Hardware Upgrade Forum - View Single Post

leolas · 19-09-2008, 21:13

Ringrazio cloutz e xcdegasp per avermi aiutato a scrivere il primo post (ne hanno scritto più o meno il 70%

), e murack, chill-out per aver contribuito in altri punti del thread.

Organizzazione Guida:

Breve Premessa, Come partecipare, Linee guida, Per chi vuole proporre i virus/malware da analizzare, Procedura di difesa, Tools e programmi utili
Virus
Test
Partecipanti
Post Vuoto

Introduzione

Breve Premessa:
Questo thread nasce dopo la constatazione dell'interesse di alcuni di noi verso la sperimentazione e lo studio di sample virali. Riteniamo infatti che, benchè i virus siano altamente pericolosi, sia altrettanto edificante conoscerli e studiarli.
Ci teniamo a sottolineare che ogni sample dopo lo studio verrà inviato ai vari laboratori di analisi degli antivirus, quindi non vi è nessuno scopo ludico dietro tutto ciò (e soprattutto non abbiamo interesse a diffondere virus, per poi dovervi curare nella sezione "Aiuto sono infetto", mi pare ovvio), ma voglia di conoscere, sperimentare e testare nuove soluzioni in ambito della sicurezza informatica.
In questo senso i test qui condotti risulteranno utili anche per constatare come le softwarehouse procedono nelle aggiunte delle firme virali, facendo analizzare più volte il sample a servizi online come VirusTotal o VirScan.

Come partecipare

Potete partecipare al progetto in due modi:

Eseguendo i test:
Leggete la procedura Linee guida– per non commettere errori
Inviando sample di virus nuovi:
Leggete la procedura: Per chi vuole proporre i virus/malware da analizzare

Linee guida – per non commettere errori.

N.B.: Questi sono virus veri, spesso non riconosciuti dalla quasi totalità degli antivirus. Qui sono elencate accortezze che vengono date per la sicurezza di tutti. Non vogliamo che si finisca per diffondere infezioni, a causa della mancata cura del tester, cosa di cui non vogliamo/possiamo esser responsabili.
Liberi di non seguirle, a vostro rischio e pericolo, ma poi non lamentatevi.

Qualunque test deve essere effettuato all’interno di una Macchina Virtuale e non sulla macchina principale che si usa tutti i giorni. Liberi di non farlo, il rischio lo correte voi.
Qualunque tipo di virtualizzatore (da Returnil, per intere partizioni, a Sandboxie, per singole applicazioni, ad immagini di sistema con AcronisTrueImage o DriveImageXML) è altamente consigliato sia in VM che sul sistema host, dato che ogni software ha i propri bug. E’ nel vostro interesse, al fine di evitare spiacevoli inconvenienti.
Chiunque parteciperà all'analisi dovrà dichiarare le metodologie che intende seguire per svolgere il test e indicare i programmi che nel corso del test possiede e saranno attivi o comunque partecipi nell'analisi pertanto prima dovrà esesre censito nell'elenco dei tester.
Chiunque effettui un test e vuole postare sul forum i propri risultati deve quanto meno utilizzare un hips e un firewall. Questo è l’equipaggiamento che consente di valutare con esattezza i movimenti e le modifiche che compie il sample:
- Ogni avviso visualizzato da tali software (o comunque quelli più importanti, nei limiti delle possibilità) andrebbe catturato e postato, per una migliore comprensibilità.
- Per un analisi più approfondita è opportuno controllare il file log dell’hips e magari con screenshoot mostrare gli eventi principali sempre del log.
- Con il firewall si potrebbero segnalare le porte utilizzate per la connessione all’esterno, se questa avviene (anche controllare la provenienza dell’ip non sarebbe male).
- Con SysInspector si rilascierà un'analisi completa del sistema da chiavi di registro, servizi e file, sia nella situazione pulita sia nella situazione con infezione completa questo ci darà modo di avere un quadro generale il più completo possibile.
  Istruzioni su come generare il log:
  doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml)
- E’ sempre opportuno far analizzare il sample a Virus Total o VirScan, per aver presente una panoramica complessiva sull’individuazione degli antivirus e la “rarità” del virus testato.
- Per ultimo descrivere i problemi che si incontrano nell’utilizzo di windows ad infezione avvenuta, se possibile.
- Infine pubblicare tutti i log prodotti dai programmi coinvolti nell'analisi seguendo le modalità descritte in Regole di Sezione, ricordarsi per sysinspector di pubblicare i due log (il "prima" e il "dopo")
Ultimo ma forse più importante: lamer & coglioni al largo.

Per chi vuole proporre i virus/malware da analizzare

I sample devono venire compressi in file zip, e bisognerà proteggerli con una password (di almeno 10 caratteri alfanumerici, maiuscoli e minuscoli)
I file *.zip devono essere inviati a http://www.wikisend.com. Prima di caricarli, è obbligatorio cliccare su Properties, aumentare i giorni di vita del file (si consiglia di impostare 30 giorni) e dove impostare una password, diversa da quella del file zip, sempre composta da almeno 10 caratteri alfanumerici, maiuscoli e minuscoli, per impedirne il download a chi è senza autorizzazione. Tutti i sample sprovvisti di password, saranno eliminati dal thread.
Alla presentazione del sample, dovrà essere inserito un link all'analisi di http://www.virustotal.com e di http://www.virscan.org. Senza queste due analisi non verranno presi in considerazione.
Ritengo opportuno anche verificare che il contenuto sia corretto tramite calcolo degli hash; in questo senso l’MD5 sarà reso pubblico nella discussione (sia del pacchetto zippato che del file in chiaro), insieme alla descrizione del virus. Questo sempre per la vostra sicurezza.
Le password saranno distribuite solo in via privata, a completa discrezione (ovviamente con cognizione di causa) di chi le possiede mettendo in copia conoscenza ogni volta il moderatore di sezione.
Ogni 3/4 giorni dovrà essere pubblicata una nuova analisi eseguita di http://www.virustotal.com e http://www.virscan.org. Questo permetterà di monitorare il grado di velocità che le software house adotteranno per includere questo sample nelle loro enciclopedie virali, ovviamente quando un sostanzioso numero di antivrius lo riconosce si smette di monitorare la situazione.
Nel post #2, verrà mantenuto un elenco aggiornato dei vari sample proposti nel thread con relativi link alle rispettive analisi.

Procedura di difesa

Ovviamente, nessuno vorrà infettarsi la partizione principale, o testare il virus senza protezioni adeguate.
Qui sotto, trovate la procedura per proteggere la vostra partizione.

Legenda:
█ Necessario
█ Consigliato
█ Utile

Installa Sandbox: Come funziona una sandbox: http://www.sandboxie.com/
Si può scegliere tra:
Installa una Virtual Machine: Serve a virtualizzare un sistema operativo, consentendo così di non infettare l'OS principale (NB: alcuni virus sono in grado di bypassare le VM, quindi effettuate anche i passaggi sucessivi). Bisogna quindi installare una macchina virtuale a scelta tra le sottostanti. Se avete installato anche la sanbox, installate la VM all'interno della Sandbox.
- Virtual Box (free)
- VMware Workstation (non free)
- VMware Server
- Virtual PC
Returnil: Dato che alcuni virus sono in grado di bypassare le protezioni delle macchine virtuali, è altamente consigliato installare Returnil, ovvero un sistema di protezione che consente di riportare il sistema allo stato della sessione precedente.
- Returnil

In pratica, è consigliabile avere uno di quest 3 tipi di configurazione:

Hard Disk principale --> Returnil --> Sandboxie --> VM
Hard Disk principale --> Sandboxie --> VM (NOTA: Virtual PC e Sanboxie vanno in conflitto)
Hard Disk principale --> Returnil --> VM

Tools e programmi utili per eseguire il test

Non ha senso provare i sample dei virus, se non si hanno i programmi necessari per capirne il funzionamento.
Qui sotto, vi sono le 4 categorie di software consigliati per eseguire i test.

Vanno, ovviamente, installati all'interno della Virtual Machine.

HIPS: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.
Antivirus: Necessario per i test solo nel caso si voglia testare anche l'antivirus. Scegliete voi che configurazione testare.
Firewall: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare.
Antispyware: Necessario per i test solo nel caso si voglia testare anche l'antispyware. Scegliete voi che configurazione testare.
SysInspector: Necessario per avere un'analisi completa del sistema da chiavi di registro, servizi e file.
DOWNLOAD (32 bit)
DOWNLOAD (64 bit)
Sysinternals Suite: i tool utili sono RegMon, FileMon, ProcessExplorer e TCPView. Sono (almeno in parte) informazioni visualizzabili anche con SysInspector + Firewall ecc.
DOWNLOAD

19-09-2008, 21:13	#1
leolas Senior Member Iscritto dal: Feb 2007 Città: Modena Messaggi: 4904	Virus Testing Machine Ringrazio cloutz e xcdegasp per avermi aiutato a scrivere il primo post (ne hanno scritto più o meno il 70% ), e murack, chill-out per aver contribuito in altri punti del thread. Organizzazione Guida: Breve Premessa, Come partecipare, Linee guida, Per chi vuole proporre i virus/malware da analizzare, Procedura di difesa, Tools e programmi utili Virus Test Partecipanti Post Vuoto Introduzione Breve Premessa: Questo thread nasce dopo la constatazione dell'interesse di alcuni di noi verso la sperimentazione e lo studio di sample virali. Riteniamo infatti che, benchè i virus siano altamente pericolosi, sia altrettanto edificante conoscerli e studiarli. Ci teniamo a sottolineare che ogni sample dopo lo studio verrà inviato ai vari laboratori di analisi degli antivirus, quindi non vi è nessuno scopo ludico dietro tutto ciò (e soprattutto non abbiamo interesse a diffondere virus, per poi dovervi curare nella sezione "Aiuto sono infetto", mi pare ovvio), ma voglia di conoscere, sperimentare e testare nuove soluzioni in ambito della sicurezza informatica. In questo senso i test qui condotti risulteranno utili anche per constatare come le softwarehouse procedono nelle aggiunte delle firme virali, facendo analizzare più volte il sample a servizi online come VirusTotal o VirScan. Come partecipare Potete partecipare al progetto in due modi: Eseguendo i test: Leggete la procedura Linee guida– per non commettere errori Inviando sample di virus nuovi: Leggete la procedura: Per chi vuole proporre i virus/malware da analizzare Linee guida – per non commettere errori. N.B.: Questi sono virus veri, spesso non riconosciuti dalla quasi totalità degli antivirus. Qui sono elencate accortezze che vengono date per la sicurezza di tutti. Non vogliamo che si finisca per diffondere infezioni, a causa della mancata cura del tester, cosa di cui non vogliamo/possiamo esser responsabili. Liberi di non seguirle, a vostro rischio e pericolo, ma poi non lamentatevi. Qualunque test deve essere effettuato all’interno di una Macchina Virtuale e non sulla macchina principale che si usa tutti i giorni. Liberi di non farlo, il rischio lo correte voi. Qualunque tipo di virtualizzatore (da Returnil, per intere partizioni, a Sandboxie, per singole applicazioni, ad immagini di sistema con AcronisTrueImage o DriveImageXML) è altamente consigliato sia in VM che sul sistema host, dato che ogni software ha i propri bug. E’ nel vostro interesse, al fine di evitare spiacevoli inconvenienti. Chiunque parteciperà all'analisi dovrà dichiarare le metodologie che intende seguire per svolgere il test e indicare i programmi che nel corso del test possiede e saranno attivi o comunque partecipi nell'analisi pertanto prima dovrà esesre censito nell'elenco dei tester. Chiunque effettui un test e vuole postare sul forum i propri risultati deve quanto meno utilizzare un hips e un firewall. Questo è l’equipaggiamento che consente di valutare con esattezza i movimenti e le modifiche che compie il sample: Ogni avviso visualizzato da tali software (o comunque quelli più importanti, nei limiti delle possibilità) andrebbe catturato e postato, per una migliore comprensibilità. Per un analisi più approfondita è opportuno controllare il file log dell’hips e magari con screenshoot mostrare gli eventi principali sempre del log. Con il firewall si potrebbero segnalare le porte utilizzate per la connessione all’esterno, se questa avviene (anche controllare la provenienza dell’ip non sarebbe male). Con SysInspector si rilascierà un'analisi completa del sistema da chiavi di registro, servizi e file, sia nella situazione pulita sia nella situazione con infezione completa questo ci darà modo di avere un quadro generale il più completo possibile. Istruzioni su come generare il log: doppio click su SysInspector per lanciare il tool - scorri in basso SysInspector - EULA e clicca su I Agree ed attendi pazientemente che SysInspector esegua l'analisi al termine si aprirà l'interfaccia del programma, a questo punto non devi fare altro che cliccare su File - Save Log (per praticità salvalo sul DeskTop) clicca su Yes - Nome file: lascia quello che propone in automatico - Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) E’ sempre opportuno far analizzare il sample a Virus Total o VirScan, per aver presente una panoramica complessiva sull’individuazione degli antivirus e la “rarità” del virus testato. Per ultimo descrivere i problemi che si incontrano nell’utilizzo di windows ad infezione avvenuta, se possibile. Infine pubblicare tutti i log prodotti dai programmi coinvolti nell'analisi seguendo le modalità descritte in Regole di Sezione, ricordarsi per sysinspector di pubblicare i due log (il "prima" e il "dopo") Ultimo ma forse più importante: lamer & coglioni al largo. Per chi vuole proporre i virus/malware da analizzare I sample devono venire compressi in file zip, e bisognerà proteggerli con una password (di almeno 10 caratteri alfanumerici, maiuscoli e minuscoli) I file .zip devono essere inviati a http://www.wikisend.com. Prima di caricarli, è obbligatorio* cliccare su Properties, aumentare i giorni di vita del file (si consiglia di impostare 30 giorni) e dove impostare una password, diversa da quella del file zip, sempre composta da almeno 10 caratteri alfanumerici, maiuscoli e minuscoli, per impedirne il download a chi è senza autorizzazione. Tutti i sample sprovvisti di password, saranno eliminati dal thread. Alla presentazione del sample, dovrà essere inserito un link all'analisi di http://www.virustotal.com e di http://www.virscan.org. Senza queste due analisi non verranno presi in considerazione. Ritengo opportuno anche verificare che il contenuto sia corretto tramite calcolo degli hash; in questo senso l’MD5 sarà reso pubblico nella discussione (sia del pacchetto zippato che del file in chiaro), insieme alla descrizione del virus. Questo sempre per la vostra sicurezza. Le password saranno distribuite solo in via privata, a completa discrezione (ovviamente con cognizione di causa) di chi le possiede mettendo in copia conoscenza ogni volta il moderatore di sezione. Ogni 3/4 giorni dovrà essere pubblicata una nuova analisi eseguita di http://www.virustotal.com e http://www.virscan.org. Questo permetterà di monitorare il grado di velocità che le software house adotteranno per includere questo sample nelle loro enciclopedie virali, ovviamente quando un sostanzioso numero di antivrius lo riconosce si smette di monitorare la situazione. Nel post #2, verrà mantenuto un elenco aggiornato dei vari sample proposti nel thread con relativi link alle rispettive analisi. Procedura di difesa Ovviamente, nessuno vorrà infettarsi la partizione principale, o testare il virus senza protezioni adeguate. Qui sotto, trovate la procedura per proteggere la vostra partizione. Legenda: █ Necessario █ Consigliato █ Utile Installa Sandbox: Come funziona una sandbox: http://www.sandboxie.com/ Si può scegliere tra: BufferZone Sandboxie GesWall SafeSpace Core Force(beta) Haute Secure (beta) Installa una Virtual Machine: Serve a virtualizzare un sistema operativo, consentendo così di non infettare l'OS principale (NB: alcuni virus sono in grado di bypassare le VM, quindi effettuate anche i passaggi sucessivi). Bisogna quindi installare una macchina virtuale a scelta tra le sottostanti. Se avete installato anche la sanbox, installate la VM all'interno della Sandbox. Virtual Box (free) VMware Workstation (non free) VMware Server Virtual PC Returnil: Dato che alcuni virus sono in grado di bypassare le protezioni delle macchine virtuali, è altamente consigliato installare Returnil, ovvero un sistema di protezione che consente di riportare il sistema allo stato della sessione precedente. Returnil In pratica, è consigliabile avere uno di quest 3 tipi di configurazione: Hard Disk principale --> Returnil --> Sandboxie --> VM Hard Disk principale --> Sandboxie --> VM (NOTA: Virtual PC e Sanboxie vanno in conflitto) Hard Disk principale --> Returnil --> VM Tools e programmi utili per eseguire il test Non ha senso provare i sample dei virus, se non si hanno i programmi necessari per capirne il funzionamento. Qui sotto, vi sono le 4 categorie di software consigliati per eseguire i test. Vanno, ovviamente, installati all'interno della Virtual Machine. HIPS: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare. Antivirus: Necessario per i test solo nel caso si voglia testare anche l'antivirus. Scegliete voi che configurazione testare. Firewall: Necessario per i test (e magari per non infettare nemmeno la macchina virtuale). Scegliete voi che configurazione testare. Antispyware: Necessario per i test solo nel caso si voglia testare anche l'antispyware. Scegliete voi che configurazione testare. SysInspector: Necessario per avere un'analisi completa del sistema da chiavi di registro, servizi e file. DOWNLOAD (32 bit) DOWNLOAD (64 bit) Sysinternals Suite: i tool utili sono RegMon, FileMon, ProcessExplorer e TCPView. Sono (almeno in parte) informazioni visualizzabili anche con SysInspector + Firewall ecc. DOWNLOAD Ultima modifica di leolas : 27-09-2008 alle 19:49.