di attività trojan del tutto innocuo ma che aiuta a capire il funzionamento delle proprie difese contro questo tipo di minacce; in sintesi il finto trojan fa una modifica al registro in modo da autogenerarsi all'avvio del pc per poter poi consentire al sua stesso processo malevolo di scaricare altra porcheria trasformandoci per esempio in una Botnet.
Ecco la situazione iniziale dopo aver scaricato e dezippato il file, si noti che comunque per ulteriore sicurezza l'ho fatto dietro Returnil e con altri sistemi stoppati per non sporcare il test in questo caso rivolto al solo D+ (settato al massimo)
OVVIO che diamo acconsenti ad ogni schermata, se bloccassimo alla prima (come si dovrebbe) il trojan è bello che morto

http://img242.imageshack.us/img242/964/cis1.th.jpg (http://img242.imageshack.us/i/cis1.jpg/)

Primo avviso, Explorer chiede il permesso per eseguire il trojan, l'avviso è abbastanza chiaro direi

http://img7.imageshack.us/img7/3632/cis2.th.jpg (http://img7.imageshack.us/i/cis2.jpg/)

Si apre la finestra del trojan che ancora non è installato, gli diciamo di installarsi

http://img411.imageshack.us/img411/1646/cis3.th.jpg (http://img411.imageshack.us/i/cis3.jpg/)

D+ rispetto ad altri Hips ha un avviso in più ed è proprio questo dell'Analisi Euristica che ci avvisa della possibile malvagità, noi continuiamo accettando

http://img89.imageshack.us/img89/8351/cis4.th.jpg (http://img89.imageshack.us/i/cis4.jpg/)

Ecco la modifica al Registro fatta dal trojan per poi potersi generare all'avvio del pc

http://img28.imageshack.us/img28/3530/cis5.th.jpg (http://img28.imageshack.us/i/cis5.jpg/)

Acconsentiamo la richiesta e a questo punto il finto trojan si è installato

http://img524.imageshack.us/img524/3849/cis6.th.jpg (http://img524.imageshack.us/i/cis6.jpg/)

A detta degli sviluppatori cliccando Uninstall il processo stesso va a cancellare le modifiche da lui stesso apportate in precedenza, vediamo se è vero (il bello di un HIPS è proprio il controllo quasi totale che si ha del pc e permette anche questo tipo di verifica). Clicchiamo Uninstall e subito il primo avviso è quello di Euristica che ci avvisa del potenziale pericolo del processo

http://img17.imageshack.us/img17/2875/cis7.th.jpg (http://img17.imageshack.us/i/cis7.jpg/)

Il trojan si sta per avviare e CIS ci informa, poi ulteriormnte siamo avvisati che il processo si sta autoterminando ed inoltre che sta cancellando una chiave di registro (quella che prima aveva scritto)
http://img242.imageshack.us/img242/1632/cis8.th.jpg (http://img242.imageshack.us/i/cis8.jpg/) http://img508.imageshack.us/img508/5452/cis9.th.jpg (http://img508.imageshack.us/i/cis9.jpg/) http://img28.imageshack.us/img28/9467/cis10.th.jpg (http://img28.imageshack.us/i/cis10.jpg/)

Il programma si è disinstallato come da indicazione sottostante ed ha agito come detto dai suoi sviluppatori sia in fase di installazione che in fase di disinstallazione. Hanno detto il vero !!!

http://img411.imageshack.us/img411/3922/cis11.th.jpg (http://img411.imageshack.us/i/cis11.jpg/)


MALWARE DEFENDER Vs TrojanSimulator by cloutz

Qui potete vedere il test fatto da cloutz e postato sul suo 3d apposito
http://www.hwupgrade.it/forum/showpost.php?p=28343320&postcount=4
Direi analogo se si escludono gli avvisi di Euristica che il D+ ha rispetto agli altri

@commi

Mi sono permesso di sistemare lo screenshot in quanto sfasava il layout del Forum ;)

Test trojan simulator con Pctools InternetSecurity

Ho eseguito il test Trojan Simulator (http://www.misec.net/trojansimulator/) con pc tools internet security il risultato e sodisfacente non eccellente.
Infatti l'euristica dell'antivirus non lo considera proprio e su questo non avevo dubbi,ma fa la differenza la fa' l'intelliguard che segnala l'intrusione di codice da parte di trojansimulator in ttserv.exe,e la cosa piu' importante con un bel pop-up giallo di rischio ,che un attivita' sospetta sta per modificare dei dati sensibili,ovviamente gli ho dato blocca e metti in quarantena e' il trojan e' stato disintegrato.:sofico:

ecco i due pop-up al primo gli ho dato consenti x far continare il test

http://img508.imageshack.us/img508/5259/trojansimulator1.pnghttp://img176.imageshack.us/img176/1526/trijansimulator2.png

Anche con EQS 3.41 si ha un comportamento simile.
Solo che io non ho mica voglia di fare tutti quegli screen......:Prrr: :Prrr:
Già mi è costato fatica passare al pc Windows.

Invece (già che ci sono lo scrivo visto che ho provato giorni fà quando Siro e Cloutz hanno inserito i loro risultati) con EQS a default (non ho provato a fare regole ad hoc e nemmeno inserire regole di Alcyon visto che adesso segue la versione del sw successiva MA a pagamento) le partizioni non C: sono completamente abbandonate a se stesse.Nessun pop-up allerta l'utente a video.
Quindi ogni modifica nella mia partizione D: è stata completa.Nessun intervento dell'HIPS.

@commi

Mi sono permesso di sistemare lo screenshot in quanto sfasava il layout del Forum ;)

Grazie boss, così è più fruibile

Adesso metto anche le imagini relative agli antivirus - antimalware alle prese con lo stesso test, si noterà una SOSTANZIALE differenza tra avere un hips e non averlo, la conclusione sarò sempre l'eliminazione del trojan (quando lo trovano :D ) ma non si capisce però ovvio cosa questo possa fare sul sistema

Invece (già che ci sono lo scrivo visto che ho provato giorni fà quando Siro e Cloutz hanno inserito i loro risultati) con EQS a default (non ho provato a fare regole ad hoc e nemmeno inserire regole di Alcyon visto che adesso segue la versione del sw successiva MA a pagamento) le partizioni non C: sono completamente abbandonate a se stesse.Nessun pop-up allerta l'utente a video.
Quindi ogni modifica nella mia partizione D: è stata completa.Nessun intervento dell'HIPS.

ricordo che con il ruleset di Alcyion si ha un controllo allucinante (forse troppo, a volte quasi ridondante), mentre a default è molto debole..
al 90% con gli Alcyion ruleset passavi il test :O :D


Saluti caro

p.s.: non serve che provi il sample, anche la prova innocua che ho fatto io via cmd mostra se l'attività viene intercettata o meno:)
p.p.s.: installato xubuntu, va 'na meraviglia:asd:

ricordo che con il ruleset di Alcyion si ha un controllo allucinante (forse troppo, a volte quasi ridondante), mentre a default è molto debole..
al 90% con gli Alcyion ruleset passavi il test :O :D


Saluti caro

p.s.: non serve che provi il sample, anche la prova innocua che ho fatto io via cmd mostra se l'attività viene intercettata o meno:)
p.p.s.: installato xubuntu, va 'na meraviglia:asd:

Sicuramente, ricordo che anche al CLT,con gli Alcyon rules mi apparivano un numero esorbitante di pop-up in più rispetto alla configurazione a default.
Il sample l'ho già provato qualche gg fà....
Salutoni.

p.s. :D :D per Xubuntu !! ;)

Dopo TrojanSimulatro contro vari HIPS (o FireWall con Hips) eccoci a vedere come si comportano alcuni software AV o antimalware contro questo simulatore di attività trojan.

AVIRA
L'euristica di Avira è settata al massimo come da guida di Juninho
Il guard di avira avverte appena si tenta di aprire lo ZIP, non è ancora finito di scompattarsi che il guard ci stressa, bene !!
http://img260.imageshack.us/img260/742/avira.th.jpg (http://img260.imageshack.us/i/avira.jpg/)

Oltre al Guard viene riconosciuto anche in scansione; una volta in quarantena si provvede all'eliminazione

http://img23.imageshack.us/img23/6914/avira01.th.jpg (http://img23.imageshack.us/i/avira01.jpg/) http://img17.imageshack.us/img17/3265/avira02.th.jpg (http://img17.imageshack.us/i/avira02.jpg/)

Minaccia sconfitta.

PREVX 3.0.4.200 RC in inglese
Settaggio Prevx come da guida euristica avanzata alta, program age & program popularity su medio.
Il trojan viene riconosciuto non quando si scompatta il file ma quando lo si avvia, ciò è normale per come ragiona Prevx rispetto ad Avira, l'analisi viene fatta al click sull'eseguibile che comunque fino a nostra decisione resta bloccato. Clicco continua e i file sospetti sono elencati (figura2)

http://img17.imageshack.us/img17/7628/prevx01.th.jpg (http://img17.imageshack.us/i/prevx01.jpg/) http://img219.imageshack.us/img219/2728/prevx02.th.jpg (http://img219.imageshack.us/i/prevx02.jpg/)

Anche decidessi di far finta di nulla ora al posto dell'euristica mi avvisa Prevx stesso, notate che l'icona è rossa nella tray, provvedo alla rimozione che essendo un malware semplice dira un secondo, terminata la rimozione Prevx esegue una scansione in automatico per accertarsi che il sistema sia pulito
http://img170.imageshack.us/img170/9079/prevx03.th.jpg (http://img170.imageshack.us/i/prevx03.jpg/) http://img170.imageshack.us/img170/9726/prevx04.th.jpg (http://img170.imageshack.us/i/prevx04.jpg/) http://img242.imageshack.us/img242/9421/prevx05.th.jpg (http://img242.imageshack.us/i/prevx05.jpg/)


MALWAREBYTES FREE

Veniamo alle dolenti note, MBAM sebbene aggiornato pochi secondi prima, non ha tra le sue firme il finto trojan quindi non lo riconosce. Avendo io a disposizione la sola versione free MBAM non ha il realtime ne il simil hips della versione a pagamento che forse sventerebbero la minaccia. Hanno però qui (http://www.malwarebytes.org/forums/index.php?showtopic=5826) indicato che la cosa è voluta, non lo vogliono individuare come malware essendo un test.

http://img170.imageshack.us/img170/2963/mbam.th.jpg (http://img170.imageshack.us/i/mbam.jpg/)


IOBIT360

Ho provato anche questa novità del mondo antimalware che millanta anche un controllo realtime nella versione free. Ho detto millanta perchè a più riprese facendo tentativi con diversi malware il realtime non ha mai dato segni di vita. Nel caso di questo trojan di test anche la scansione ondemand non ha dato esito. Bocciato.

Tutto attivato, aggiornato e settato al Max, notate in figura 2 cosa scrivono circa il RealTime, rileva solo le minacce più pericolose, lasciando allo Scan la rimozione di quelle a basso rischio
http://img42.imageshack.us/img42/975/clipboard01pc.th.jpg (http://img42.imageshack.us/i/clipboard01pc.jpg/) http://img42.imageshack.us/img42/7753/clipboard02ag.th.jpg (http://img42.imageshack.us/i/clipboard02ag.jpg/)
Ok allora proviamo a vedere lo Scan se trova Trojan Simulator? NO, non lo trova
http://img443.imageshack.us/img443/6868/clipboard03rk.th.jpg (http://img443.imageshack.us/i/clipboard03rk.jpg/)
Vediamo se i ben 2 realtime attivi di cui uno euristico trovano la minaccia allora? NO, non la trovano. il malware si è installato senza allarmi.
http://img132.imageshack.us/img132/6996/clipboard04m.th.jpg (http://img132.imageshack.us/i/clipboard04m.jpg/)

Ho segnalato a loro su Wilders il test, forse in futuro l'esito del test rifacendolo sarà differente.
Anche lì qualcuno chiede lumi sul prodotto perchè i dubbi iniziano ad affiorire, io ho messo la pulce nell'orecchio, nessuno ci ha chiarito le nostre perplessità

@commi

Mi sono permesso di sistemare lo screenshot in quanto sfasava il layout del Forum ;)
Hai fatto benissimo ;)
anzi, chiedo scusa per non avervi prestato attenzione durante il copia/incolla del link.

Maa.. grandi :D

Complimenti a tutti per i test eseguiti......bellissimi! :sofico:


P.S. Scusate se non commento ogni test, ma li apprezzo tanto. Grazie a tutti. ;)

Ho provato anch'io il Trojan Simulator con Online Armor, mi tira troppo fare test con virus veri, ormai...
Magari più avanti..

...

Bentornato leo :) ...ci sei mancato.


Ho rieseguito il test con il solo TPR.PIF (file che viene creato durante l'esecuzione di b.css) lanciandolo con explorer.exe (non è necessario usare per forza Xyplorer) e confermo i risultati avuti da Aigle:


http://img245.imageshack.us/img245/3783/logb.th.png (http://img245.imageshack.us/i/logb.png/)

prima di avere a schermo l'alert relativo al tentativo di esecuzione del processo tpr.pif (come è logico che sia), MD ci avverte che explorer.exe tenta di connettersi ad un IP presumibilmente malevolo.
Pertanto, explorer.exe (così come Xyplorer) viene in un certo senso "manipolato" da tpr.pif affinchè si connetta ad internet.

P.S.: il test con TPR.PIF va eseguito con la connessione internet attiva ;)

Finalmente ho trovato 10 minuti per provarlo anch'io tpr.pif e come hai rilevato tu explorer.exe sembra venir manipolato - chiedendo la connessione - un momento prima della richiesta per l'eseguibile: http://img37.imagefra.me/img/img37/2/9/25/sirio/t_1m_ca9a162.png (http://imagefra.me/view.php?img=/2/9/25/sirio/f_1m_ca9a162.png&srv=img37)

Ora proverò cercando di bloccare l'attività... spero sia possibile :fagiano:

Ciao commi :)


dunque, in D: io ho solamente la Sandbox e basta :D
dici che vale la pena ?
se comunque dovessi procedere, avrei bisogno di tutti gli step perchè non vorrei fare una operazione monca o malriuscita :fagiano:

se non ti va di spiegarmelo adesso non fa nulla, fallo quando ti pare perchè non è che si tratti di vita o morte ;)
però fallo :asd: :asd:

ciao carissimo

Certo che ne vale la pena, molto semplicemente una volta aggiute le partizioni nei File Protetti, vai a modificare i Diritti di Accesso per l'eseguibile della Sandbox e nella voce relativa alle Cartelle/File protetti selezioni Copnsenti e dai i vari Applica.

Cmq se non riesci al volo in seguito ti metterò passo passo le cose da fare. ;)

Ragazzi stavo per fare una gaffe paurosa:sofico:
ho scaricato da offensivecomputing questo malware, che è stato inserito sabato scorso ( "ottimo, un malware fresco fresco" mi son detto io:D). Lo analizzo e questo è il risultato:
http://www.virustotal.com/it/analisis/69dbba7256da81ab01eead7db4309e705107c275a0f3c9b54e3242dcdaf83ba5-1253956416
Mi sembrava un bel virus, non molto riconosciuto..sempre meglio no??:D

Faccio il test, e mi sembrava un rogue...la GUI sembrava funzionare davvero, mi sembrava fatto molto bene per essere un malware, tanto che la cosa non mi convinceva...

Alla fine era l'antivirus SmadAV, un nuovo antivirus indonesiano :sbonk::oink:
http://img15.imageshack.us/img15/3348/64609600.th.png (http://img15.imageshack.us/i/64609600.png/)
che figura..


A breve, cmq, un test con un rootkit hideproc;) :
http://www.virustotal.com/it/analisis/8f5c3e558e595e3473df6bd2a50ba806220d3885e8be168d87ff28977feabb34-1253957815

eccomi col test del Rootkit.Hideproc.B (http://www.virustotal.com/it/analisis/8f5c3e558e595e3473df6bd2a50ba806220d3885e8be168d87ff28977feabb34-1253957815)...:Prrr:

per quanto mi riguarda ci sono alcune perplessità circa alcune azioni e un avviso..comunque intanto posto, nel caso ne discutiamo:O :D

per comodità posto solo il log che ho diviso in 2 screen, dato che sono un macello di eventi...ho catturato comunque tutti i popup e i log, che ho zippato e uppato qui (http://www.mediafire.com/?sharekey=d34d73d3c5979abe07258ee67c679e4a92cee9f6ffeabdeef1940a51b339e393) per chi volesse controllarli (dovrei averli presi tutti tranne un paio, non importanti cmq..), ma vi avviso che sono sui 40 e passa:ciapet:

avvio il test in VM con installato MD e Sygate (quest'ultimo con servizi e processi disabilitati e non in avvio automatico).

Mi sono imposto di consentire tutto al malware, tranne il caricamento di driver e possibili connessioni! così da vedere, poi, se Malware Defender riesce a salvare il sistema. E' ovvio infatti, secondo tale logica, che se consento al driver di caricarsi, l'hideproc risulti invisibile e la situazione incontrollabile (= sistema infetto e MD fallisce)!! In altre parole non posso incolpare MD di non aver protetto il sistema, dopo avergli detto "Si, dagli i permessi necessari per nascondersi e fare ciò che vuole":read: :D

qui c'è il primo log:
http://img242.imageshack.us/img242/6133/logmd1.th.png (http://img242.imageshack.us/i/logmd1.png/)

Come potete vedere ho evidenziato in blu le azioni negate (in questo caso solo i 3caricamenti dei driver)


in cui non mi è chiaro:
1. Perchè l'hideproc vada prima a scrivere e poi a creare il file dmboot.sys. Non dovrebbe prima creare il file, e poi modificarlo (=scriverci)?:mbe: Lo va a sovrascrivere? Quindi il file esisteva già ed è stato modificato? :boh:

2. Perchè subito dopo l'hideproc sia winlogon.exe a creare il file dmboot.sys. Sembra come se l'hideproc si serva winlogon per creare il driver, ma in tal caso come ha fatto?:stordita: Io non ho ricevuto alcun avviso di tale interazione/modifica ad opera del malware.

3. Poi, che bisogno c'è di creare più volte lo stesso file?:D se ho già permesso di creare dmboot.sys in system32, perchè fa intervenire pure winlogon per ricrearlo ancora?? ridondante? :boh:

4. Poche righe più giù vediamo che l'hideproc va a modificare il servizio del sygate in c:\windows\c:\programmi\sygate\spf\smc.exe....che percorso è??:D

5. Poi trovo la stessa stranezza del punto 1 con il file tlntsvr.exe


la seconda parte del log non l'ho analizzata bene, mi sono soffermato più sulla prima, che mi ha lasciato parecchie perplessità:cry:

comunque eccola:
http://img40.imageshack.us/img40/5596/logmd2.th.png (http://img40.imageshack.us/i/logmd2.png/)
Ho bloccato le connessioni, che comunque puntavano qui (http://www.iana.org/), quindi niente di pericoloso..






alla fine, ho scansionato con rootrepeal e non ha trovato nulla di hidden (che era ciò che mi interessava in prima battuta).. poi termino l'hideproc (attraverso la lista processi attivi di MD), riavvio, e nessun processo del malware...riscansiono con rootrepeal e non trova ancora niente di nascosto...vado a vedere i file creati che rimangono al loro posto, ma non si riceve nessun altro avviso neanche da MD..quindi il malware è "morto"...


queste sono le osservazioni che ho tratto dal test (magari ho sbagliato metodologia, o sono domande ovvie che non riesco a capire per scarsa cnoscenza, non saprei:( )..speriamo che qualcuno riesca a chiarirmi un pò di dubbi
:sofico:


Saluti

editato per evitare ogni mia interferenza sul modo con cui per ora sono state condotte le prove...



Se mi dispiace di qualcosa per il post che sono andato a modificare è solo per la perdita della parabola del tizio che se ne va al pub, situazione limite e parecchio forzata ma capace ugualmente di farmi sorridere (il che non guastava)...:p

rendo pubblico un altro test che ho fatto in questi giorni, a seguito di diverse "ispirazioni" datemi da nV (che saluto e ringrazio)..
ho scelto di postarlo perchè mi ha colpito l'intraprendenza del malware..vedremo più avanti :read: :asd:...

Malware Defender vs Trojan-Proxy.Saturn.N (http://www.virustotal.com/it/analisis/cb2c0af219e27f417454a5a022b9a2e55f2edb135a8984b952996ef2f6b3aaae-1254424759) (Ikarus)

Non avendo voglia di rispondere a tutti i popup (:D) ho creato un nuovo gruppo "TestVM" in cui ho consentito solo l'esecuzione del rootkit, il caricamento di dll e la creazione di altri processi...inoltre ho negato ogni connessione, la creazione/modifica di ogni chiave di registro e la modifica/cancellazione di file (è stata permessa, invece, la lettura/creazione)...gli screen sono più immediati:p:

http://img156.imageshack.us/img156/7585/mdpermessi2.th.png (http://img156.imageshack.us/i/mdpermessi2.png/) http://img101.imageshack.us/img101/5470/regolafile.th.png (http://img101.imageshack.us/i/regolafile.png/) http://img2.imageshack.us/img2/1373/regolanetwork.th.png (http://img2.imageshack.us/i/regolanetwork.png/) http://img194.imageshack.us/img194/5932/regolaregistro.th.png (http://img194.imageshack.us/i/regolaregistro.png/)

tutto, ovviamente, con l'opzione Log abilitata, cosicchè potremo analizzare il tutto alla fine, con calma, con i log davanti...

quando eseguo l'.exe dico a MD di trattarlo secondo la policy "TestVM", in questo modo non riceverò alcun popup.
Dopo alcuni minuti vado a controllare i Log, ed il risultato è impressionante:eek: :eek:

http://img242.imageshack.us/img242/5771/logvedxg3am1et31.th.png (http://img242.imageshack.us/i/logvedxg3am1et31.png/)
http://img41.imageshack.us/img41/4984/logvedxg3am1et32.th.png (http://img41.imageshack.us/i/logvedxg3am1et32.png/)
http://img39.imageshack.us/img39/8781/logvedxg3am1et33.th.png (http://img39.imageshack.us/i/logvedxg3am1et33.png/)
http://img132.imageshack.us/img132/7710/logvedxg3am1et34.th.png (http://img132.imageshack.us/i/logvedxg3am1et34.png/)

la suddetta policy vale solo per l'exe del malware, alla fine interviene anche winlogon, quindi MD mi chiede cosa fare..io gli nego tutto (anche la creazione del file .sys) e il test termina...
Non escludo che, se avessi permesso quest'evento, il malware sarebbe andato avanti chissà per quale strada:D :D

Saluti

edit:
l'avevo già testato qui, senza però un criterio logico serio:stordita: :
http://www.hwupgrade.it/forum/showpost.php?p=27759350&postcount=2075

Vista SP2
CIS 3.12.111745.560 Proactive Security - Defense+ in Paranoico
Returnil 2010 Home Lux 3.0.6517.4958

MD5 : fbfcfcc369bb7fdf07ac5b9f36dc58ad

Analisi su VirusTotal : http://www.virustotal.com/analisis/57a8e1828ba4d0cf42e23a9e8113848c6290a220b88b0aff738fa783425364c1-1257693666

N.B. Le analisi eseguite su ThreatExpert e CIMA sono con il campione di ieri, infatti l'MD5 e lo SHA-1 risulta differente da quello di oggi, anche se comunque il malware è sempre lo stesso.

Analisi su ThreatExpert : http://www.threatexpert.com/report.aspx?md5=834c84334a497851ee7a8d256408e6ec

Analisi su CIMA : http://camas.comodo.com/cgi-bin/submit?file=dc06ad9ca98c18d82174b639006a8e5f279041ce8d51b54876f3fdd572368c97


Oggi, navigando nel web è facile incontrare delle pagine come questa http://img214.imageshack.us/img214/1042/25692113.th.png (http://img214.imageshack.us/i/25692113.png/) che ci invita ad installare un fantomatico antivirus... e noi facilmente "abbocchiamo" :D
Si, perché questo messaggio è fasullo ed in realtà l'antivirus che andremo ad installare è un malware, un Rogue (http://punto-informatico.it/2407962/PI/News/rogue-software-invasione-degli-ultramalware.aspx) per essere precisi.

Andiamo avanti, clicco su Ok e si apre una pagina web dove vengono visualizzate le risorse del computer http://img260.imageshack.us/img260/5250/80965064.th.png (http://img260.imageshack.us/i/80965064.png/) fasulle anche queste, click su Ok e viene visualizzato un alert con i falsi malware rilevati http://img402.imageshack.us/img402/9080/97457433.th.png (http://img402.imageshack.us/i/97457433.png/) cliccando su Remove All si avvia il download del setup del malware.

Avvio il setup ed abbiamo questi avvisi dal D+:

http://img140.imageshack.us/img140/6893/60884845.th.png (http://img140.imageshack.us/i/60884845.png/) http://img265.imageshack.us/img265/6651/39071561.th.png (http://img265.imageshack.us/i/39071561.png/) http://img294.imageshack.us/img294/1540/42698092.th.png (http://img294.imageshack.us/i/42698092.png/) http://img156.imageshack.us/img156/7112/56470480.th.png (http://img156.imageshack.us/i/56470480.png/)

http://img258.imageshack.us/img258/1439/96819147.th.png (http://img258.imageshack.us/i/96819147.png/) http://img254.imageshack.us/img254/7417/101i.th.png (http://img254.imageshack.us/i/101i.png/) qui ho perso un popup, dove veniva segnalata la creazione di un file, penso dell'eseguibile, poi http://img337.imageshack.us/img337/9615/121s.th.png (http://img337.imageshack.us/i/121s.png/) http://img211.imageshack.us/img211/4342/131v.th.png (http://img211.imageshack.us/i/131v.png/)

http://img211.imageshack.us/img211/1103/43911396.th.png (http://img211.imageshack.us/i/43911396.png/) http://img263.imageshack.us/img263/6271/96296962.th.png (http://img263.imageshack.us/i/96296962.png/) http://img300.imageshack.us/img300/4363/161x.th.png (http://img300.imageshack.us/i/161x.png/) http://img258.imageshack.us/img258/5119/91383280.th.png (http://img258.imageshack.us/i/91383280.png/)

http://img134.imageshack.us/img134/6193/68501596.th.png (http://img134.imageshack.us/i/68501596.png/) ed infine si cancella il setup http://img137.imageshack.us/img137/1426/49804241.th.png (http://img137.imageshack.us/i/49804241.png/)

Saluti :cool:

domanda : mi piacerebbe partecipare per imparare qualcosa di nuovo ma n on ho le vostre capacità e sono solo agli inizi del percorso di apprendimento... ho optato però invece della wm e delle altre soluzioni proposte ad una alternativa che per me sarebbe piu comoda e piu gestibile....ovvero il classico hdd non nuovissimo che verrà all'occorrenza installato al posto dell'hdd originale (si tratta solo di scollegare il secondo e abilitare il primo, oltre a scollegare i dischi d backup) ..ho fatto piccole modifiche al case percio accedo facilmente al cassetto degli hdd...che ne pensate? posso partecipare cosi munito?

ovvio che farò un bel disco immagine del sistema pulito appena installato per evitare sbattimenti..altri suggerimenti??? :)

mi prendete con voi ???

domanda : mi piacerebbe partecipare per imparare qualcosa di nuovo ma n on ho le vostre capacità e sono solo agli inizi del percorso di apprendimento... ho optato però invece della wm e delle altre soluzioni proposte ad una alternativa che per me sarebbe piu comoda e piu gestibile....ovvero il classico hdd non nuovissimo che verrà all'occorrenza installato al posto dell'hdd originale (si tratta solo di scollegare il secondo e abilitare il primo, oltre a scollegare i dischi d backup) ..ho fatto piccole modifiche al case percio accedo facilmente al cassetto degli hdd...che ne pensate? posso partecipare cosi munito?

ovvio che farò un bel disco immagine del sistema pulito appena installato per evitare sbattimenti..altri suggerimenti??? :)

mi prendete con voi ???

Ma certo grabryflash :) solo... devi fare parecchia attenzione.

Perché sull'HDD dedicato non installi una Virtual Machine? Un Sistema di virtualizzazione è necessario... anzi ne servirebbero due.
Ricordati che quando colleghi HDD per i test non deve essere collegato nessun altro HDD e che nell'HDD dedicato non ci dev'essere alcuna informazione personale (S.O. anonimo, nessun client di posta, nessun programma di istant messaging, ecc., insomma, niente di niente) e per sicurezza installi solo i software che ti servono per i test.

Ciao.


P.S. Comunque la prima pagina fatta da leolas è molto chiara, seguendola e facendo attenzione non avrai problemi.

Ma certo grabryflash :) solo... devi fare parecchia attenzione.

Perché sull'HDD dedicato non installi una Virtual Machine? Un Sistema di virtualizzazione è necessario... anzi ne servirebbero due.
Ricordati che quando colleghi HDD per i test non deve essere collegato nessun altro HDD e che nell'HDD dedicato non ci dev'essere alcuna informazione personale (S.O. anonimo, nessun client di posta, nessun programma di istant messaging, ecc., insomma, niente di niente) e per sicurezza installi solo i software che ti servono per i test.

Ciao.

infatti sara fatto cosi..pulito pulito...sai per la VM per quanto sicura per me è preferibile un altro hdd... nell'altro hdd ne ho due ma solo per provare software prima di installarli... cosa intendi per so anonimo?

infatti sara fatto cosi..pulito pulito...sai per la VM per quanto sicura per me è preferibile un altro hdd... nell'altro hdd ne ho due ma solo per provare software prima di installarli... cosa intendi per so anonimo?

Si ho capito che usi un altro HDD, però anche lì, devi installare un SW di virtualizzazione.
Se non ti piace la VM usa Returnil, o similari.... tieni presente che alcuni malware sono proprio bastardi e riescono a bypassare questi sistemi...

Per S.O. anonimo intendo non registrato a tuo nome, ma, per esempio a "Pincopallino" :D

Si ho capito che usi un altro HDD, però anche lì, devi installare un SW di virtualizzazione.
Se non ti piace la VM usa Returnil, o similari.... tieni presente che alcuni malware sono proprio bastardi e riescono a bypassare questi sistemi...

Per S.O. anonimo intendo non registrato a tuo nome, ma, per esempio a "Pincopallino" :D

ok ma se hai un disco immagine oppure come penso che farò io ..un s.o gia preparato con i fix e tutto il resto a che servirebbe la VW? scusa ma n ci arrivo ... :...so ignorante neh :p

ok ma se hai un disco immagine oppure come penso che farò io ..un s.o gia preparato con i fix e tutto il resto a che servirebbe la VW? scusa ma n ci arrivo ... :...so ignorante neh :p

Detto in due parole, per avere una sicurezza in più: non sai mai cosa hai tra le mani e le precauzioni non sono mai troppe.

Te ne accorgerai col tempo del perché :sofico:

Detto in due parole, per avere una sicurezza in più: non sai mai cosa hai tra le mani e le precauzioni non sono mai troppe.

Te ne accorgerai col tempo del perché :sofico:

e meno male che lo uso vergine sto s.o altrimenti sai che ridere..son curiosissimo di iniziare...mi appoggero a voi per imparare neh...come disse Einstein: la curiosità è la madre di tutte le scienza.... ;)

e meno male che lo uso vergine sto s.o altrimenti sai che ridere..son curiosissimo di iniziare...mi appoggero a voi per imparare neh...come disse Einstein: la curiosità è la madre di tutte le scienza.... ;)

:)
Certo, per qualsiasi cosa siamo qui.

:)
Certo, per qualsiasi cosa siamo qui.

gracias amigos ... ;)

Mi accingo a fare un test con Hitman Pro 3.5,purtroppo questa sera ho ospiti e probabilmente non potrò rispettare le cadenze che mi impongo.
Il malware è in questo momento nello status che mi interessa cioè invisibile ad AVIRA:

Analisi Malware Virustotal (http://www.virustotal.com/it/analisis/5d278923f8dde9a2414a6cd9819dcfaa7337c47d2210263f6d801667ad0b73b9-1258822218)

Infatti come è possibile vedere solo 3 Antivirus riconoscono la minaccia.

Prevx non riconosce la minaccia,ma nemmeno Hitman Pro 3.5 http://thumbnails23.imagebam.com/5687/769e8d56862287.gif (http://www.imagebam.com/image/769e8d56862287)

Rifarò lo scan a cadenze prefissate (spero) mi piacerebbe vedere qual'è il sw che rileverà prima degli altri la minaccia.

*****************************************************************************************
Aggiornamento dopo 12 ore

Sono passate ben 12 ore ed il malware risulta sempre invisibile ai 3 antivirus/antimalware di test.
Mentre allo scan on line si sono aggiunti altri 2 antivirus che rilevano la minaccia quindi in totale sono 5.

*****************************************************************************************
Nel frattempo (quì si fà notte !!!! ) ho fatto un test con un malware riconosciuto da Prevx,bene è possibile vedere nell'immagine sotto che identico
riconoscimento è dato da HP e non poteva essere altrimenti:

http://www.pctunerup.com/up/results/_200911/th_20091122110144_Prevx.JPG (http://www.pctunerup.com/up/image.php?src=_200911/20091122110144_Prevx.JPG)

Oltretutto la funzionalità rimozione viene attivata nel caso si voglia eliminare il malware con il sw.
Cioè i 30 gg scadono dopo l'attivazione in rimozione e non dal momento dell'installazione.
Spero di essermi spiegato.

****************************************************************************************

Aggiornamento dopo 24 ore

Nuova analisi Malware Virustotal (http://www.virustotal.com/it/analisis/5d278923f8dde9a2414a6cd9819dcfaa7337c47d2210263f6d801667ad0b73b9-1258909034)

Fatto piuttosto interessante.
Ikarus adesso riconosce il malware mentre HP 3.5 ancora no.
Ci possono essere 2 ipotesi:

a) Il database firme remoto di HP 3.5 ancora non è aggiornato.
b) Ikarus non è implementato.

Altro fatto interessante HP non scansiona la mia partizione non C: che contiene vari malwares, quindi
non vengono riconosciuti come tali,in questo caso Prevx invece scansiona le partizioni non C:

Disponibile la possibilità dello scan singolo prodotto nel menù contestuale:

http://www.pctunerup.com/up/results/_200911/th_20091122180619_HP.JPG (http://www.pctunerup.com/up/image.php?src=_200911/20091122180619_HP.JPG)

****************************************************************************************

Aggiornamento 1 gg + 19 min

Avira si è aggiornato nelle firme.
Adesso il malware è riconosciuto:

http://www.pctunerup.com/up/results/_200911/th_20091122182055_Avira.JPG (http://www.pctunerup.com/up/image.php?src=_200911/20091122182055_Avira.JPG)

Mentre lo scan con HP 3.5 ancora è negativo.
Quindi prende piede la ipotesi di un mancato aggiornamento firme.

Vince quindi la sfida triangolare Avira !!


***Conclusioni*******

Non aspetterò il riconoscimento del malware da parte di Prevx e HP 3.5.
E' un dato di fatto che entrambi prima o poi lo riconosceranno.
Non è interessante nemmeno chi lo riconoscerà per primo perchè per un altro malware
la situazione potrebbe capovolgersi.

La considerazione importante è che Avira è veramente un ottimo prodotto.

Ma tenere nel proprio pc un altro antimalware complementare potrebbe rivelarsi una scelta oculata.
E ciò è dimostrato nella rilevazione di questa mattina sia da Prevx che HP.
Faccio notare che quel malware era, ugualmente come quello di test,invisibile ad Avira !!

Saluti.:)

Ciao sampei,

quando puoi mi invieresti il sample?

Thx :)

Giusto per la cronaca, ora Prevx lo vede ;) :D

Giusto per la cronaca, ora Prevx lo vede ;) :D

Grazie Eraser, ne prendiamo atto,saluti.;) :)

Ciao sampei,
scusami, ma in che senso: "Vince quindi la sfida triangolare Avira !!" :stordita:

Poi un'altra domanda: ma il sample che mi hai inviato è lo stesso?
No, perché quello che ho, ha un nome diverso: 1.40016.exe :confused:

P.S. Scusa di nuovo, ma ho visto adesso l'ultima immagine :fagiano:

Ciao sampei,
scusami, ma in che senso: "Vince quindi la sfida triangolare Avira !!" :stordita:

Poi un'altra domanda: ma il sample che mi hai inviato è lo stesso?
No, perché quello che ho, ha un nome diverso: 1.40016.exe :confused:

P.S. Scusa di nuovo, ma ho visto adesso l'ultima immagine :fagiano:

Il test voleva analizzare le performance di HP 3.5.
Un sw quasi sconosciuto e poco usato qui da noi.
Per far ciò occorreva "paragonarlo" a prodotti noti.
Io ho scelto Prevx e Avira.
La "sfida" era implicita e l'ho scritta nel topic di apertura:

....mi piacerebbe vedere qual'è il sw che rileverà prima degli altri la minaccia.....

Come vedi dall'ultima immagine Avira ha riconosciuto il malware prima degli altri 2 prodotti.

p.s. Se sei curioso di come si sono posizionati gli altri "contendenti" sul podio ho messo (ieri sera) 2 screen nel 3D di Prevx.;)

@ Sampei
Per quanto riguarda Ikarus vs Hitman io ho una mia convinzione ovvero che HP si interfaccia con MalAware e che questi dispone solo delle firme di EMSI A2 e non di Ikarus poichè pochi giorni fa avevo un programma potable che Ikarus dava FP (e a2 no, incredible !!!) e che MalAware non indicava;
ora tu col fatto che ikarus vede il virus ma HP no mi fornisci un secondo indizio, come si dice due indizi non sono una prova ma ci vanno vicino
MalAware è un quick scan veloce che usa un DB online ed è quindi l'unico prodotto EMSI che possa essere preso in considerazione da HP e per rendere questo DB fruibile via web credo proprio che usino solo le loro firme magari perchè quelli di Ikarus non gli hanno dato il permesso o perchè è un db bello corposo 80 mega ormai quando aggiorno il mio a2 usb e a quel punto la scansione ne risentirebbe in velocità

Il test voleva analizzare le performance di HP 3.5.
Un sw quasi sconosciuto e poco usato qui da noi.
Per far ciò occorreva "paragonarlo" a prodotti noti.
Io ho scelto Prevx e Avira.
La "sfida" era implicita e l'ho scritta nel topic di apertura:



Come vedi dall'ultima immagine Avira ha riconosciuto il malware prima degli altri 2 prodotti.

p.s. Se sei curioso di come si sono posizionati gli altri "contendenti" sul podio ho messo (ieri sera) 2 screen nel 3D di Prevx.;)

Grazie :) ora è tutto chiaro.

@ Sampei
Per quanto riguarda Ikarus vs Hitman io ho una mia convinzione ovvero che HP si interfaccia con MalAware e che questi dispone solo delle firme di EMSI A2 e non di Ikarus poichè pochi giorni fa avevo un programma potable che Ikarus dava FP (e a2 no, incredible !!!) e che MalAware non indicava;
ora tu col fatto che ikarus vede il virus ma HP no mi fornisci un secondo indizio, come si dice due indizi non sono una prova ma ci vanno vicino
MalAware è un quick scan veloce che usa un DB online ed è quindi l'unico prodotto EMSI che possa essere preso in considerazione da HP e per rendere questo DB fruibile via web credo proprio che usino solo le loro firme magari perchè quelli di Ikarus non gli hanno dato il permesso o perchè è un db bello corposo 80 mega ormai quando aggiorno il mio a2 usb e a quel punto la scansione ne risentirebbe in velocità

Però il team di HP come si vede nell' "immaginina" che ho inserito in alto spcifica proprio "A-Squared",quindi un utente si immagina,presumo, che sia A2+Ikarus.

Avrebbero potuto scrivere "MalAware".

Magari hai ragione tu ed è dovuto a motivi di visibilità cioè scrivere "A-Squared" conosciuto da molti è certamente meglio di scrivere "MalAware".:)

Interessante il file oggetto dello scan Virustotal con estensione pdf:

http://www.pctunerup.com/up/results/_200912/th_20091226092324_viruspdf.JPG (http://www.pctunerup.com/up/image.php?src=_200912/20091226092324_viruspdf.JPG)

Al momento riconosciuto da solo 8 antivirus come exploit pericoloso.
Dico al momento ma anche ieri la situazione era la stessa,sapete le feste natalizie....

Interessante anche il fatto che il riconoscimento di G-Data manchi in Hitman Pro 3.5 build 84.
Ovviamente per mancato aggiornamento firme.
E ciò mette ancora una volta in evidenza l'importanza degli scan on line.;)

Avira LABS mi ha comunicato adesso che il file è un malware.
E naturalmente non poteva essere altrimenti.

Interessante performance di Hitman Pro 3.5 build 84 ad un malware zero-day praticamente sconosciuto ai maggiori antimalware,ecco lo scan al virus total:

http://www.pctunerup.com/up/results/_201001/th_20100102182732_VT.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102182732_VT.JPG)

Noterete dall'immagine successiva che il malware invisibile allo scan singolo prodotto da Avira è perfettamente riconosciuto da Hitman Pro.

http://www.pctunerup.com/up/results/_201001/th_20100102183329_virus.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102183329_virus.JPG)

Quindi a parte A-squared in questo momento solo Hitman Pro rileva il malware !! ;)

Ed ancora il malware oggetto dello scan sotto riconosciuto da più antimalware ma sempre invisibile ad Avira:

http://www.pctunerup.com/up/results/_201001/th_20100102185813_VT.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102185813_VT.JPG)

Ci viene riconosciuto come malware grazie al multiscan di Hitman Pro di Nod32 e Prevx:

http://www.pctunerup.com/up/results/_201001/th_20100102190416_HT.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102190416_HT.JPG)

p.s. Il primo malware non l'ho evidenziato nell'immagine ma è riconosciuto malware ovviamente da A-Squared.


***********************************************************************************

Ho voluto vedere se qualche altro antispyware rileva i 2 malwares di cui sopra, queste le conclusioni:

a) Spywareterminator = Nessuna minaccia rilevata.
b) SuperantiSpyware= Nessuna minaccia rilevata.
c) Malwaresbytes' Anti-Malwares= Entrambe le minacce riconosciute.

d) Interessante incongruenza di MalAware di cui metto uno screen:

http://www.pctunerup.com/up/results/_201001/th_20100103110203_mal.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100103110203_mal.JPG)

Noterete che i files sono presenti nel desktop ma invisibili allo scan.

Interessante performance di Hitman Pro 3.5 build 84 ad un malware zero-day praticamente sconosciuto ai maggiori antimalware,ecco lo scan al virus total:

http://www.pctunerup.com/up/results/_201001/th_20100102182732_VT.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102182732_VT.JPG)

Noterete dall'immagine successiva che il malware invisibile allo scan singolo prodotto da Avira è perfettamente riconosciuto da Hitman Pro.

http://www.pctunerup.com/up/results/_201001/th_20100102183329_virus.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102183329_virus.JPG)

Quindi a parte A-squared in questo momento solo Hitman Pro rileva il malware !! ;)

Ed ancora il malware oggetto dello scan sotto riconosciuto da più antimalware ma sempre invisibile ad Avira:

http://www.pctunerup.com/up/results/_201001/th_20100102185813_VT.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102185813_VT.JPG)

Ci viene riconosciuto come malware grazie al multiscan di Hitman Pro di Nod32 e Prevx:

http://www.pctunerup.com/up/results/_201001/th_20100102190416_HT.JPG (http://www.pctunerup.com/up/image.php?src=_201001/20100102190416_HT.JPG)

p.s. Il primo malware non l'ho evidenziato nell'imagine ma è riconosciuto malware ovviamente da A-Squared.

caio Sampei
2 considerazioni
asquared si conferma ancora un mostro contro queste minacce tendenti piu' ad spyware che virus....antivir delude insieme a prevx:cry:

nb ho visto dopo l'altro post
bravi pure prevx

caio Sampei
2 considerazioni
asquared si conferma ancora un mostro contro queste minacce tendenti piu' ad spyware che virus....antivir delude insieme a prevx:cry:

Avira come Prevx sono ottimi prodotti.;)

E quindi io sono meno pessimista di te e non i sento certamente di metterli in croce.;)

Semmai quanto evidenziato mette in evidenza che gli utenti DEVONO affiancare "un qualcosa in più" a questi prodotti.;)

Avira come Prevx sono ottimi prodotti.;)

E quindi io sono meno pessimista di te e non i sento certamente di metterli in croce.;)

Semmai quanto evidenziato mette in evidenza che gli utenti DEVONO affiancare "un qualcosa in più" a questi prodotti.;)

si non lo metto in dubbio...
ma come antispy lasciano un po' a desiderare...anche hitman tempo fa era basato su tutti moduli antispyware...
credo che gli spyware a volte sono piu' pericolosi dei virus infatti in alcuni casi aggiscono senza rallentare la macchina e senza che l'utente se ne rendi conto che e' infetto...
ma il commerciale ha cambiato direzione ...infatti antispyware puri non ce ne sono quasi piu':O