Virus Testing Machine

[Chill-Out]

Quote:

Originariamente inviato da @Sirio@

.... come dicevo a degasp niente VM, per quello ti chiedevo se è possibile o ha qualche utilità installarlo senza la VM.

ops.....avevo letto male, diciamo che per caratteristiche in VM è meglio

Quote:

HBGary Flypaper is designed to be used with a virtual machine. Once activated, Flypaper will also block network traffic to and from the machine.

puoi utilizzarlo anche senza

[nV 25]

*EDITATO*

[xcdegasp]

Quote:

Originariamente inviato da @Sirio@

...ehmmm, non so come spiegartelo, io non ho potuto installare la Virtual Machine. Il mio vecchio macinino (Pentium II con 288 MB di ram) non ce la fa nemmeno a farla partire...
Quindi ho fomattato e installato XP sp3, AntiVir, RTD, JPF2, SysInspector, Browser, ecc. insomma solo i programmi essenziali per i test. Nessuna informazione che mi riguarda, a parte l'IP.
Questo PC lo uso solo per navigare e fare i test.
Cmq, riguardo ai log di SysInspector oltre al nome del PC ci sono gli IP... non è che ho qualcosa da nascondere, solamente non voglio pubblicare appunto il mio IP.
Forse potrei fare degli screen anche di quelli, o un file txt cancellando quello che mi interessa, però ci vuole altro tempo... e come si dice? Il tempo vale oro... soprattutto per me, come tu sai

c'è solo ip locale (192.168.1.X) e ip dei dns,credo che non ci sia nessun problema per questi dati (voglio sperare che sia un router perchè fose un modem-usb ci si chiederebbe che cosa ci fa connesso)..
dovresti già averli osservati questi dati non capisco cosa ci sia di "utile" per un guardone.
ma dalla forzature credo che nemmeno lo hai spulciato il log prodotto..

[@Sirio@]

Quote:

Originariamente inviato da nV 25

*EDITATO*

Ieri non ho fatto in tempo a risponderti..

Io lo trovavo interessante, come tutti i tuoi interventi del resto. Mi hai fatto fare pure 2 risate.

Cmq hai ragione sul limite di eseguire il test acconsentendo a tutte le richieste, e anche riguardo la "lentezza" di alcuni post, ma sono un apprendista... spero di migliorare col tempo.
Fino a ieri non sapevo nemmeno la differenza tra un exploit ed un rootkit, oggi non la so ancora però grazie a eraser ho capito che c'è una bella differenza, vedrò di studiare di più.
Vorrei che continuassi (se hai tempo e voglia) a postare le tue critiche/suggerimenti riguardo i test che io o altri possiamo fare.

Ciao "enne"

[@Sirio@]

Quote:

Originariamente inviato da xcdegasp

c'è solo ip locale (192.168.1.X) e ip dei dns,credo che non ci sia nessun problema per questi dati (voglio sperare che sia un router perchè fose un modem-usb ci si chiederebbe che cosa ci fa connesso)..
dovresti già averli osservati questi dati non capisco cosa ci sia di "utile" per un guardone.
ma dalla forzature credo che nemmeno lo hai spulciato il log prodotto..

Credi male, l'ho spulciato il log ed è proprio per questo che "forzo".. cmq c'è proprio il mio IP reale con i DNS.
Perché dici: "se fosse un modem USB ci si chiederebbe cosa ci fa connesso". Non capisco, è pericoloso?

[nV 25]

Quote:

Originariamente inviato da @Sirio@

Ciao "enne"

ciao anche a te!

Quote:

Originariamente inviato da @Sirio@

...Mi hai fatto fare pure 2 risate....

ti era piaciuta la metafora sui volatili?

Quote:

Originariamente inviato da @Sirio@

Fino a ieri non sapevo nemmeno la differenza tra un exploit ed un rootkit, oggi non la so ancora

questa è da guinness...
Mi hai regalato buon umore, grazie!

....

Sul capitolo critiche:
è giusto che portiate avanti il metodo di lavoro che avete stabilito di comune accordo a prescindere dai miei gusti personali...


Mi piacerebbe peraltro vedere testata roba più "tossica" (le fonti di approvvigionamento non dovrebbero mancarvi)...




PS:
(anche se ormai un pò datati), ti giro via pvt il link ai rootkit discussi da fcukdat qui! nella sua comparativa poi, se interessa, provvederai a shararli nei modi opportuni agli altri tester...

[@Sirio@]

Quote:

Originariamente inviato da Chill-Out

ops.....avevo letto male, diciamo che per caratteristiche in VM è meglio



puoi utilizzarlo anche senza

Grazie ..lo proverò

[Chill-Out]

Quote:

Originariamente inviato da @Sirio@

Grazie ..lo proverò

Ok fammi sapere che ne pensi

[@Sirio@]

Quote:

Originariamente inviato da nV 25

ciao anche a te!

ti era piaciuta la metafora sui volatili?

questa è da guinness...
Mi hai regalato buon umore, grazie!

....

Sul capitolo critiche:
è giusto che portiate avanti il metodo di lavoro che avete stabilito di comune accordo a prescindere dai miei gusti personali...


Mi piacerebbe peraltro vedere testata roba più "tossica" (le fonti di approvvigionamento non dovrebbero mancarvi)...




PS:
(anche se ormai un pò datati), ti giro via pvt il link ai rootkit discussi da fcukdat qui! nella sua comparativa poi, se interessa, provvederai a shararli nei modi opportuni agli altri tester...

Vedrò di provare con le "cosine" che mi hai mandato

grazie ancora per tutto.

[xcdegasp]

Quote:

Originariamente inviato da @Sirio@

Credi male, lo spulciato il log ed è proprio per questo che "forzo".. cmq c'è proprio il mio IP reale con i DNS.
Perchè dici: "se fosse un modem USB ci si chiederebbe cosa ci fa connesso". Non capisco, è pericoloso?

perchè non ti serve che sia connesso.. devi fare un test mica navigare, a maggior ragione se ti sta così a cuore il tuo ip puoi staccare il modem...

[@Sirio@]

Quote:

Originariamente inviato da xcdegasp

perchè non ti serve che sia connesso.. devi fare un test mica navigare, a maggior ragione se ti sta così a cuore il tuo ip puoi staccare il modem...

Si capisco, però faccio i test connesso per vedere cosa fa il malware, dove vuole connettersi.
Troverò una soluzione e al prossimo test cercherò di mettere anche i log (ripuliti).

[gavel]

Ripeto!
Il modo migliore per gli utenti - fermare a credere in favole da AV società e iniziate a pensare con la propria testa!

Come non ho mai detto niente che non poso confermare!

Trovato un puo di tempo per fare esempio:

-test con "eicar.com" (www.eicar.org) anti_virus_test_file.
VirusTotal mostra questo, fiuuuu
http://www.virustotal.com/analisis/f...18f8f33602b1ca

Trasformando "eicar.com" con C++ in "eicar.exe"
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/6...e6c30ce07f1485

Protegendo "eicar.exe" con "Yoda" Crypter
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/b...7f921d384e0472

Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica. (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

[nV 25]

sul
"voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere",
discorso che poi è l'unico sul quale mi sentirei di rispondere, direi
SI!, e non vedo onestamente neppure di cosa stupirsi... [come peraltro mostrato qui! dove si parla appunto di Rootkit *attivi*, o in n-altre prove che coinvolgono anche altri prodotti (RootRepeal, ad es...)
Se scorri peraltro il link al TU di RR che si trova nel mio post, trovi anche "la storia" di questo software, e cioè come è via via maturato nel tempo per arrivare a "decifrare" trucchi e amenità varie che rendevano altrimenti difficile (se non impossibile) lo smascheramento di certi sample...]

Non vedo onestamente neppure di cosa stupirsi, dicevo, anche perchè gira e rigira le *famiglie* di Rootkit attualmente esistenti sono in numero finito, segno del fatto che *non è* cosi' banale costruire ex-novo tecnologie tese a sovvertire l'OS...

E poichè ogni famiglia fà leva su "trucchi comuni" per riuscire nel suo intento, ecco che "se si sa dove guardare", si riuscirà "a vedere" indipendentemente dalla variante in oggetto...



Questo, almeno, mi dice la logica e quel poco che ho capito scartabellando on line...


*OT*:
approfitto della visibilità di cui gode questo thread per segnalare che mi sentirei in grado di spendere 2 parole anche su questo discorso (clicca), per lo meno per RTD che, anche sotto questo punto di vista, trovo semplicemente avanti...
Pur consapevole delle energie che disperdo ogni volta che cerco di addentrarmi su certe tematiche, dove eventualmente discuterne lo sappiamo...

[Chukie]

Quote:

Originariamente inviato da gavel

Ripeto!
Il modo migliore per gli utenti - fermare a credere in favole da AV società e iniziate a pensare con la propria testa!

Come non ho mai detto niente che non poso confermare!

Trovato un puo di tempo per fare esempio:

-test con "eicar.com" (www.eicar.org) anti_virus_test_file.
VirusTotal mostra questo, fiuuuu
http://www.virustotal.com/analisis/f...18f8f33602b1ca

Trasformando "eicar.com" con C++ in "eicar.exe"
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/6...e6c30ce07f1485

Protegendo "eicar.exe" con "Yoda" Crypter
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/b...7f921d384e0472

Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica. (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

Ma fammi capire, ma tu dov'eri tutti questi anni di test e comparative internazionali, pagine e pagine di ricerca su come fare i test dei software antivirus?

Cavolo, se c'eri tu si era risolto tutto molto più velocemente e facilmente E pure in maniera più affidabile

[xcdegasp]

Quote:

Originariamente inviato da deepdark

Come al solito si dorme....Ho letto questo articolo http://www.megalab.it/3542 e ho deciso di scaricare il rogue software stopzilla e di farlo analizzare, ecco il risultato: http://www.virustotal.com/it/analisi...79c91abd70b48e

come dice e illustra l'articolo non è un veicolo di infezione bensì un programma dalla totale inutilità, viene pure precisato che si disinstalla con il suo unistaller.
che pretendevi che facessero gli antivirus con il tuo exe uppato?

[marmotta88]

Quote:

Originariamente inviato da deepdark

"In realtà il software si comporta esattamente come un rogue software (ossia uno di quei falsi programmi che tentano di installarsi nel computer facendoti credere che il computer sia veramente infetto da virus, spyware, adware, ecc. Successivamente si viene invitati ad acquistare il software per eliminare le minacce rilevate, che naturalmente non ci sono!) tipo Antivirus XP 2008 e ToolSicuro, per citarne due dei più conosciuti."

Rimango della mia opinione, gli antivirus hanno falito, ancorpiù gli antispyware...

Se non è un programma malevolo questo allora mi sa che non ho capito (e su questo non c'è dubbio )

Ti quoto

[OT]
Anchio una sera che non sapevo che fare partendo dagli annunci google di questa pagina l'ho scaricato e già a naso mi puzzava e il report di VT mi ha lasciato molto perplesso. Però mica mi sono fidato ad eseguirlo.

Ma poi è possibile che gli installer fraudolenti, quelli che ti chiedono di chiamare un 899 per scaricare un software gratuito per capirci, non vengano rilevati dagli AV come fraudolent/installer?

[\OT]

[xcdegasp]

Quote:

Originariamente inviato da deepdark

"In realtà il software si comporta esattamente come un rogue software (ossia uno di quei falsi programmi che tentano di installarsi nel computer facendoti credere che il computer sia veramente infetto da virus, spyware, adware, ecc. Successivamente si viene invitati ad acquistare il software per eliminare le minacce rilevate, che naturalmente non ci sono!) tipo Antivirus XP 2008 e ToolSicuro, per citarne due dei più conosciuti."

Rimango della mia opinione, gli antivirus hanno falito, ancorpiù gli antispyware...

Se non è un programma malevolo questo allora mi sa che non ho capito (e su questo non c'è dubbio )

si comporta da programma inutile, tutti gkli altri rogue ti portano volontariamente il pc a essere instabile daneggiando ilr egistro di sistema o comunque editandolo, a interrompere servizi a inserire restrizioni per l'utente tipo impossibilità di accedere al pannello di controllo per disinstallare ecc...
questo invece non accade con stopzilla per questo non è considerato pericolo e da bloccare dall'antivirus.

semmai sarebbe carico dell'antispyware ma non di certo di un antivirus

[@Sirio@]

Quote:

Originariamente inviato da gavel

Ripeto!
Il modo migliore per gli utenti - fermare a credere in favole da AV società e iniziate a pensare con la propria testa!

Come non ho mai detto niente che non poso confermare!

Trovato un puo di tempo per fare esempio:

-test con "eicar.com" (www.eicar.org) anti_virus_test_file.
VirusTotal mostra questo, fiuuuu
http://www.virustotal.com/analisis/f...18f8f33602b1ca

Trasformando "eicar.com" con C++ in "eicar.exe"
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/6...e6c30ce07f1485

Protegendo "eicar.exe" con "Yoda" Crypter
VirusTotal mostra guesto,
http://www.virustotal.com/analisis/b...7f921d384e0472

Tre test, sempe con uguale "virus", tre diversi risultati, vi dice qualcosa
Solo i miglliori sono sempre li con "EICAR-Test-File".

Pensso che ho deto tutto su la sicurezza del pc a portata di mano, sia via firme virali, sia (e cosa molto piu importante) tecnologie di natura euristica. (e voi che trovano un Rustock dopo instalato, anche se studiati per individuare e rimuovere).

PS: se qualcuno vuole il sample di "eicar.exe", si fa vivo.

Io non ho capito... cosa volevi dimostrare?
L'inefficacia degli antivirus?
Bhè io spero di toglierlo un giorno, affidandomi solo all'HIPS e al Firewall.

Ciao gavel

[@Sirio@]

Quote:

Originariamente inviato da Chill-Out

Ok fammi sapere che ne pensi

Ciao Chill-Out
l'ho provato, però almeno per me, sinceramente non ne vedo l'utilità: preferisco usare il firewall per bloccare, negare o accettare il traffico di dati.

Forse devo capire meglio... forse, anzi sicuramente, come mi hanno scritto è più utile se usato insieme a HBGary Responder.

Quote:

Flypaper will be much more useful if you use it in conjunction with HBGary Responder.
Flypaper will cause malware (and malware droppers) to "stick" in memory.
Then with Responder you can analyze the vmware memory image (.vmem file) and extract the malware binaries for analysis and reverse engineering.

Tu lo hai provato? Mi sai dire qualcosa in più?

[@Sirio@]

Quote:

Originariamente inviato da nV 25

[...]

*OT*:
approfitto della visibilità di cui gode questo thread per segnalare che mi sentirei in grado di spendere 2 parole anche su questo discorso (clicca), per lo meno per RTD che, anche sotto questo punto di vista, trovo semplicemente avanti...
Pur consapevole delle energie che disperdo ogni volta che cerco di addentrarmi su certe tematiche, dove eventualmente discuterne lo sappiamo...

Bhè, io mi sono sempre fidato dell'install mode del D+, come anche di quello di RTD.
Dalla poca esperienza fatta, ho potuto notare che anche mettendo in install mode gli HIPS (per lo meno questi due che ho citato) questi, per alcune modifiche "critiche" (comportamenti tipici dei malware) ci avvisano comunque e richiedono una nostra conferma, a differenza del learning mode, che impara e memorizza qualsiasi operazione.

Sinceramente non so se ho capito bene. La curiosità di bellgamin è rivolta al controllo che hanno gl'HIPS in install mode?

Ciao nV 25