Primi virus per Windows Vista

[Fx]

è più facile fare un eseguibile a sè stante (ovvero solo il virus) che infettare "a mano" un altro eseguibile

[fantoibed]

Quote:

Originariamente inviato da Fx

un virus è un software completo, che infetta altri programmi per un solo scopo: gli altri programmi vengono abitualmente eseguiti. dentro di sè, un virus ha tutto il codice che gli serve per funzionare, tant'è che quando infetta un binario non ne sfrutta nessuna parte, come sembra da come dici tu, bensì pone il suo codice in modo che prima che vengano eseguite le istruzione del binario vengano eseguite le sue.

per fare ciò una tecnica semplice per i file .COM è sostituire i primi byte con un'istruzione JMP che rimanda alla fine del file (ovviamente a questo punto in ram) dove il virus tiene il suo "corpo", nonchè i byte che ha sostituito che andrà a rimettere al suo posto prima di lanciare come ultima cosa un'altra istruzione JMP che punta all'inizio del file

spero sia circa chiaro =)

Sì, è proprio quello che indendevo dire anch'io. Addirittura alcuni virii erano dotato di un motore polimorfico per replicarsi con delle mutazioni...
L'esempio dei .com e del jmp calza a pennello, però negli eseguibili per windows non è così facile. Un exe in formato PE a 32bit è dotato al suo interno di un'intestazione abbastanza dettagliata, di uno stub (quel prg DOS che dice "Questo programma richiede Microsoft Windows(C)" se si esegue un programma per windows sotto DOS puro), una IAT, un numero variabile di sezioni, ognuna con le sue caratteristiche di protezione in lettura, scrittura, eccetere.
E' per questo che un virus per windows non può essere eseguito così com'è. E' fatto per vivere all'interno di una sezione di un exe ospitante. Per renderlo indipendente bisognerebbe inserirlo all'interno di una sezione di un PE, inserire manualmente sezioni, intestazioni, paddare le sezioni per ottenere il corretto allineamento, compilare le IAT, ... insomma non è banale!

[fantoibed]

Quote:

Originariamente inviato da Fx

è più facile fare un eseguibile a sè stante (ovvero solo il virus) che infettare "a mano" un altro eseguibile

Per quanto riguarda i virii in formato .COM sono d'accordo al 100%. Per quelli in formato PE, no e forse neanche per gli MZ. Per i PE, la cosa più pratica è compilare un "hello, world!", aggiungere manualmente padding e una sezione, iniettare in questa sezione il codice virale, aggiornare manualmente i campi dell'intestazione con un hexeditor e lanciare l'exe. Esistono anche programmini (tipo LordPE) che aiutano in questi lavoretti...

[Fx]

si, lo fai manualmente una volta e poi? deve essere in grado di farlo automaticamente, in ogni caso, il virus... per quanto riguarda i classici vecchi EXE del dos (MZ) dovevi andare a sistemare l'header ricalcolando checksum (vado a memoria) e cagatine varie perchè la cosa funzionasse... però ripeto doveva essere il virus stesso in grado di farlo

[mjordan]

Quote:

Originariamente inviato da uovobw

certo che nessuno si preoccupa!
quanti credi che sappiano cosa sia la dns cache poisoning? o che anche solo sappiano cosa è il DNS!
sto parlando delle persone comuni "non informatiche"!
loro vedranno: vista va meglio, yadda yadda (DB), ha le finestre trasparenti, installiamo! anzi, compriamo gia installato su macchine con il drm
manco sanno cosa significa browser, non pretendere che qualcuno si preoccupi.

Io sono dell'idea che per il pc ci voglia la patente.
Se vai in macchina e non sai guidare, fai danni e ammazzi gli altri, oltre a te.
Se usi il pc come un cane e il tuo win bacato pieno di virus diventa uno zombie, danneggi le compagnie i cui siti vengono dossati e così via.

Esame per tutti: sai usare il pc? si, bene, se no aria.
E non mi venite a dire che sono assolutista!
la tragedia dell'informatica è data dal fatto che è diventata per tutti, quando per tutti non è!

Tu sai usare bene il PC? E soprattutto. Cosa significa "usare un PC"? Non sei assolutista. Sei surrealista.

[mjordan]

Quote:

Originariamente inviato da davestas

Sono TORNATO DALLA VACANZA DI GIUGNO E LUGLIO e mi ritrovo WINDOWS VISTA, che roba è????
GRAZIE

Due mesi di vacanza... Che lavoro fai che cambio pure io

[IL PAPA]

Per me questa shell "Monad" è una Monada... cmq bel lavoro, finalmente un SO invulnerabile!

[fek]

Quote:

Originariamente inviato da eraser

eh no ti sbagli tu

Un virus è un PROGRAMMA capace di autoreplicarsi

Corretto. Il virus e' un programma e codice eseguibile in grado di replicarsi, per definizione. Il web e' pieno di definizioni di virus, una a caso:

http://www.webopedia.com/TERM/v/virus.html

A program or piece of code that is loaded onto your computer without your knowledge and runs against your wishes. Viruses can also replicate themselves. All computer viruses are manmade. A simple virus that can make a copy of itself over and over again is relatively easy to produce.

Oppure:
In computer security technology, a virus is a self-replicating program that spreads by inserting copies of itself into other executable code or documents

Oppure:
A virus is a type of program that can replicate itself by making (possibly modified) copies of itself. The main criterion for classifying a piece of executable code as a virus is that it spreads itself by means of 'hosts'. A virus can only spread from one computer to another when its host is taken to the uninfected computer, for instance by a user sending it over a network or carrying it on a removable disk

Definizioni abbastanza inequivocabili e conclusive.

Notare che per definizione stessa di virus, un virus semplice e' teoricamente fattibile su qualunque sistema operativo.

Quote:

Ma DEVE essere anche eseguibile il codice stesso del virus, altrimenti chi lo da l'avvio al processo di infezione iniziale?

Ed inoltre se non fosse codice esegubile come fare ad eseguire le istruzioni per copiarsi?

[fantoibed]

Quote:

Originariamente inviato da Fx

si, lo fai manualmente una volta e poi? deve essere in grado di farlo automaticamente, in ogni caso, il virus... per quanto riguarda i classici vecchi EXE del dos (MZ) dovevi andare a sistemare l'header ricalcolando checksum (vado a memoria) e cagatine varie perchè la cosa funzionasse... però ripeto doveva essere il virus stesso in grado di farlo

Ovvio che poi deve essere in grado di farlo da sè. Se non è in grado di autoreplicarsi non è un virus, l'ho già detto e ripetuto più volte.
Sto solo dicendo che il virus è solo un pezzo di codice eseguibile senza intestazioni, senza risorse, icone, eccetera, un po' come quando compili un sorgente senza linkarlo. Non puoi eseguire un file oggetto. Calcolare il checksum, poi, non è necessario, visto che lo stesso visual studio riempie il campo checksum con una serie di zeri. Deve invece modificare il campo entrypoint dell'intestazione PE per farla puntare all'inizio del codice del virus stesso e mettere un long jump verso il vecchio entrypoint alla fine del virus per eseguire il codice dell'eseguibile ospitante.

Edit: prima dell'avvento del service pack 1 di XP detenevo il record dell'eseguibile più piccolo in formato PE. Gli indirizzi delle API venivano inseriti nell'exe durante la sua creazione per evitare di sprecare spazio con la IAT. E' ancora accessibile dalla cache di google sul forum di anticrack.de :
http://www.google.com/search?q=cache...php%3Ft%3D3036.
Purtroppo, con l'avvento del SP1, è diventata obbligatoria la presenza della IAT, altrimenti Windows dice "formato di eseguibile non valido" o qlc del genere.

[bjt2]

Ma se l'utente che esegue (volente o per un bug di un programma) il file ospitante il virus non ha i permessi di scrittura su nessun file eseguibile (per esempio un normale user in un sistema Linux) il virus non si può replicare!

[fek]

Quote:

Originariamente inviato da bjt2

Ma se l'utente che esegue (volente o per un bug di un programma) il file ospitante il virus non ha i permessi di scrittura su nessun file eseguibile (per esempio un normale user in un sistema Linux) il virus non si può replicare!

Esatto. Usare utenti con i soli limiti necessari per il proprio lavoro e' un punto fondamentale del processo di sicurezza, ed e' una grave mancanza di WinXP il non facilitarne l'uso. Ricordo che la sicurezza non e' un software (ha nessun senso parlare di sistema piu' o meno sicuro di un altro), ma e' un Processo che coinvolge l'educazione dell'utenza e il supporto tecnico del software.

Infine il virus e' da definizione qualunque programma in grado di autoreplicarsi, puo' essere tranquillamente un intero eseguibile, oppure parti di codice esegubile, o anche un file batch di testo in casi molto semplici come quelli riportati dalla news.

[fantoibed]

Quote:

Originariamente inviato da bjt2

Ma se l'utente che esegue (volente o per un bug di un programma) il file ospitante il virus non ha i permessi di scrittura su nessun file eseguibile (per esempio un normale user in un sistema Linux) il virus non si può replicare!

Dipende. Esistono dei bug che permettono il cosiddetto privilege escalation. Tra quelli ancora non patchati per windows xp, c'è questo (anche se non è di quelli ad alto livello di rischio ed è sfruttabile solo da locale e non da remoto):
http://secunia.com/advisories/11633/

Quote:

Originariamente inviato da fek

Infine il virus e' da definizione qualunque programma in grado di autoreplicarsi

...Quindi anche copy.com è un virus?

Quote:

Originariamente inviato da fek

o anche un file batch di testo in casi molto semplici come quelli riportati dalla news.

Peccato che gli script della news si propagano inserendo codice maligno in altri script (tipico dei virus) e non creando copie di se stessi (come vorresti far credere tu).

D'altra parte la regoletta è abbastanza semplice: se l'infezione si progaga nel computer senza che aumenti il numero totale di files è un virus, se invece aumentano i files è un worm. Questo perché i virii si inseriscono all'interno di programmi preesistenti, mentre i worm no.

[bjt2]

Io indendevo dire in assenza di bug. Comunque hai ragione, sapevo anche io di questi tipi di bug, ma ne avevo sentiti per Linux, non sapevo che ce ne fosse anche per Windows ed addirittura non patchati!

Copy.com non è un virus, perchè devi dirgli esplicitamente di copiarsi, passandogli un parametro. Se lanci copy.com senza nessun parametro non fa nulla. Un file batch che si autocopia potrebbe essere un virus.

Gli script della news si appendono o prependono ad altri script. Quindi si copiano. Per copia non si intende una copia integrale, ma anche una copia parziale o totale, "allegata" ad un file ospite.

[fantoibed]

Quote:

Originariamente inviato da bjt2

Io indendevo dire in assenza di bug. Comunque hai ragione, sapevo anche io di questi tipi di bug, ma ne avevo sentiti per Linux, non sapevo che ce ne fosse anche per Windows ed addirittura non patchati!

Eppure è così.

Quote:

Originariamente inviato da bjt2

Copy.com non è un virus, perchè devi dirgli esplicitamente di copiarsi, passandogli un parametro. Se lanci copy.com senza nessun parametro non fa nulla. Un file batch che si autocopia potrebbe essere un virus.

So anch'io che copy.com non è un virus, contenstavo la definizione data da fek. Un BAT che si autocopia invece è uno worm. Un BAT che infetta altri BAT esistenti è un virus.

Quote:

Originariamente inviato da bjt2

Gli script della news si appendono o prependono ad altri script. Quindi si copiano. Per copia non si intende una copia integrale, ma anche una copia parziale o totale, "allegata" ad un file ospite.

La differenza è proprio lì. Uno worm si copia integralmente, creando ex-novo una nuova copia di se stesso, un virus si copia agganciandosi ad altri programmi esistenti. Su webopedia ho letto addirittura che un worm sarebbe un sottotipo di virus. Niente di più sbagliato! E' meglio consultare siti autorevoli come quelli delle case che distribuiscono antivirus per chiarirsi le idee:
http://service1.symantec.com/SUPPORT...99041209131106:

Quote:

What is a worm?
Worms are programs that replicate themselves from system to system without the use of a host file. This is in contrast to viruses, which requires the spreading of an infected host file. Although worms generally exist inside of other files, often Word or Excel documents, there is a difference between how worms and viruses use the host file. Usually the worm will release a document that already has the "worm" macro inside the document. The entire document will travel from computer to computer, so the entire document should be considered the worm. W32.Mydoom.AX@mm is an example of a worm.

[fek]

Qualche esempio di batch file virus per completare la definizione che ho riportato (da un testo di sicurezza informatica):

http://www.cknow.com/articles/79/1/Batch-File-Viruses

There are several batch file viruses, but each works in a manner similar to that described above. The labels and batch file instructions may differ; but the method of operation is similar.

http://www.ocf.berkeley.edu/~peterso...ch-virus.shtml

Codice:

find "batvirus.xyz" %0.bat |find /v /i "%0.bat"> batvirus.xyz
for %%b in (*.bat) do if not %%b==%0.BAT copy %%b + batvirus.xyz
del batvirus.xyz

http://www.viruslist.com/en/viruses/...?virusid=18016

BAT.Looper ---------- This is a dangerous script virus. It is written in BATCH for DOS. It is about 65 bytes in size. When launched, it looks for files as .ba? in the current directory, for files as .b?t in the parent directory, and for files ?*.*at in the C:\ drive root. It writes its code in the infected file, this way, it deletes the actual contents. The virus does not show its existence in any way.

Un virus puo' essere anche un semplice script in formato testo, oppure una combinazione di testo e codice binario. La caratteristica e' l'essere una sequenza di istruzioni in qualunque formato eseguibile dal sistema operativo o da un'applicazione ospitata dal sistema operativo in grado di copiare se' stesso senza l'intervento dell'utente.

E' tranquillamente possibile ad esempio scrivere virus in Ruby o Python (linguaggi di scripting interpretati) per qualunque sistema operativo che supporti questi ambienti.

Virus in Perl:

http://www.antiviraldp.com/virus_list/list_9.htm

3) PERL.DirWorm;
4) PERL.Intender;
5) PERL.Nirvana;
6) PERL.Qwax;
7) PERL.Rans;
8) PERL.Spoon;
9) PERL.Tict;

Virus in PHP:

http://www.google.com/search?q=php+virus
1) PHP.Alf;
2) PHP.Neworld;
3) PHP.Pirus;
4) PHP.Redz;

[eraser]

Allora, amplio e specifico meglio quello che avevo scritto prima (sinceramente non ho letto tutto quello che avete scritto, mea culpa )

Allora, un virus è un programma autoeseguibile che si autoreplica, fin qui per la definizione ci siamo (l'ho scritta in modo veloce ma non penso ci siano grossi dubbi fin qui).

La routine di infezione di un virus viene inserita all'interno di un file ospite vittima in vari modi: prima del codice, alla fine del codice o in mezzo.

L'infezione iniziale parte da un file eseguibile, o fatto a mano e contenente il codice del virus, o lo stesso codice del virus autoeseguibile (vedi virus Bube).

Tuttavia, una volta copiata la propria routine all'interno del file vittima, la suddetta diventa solamente una sezione del codice all'interno di un file che, se isolata dal resto del programma vittima, non può essere eseguita per ovvie lacune (Entry Point errato, header mancante ecc...ecc....).

Per renderlo eseguibile bisognerebbe fixare tutti questi parametri.

Se ci sono altri dubbi sono a disposizione

[fek]

Quote:

Originariamente inviato da eraser

Se ci sono altri dubbi sono a disposizione

Tutto ok direi. L'unico appunto e' che un virus non deve necessariamente essere un eseguibile, come ad esempio quel curioso file batch che e' a tutti gli effetti classificato come un virus dalla Berkeley University pur essendo un semplice file di testo.

[eraser]

si certo perché è un file che si replica all'interno del pc, dopo non conta se cancella totalmente il file ospite o si inserisce al suo interno, il suo scopo è replicarsi

Comunque non è un semplice file di testo...è uno script

[fek]

Si', vero. Quel file batch e' abbastanza impressionante nella sua semplicita'

[Fx]

tra l'altro fare una cosa del tipo che fa lo stesso per linux (che ovviamente si replica nei file .sh sui quali l'utente ha privilegi) è altrettanto facile, anzi, con linux si possono fare cose ben più complesse con i file .sh (tutto quello che fai da console, ovvero circa... tutto! potresti fare facilmente un bel virus che ti flippa orizzontalmente tutte le immagini o che ti riproduce suoni a caso )