il ruolo del firewall durante un' infezione..

deja vu · 20-04-2006, 15:13

Salve,
mettiamo che il mio antivirus non individui un trojan..e questo mi installi una backdoor sul computer... Se ho un buon firewall dovrei comunque essere protetto ?..Puo' il trojan comunicare con l'esterno e aprire porte sul mio pc se non lo autorizzo dal firewall ?..

Saluti

Stev-O · 20-04-2006, 15:34

il firewall software serve anche a bloccare le applicazioni, i processi in uscita sulla rete oltre che le porte

supponendo che un file maligno voglia andare in internet tramite la porta 80 tcp (web, http) tu bloccando globalmente tale porta non navigheresti più, bloccando invece l'uscita di QUEL solo file il resto lo puoi fare

si tratta cmq di una situazione temporanea.... il trojan lo devi rimuovere poi con tool appositi (ewido ecc)

deja vu · 20-04-2006, 15:51

Altra domandina : ma gli antivirus oltre ad invididuare gli exe infetti riescono anche a rimuovere dal sistema i danni del trojan ormai gia' eseguito (le chiavi di registro modificate ecc ecc) ?..O e' una procedura che di solito si deve fare manualmente ?

Stev-O · 20-04-2006, 15:54

dipende dal virus
in certi casi occorre anche fare manualmente o solo manualmente
cmq un occhio al log di hijackthis dopo infezione di norma va sempre data

manganese · 21-04-2006, 12:40

Io sono riuscito a beccare un trojan non individuato nè dall'antivirus nè dall'antispy proprio nel momento in cui ha tentato di collegarsi a internet proprio grazie all'allarme del firewall.
Poi ho rimosso con hijackthis.

Dopo questa bella avventura però una domanda...mi scuso fin d'ora per la scarsa chiarezza dovuta alla scarsa padronanza della materia...
Se il malware usa (si dice inocula?) svchost per collegarsi a internet come si fà?
Cioè ho modo di accorgermi che il processo (o meglio uno dei processi visto che di solito sono 4 o 5 contemporanei aperti) svchost è usato da un programma che io non ho autorizzato?
Mi è stato consigliato a tal fine process explorer, ma debbo dire che non ci ho capito molto

Stev-O · 21-04-2006, 12:56

quello nuovo utilizza smss con parametri -w

diciamo che di solito puoi bloccare in uscita i vari svchost a meno di alcuni aggiornamenti software tipo kav

manganese · 21-04-2006, 13:23

Quote:

Originariamente inviato da Stev-O

quello nuovo utilizza smss con parametri -w

diciamo che di solito puoi bloccare in uscita i vari svchost a meno di alcuni aggiornamenti software tipo kav

Ok prendiamo quello ad esempio...anche se ho visto ben di peggio
In quel caso oltre a inocularsi in svchost cambia le regole del firewall quindi si piazza da solo in uscita...io cmq lo debbo lasciare libero svchost per varie ragioni

...in quel caso il firewall viene bypassato l'antivirus+antispy pure!
L'unico modo rimane quello di monitorare il registro di configurazione con gli appositi programmi?
Cioè, visto che non mi posso fidare nè dell'antivirus-spy nè del firewall almeno posso fidarmi dell monitorare il registro o ci sono bestie che si installano "scavalcando" pure quello?...non è la prima volta che sento di computer con il log di HiJackThis apparentemente pulito che fanno "cose strane"

Ribadisco le scuse per la scarsa chiarezza

Stev-O · 21-04-2006, 13:54

eh se non puoi controllare i processi come quelli che hai detto
devi affidarti a qualcos'altro oltre che a tenere sempre costantemente aggiornato il tutto...
diciamo che fortunatamente è una eventualità un po' più rara
un programma che controlla il registro è reg defend ma è a pagamento

nV 25 · 21-04-2006, 14:19

Quote:

Originariamente inviato da Stev-O

eh se non puoi controllare i processi come quelli che hai detto
devi affidarti a qualcos'altro oltre che a tenere sempre costantemente aggiornato il tutto...
diciamo che fortunatamente è una eventualità un po' più rara
un programma che controlla il registro è reg defend ma è a pagamento

giusto.....e per quello che residua dovresti affidarti a Process-Guard che risponderebbe perfettamente alle tue esigenze... ( mi stò ancora riferendo a manganese, eh!).

eventualmente dai uno sguardo qui: http://www.hwupgrade.it/forum/showthread.php?t=1064733 dove trovi carellate di soluzioni + o - analoghe a PG, anche freeware.

Poi una buona dose di cul@ e vivi sufficientemente sereno

Ciaba · 21-04-2006, 20:49

Quote:

Originariamente inviato da manganese

Ok prendiamo quello ad esempio...anche se ho visto ben di peggio
In quel caso oltre a inocularsi in svchost cambia le regole del firewall quindi si piazza da solo in uscita...io cmq lo debbo lasciare libero svchost per varie ragioni

...in quel caso il firewall viene bypassato l'antivirus+antispy pure!
L'unico modo rimane quello di monitorare il registro di configurazione con gli appositi programmi?
Cioè, visto che non mi posso fidare nè dell'antivirus-spy nè del firewall almeno posso fidarmi dell monitorare il registro o ci sono bestie che si installano "scavalcando" pure quello?...non è la prima volta che sento di computer con il log di HiJackThis apparentemente pulito che fanno "cose strane"

Ribadisco le scuse per la scarsa chiarezza

...a me sembra effettivamente una situazione molto ma molto remota...e mi spiego: svchost.exe è un processo "contenitore" in quanto racchiude in se diversi servizi di win. Con ProcessExplorer(che ti è stato giustamente consigliato), ogni tanto puoi andare a dare un'occhiata all'interno di svchost se c'è qualche voce che nn torna e soprattutto con il controllo TCP\IP(sempre di PE), puoi vedere subito se è in connessione o meno. Io con Jetico l'ho blindato nel senso che gli permetto solo un certo tipo di connessione verso indirizzi o attraverso porte specifiche e nego tutto il resto. Il controllo Hash di Jetico fa il resto...in più ogni tanto controllo con PE e sono a posto...per quel che si può èssere in rete.

21-04-2006, 22:10

Quote:

Originariamente inviato da manganese

Ok prendiamo quello ad esempio...anche se ho visto ben di peggio
In quel caso oltre a inocularsi in svchost cambia le regole del firewall quindi si piazza da solo in uscita...io cmq lo debbo lasciare libero svchost per varie ragioni

...in quel caso il firewall viene bypassato l'antivirus+antispy pure!
L'unico modo rimane quello di monitorare il registro di configurazione con gli appositi programmi?
Cioè, visto che non mi posso fidare nè dell'antivirus-spy nè del firewall almeno posso fidarmi dell monitorare il registro o ci sono bestie che si installano "scavalcando" pure quello?...non è la prima volta che sento di computer con il log di HiJackThis apparentemente pulito che fanno "cose strane"

Ribadisco le scuse per la scarsa chiarezza

Se usi KAV 6.0, esso contiene un modulo denominato Proactive Defense che tra le altre cose intercetta eventuali tentativi di un programma di alterare altri processi... e quindi potresti bloccare tali tentativi.

Inoltre se il software è stato progettato con intelligenza, esso tiene "bloccate" le proprie chiavi di registro in modo che non possano essere alterate quando il programma è in esecuzione. Sempre KAV 6.0 integra una funzione denominata Self-Protection che impedisce ad altri processi di terminarlo, modificarne le chiavi di registro etc.

L'unico modo per "fregarlo" sarebbe quello di creare un programma che muova realmente il puntatore del mouse e disattivi l'antivirus/firewall attraverso l'interfaccia grafica proprio come farebbe un utente. Per provare a prevenire questa remota possibilità è possibile utilizzare una funzione messa a disposizione da numerosi software di sicurezza (compreso KAV

) che consiste nell'impostare una password per poter modificare le impostazioni del programma o per stopparlo. A questo punto l'eventuale "programma maligno" dovrebbe sia emulare il movimento del puntatore, sia conoscere la password dell'utente...... insomma, ci si sta avvicinando molto alla fantascienza

20-04-2006, 15:13	#1
deja vu Registered User Iscritto dal: Oct 2005 Città: Bitland Messaggi: 519	il ruolo del firewall durante un' infezione.. Salve, mettiamo che il mio antivirus non individui un trojan..e questo mi installi una backdoor sul computer... Se ho un buon firewall dovrei comunque essere protetto ?..Puo' il trojan comunicare con l'esterno e aprire porte sul mio pc se non lo autorizzo dal firewall ?.. Saluti

20-04-2006, 15:34	#2
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	il firewall software serve anche a bloccare le applicazioni, i processi in uscita sulla rete oltre che le porte supponendo che un file maligno voglia andare in internet tramite la porta 80 tcp (web, http) tu bloccando globalmente tale porta non navigheresti più, bloccando invece l'uscita di QUEL solo file il resto lo puoi fare si tratta cmq di una situazione temporanea.... il trojan lo devi rimuovere poi con tool appositi (ewido ecc) __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

20-04-2006, 15:54	#4
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	dipende dal virus in certi casi occorre anche fare manualmente o solo manualmente cmq un occhio al log di hijackthis dopo infezione di norma va sempre data __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-04-2006, 12:56	#6
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	quello nuovo utilizza smss con parametri -w diciamo che di solito puoi bloccare in uscita i vari svchost a meno di alcuni aggiornamenti software tipo kav __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-04-2006, 13:54	#8
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	eh se non puoi controllare i processi come quelli che hai detto devi affidarti a qualcos'altro oltre che a tenere sempre costantemente aggiornato il tutto... diciamo che fortunatamente è una eventualità un po' più rara un programma che controlla il registro è reg defend ma è a pagamento __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

20-04-2006, 15:51	#3
deja vu Registered User Iscritto dal: Oct 2005 Città: Bitland Messaggi: 519	Altra domandina : ma gli antivirus oltre ad invididuare gli exe infetti riescono anche a rimuovere dal sistema i danni del trojan ormai gia' eseguito (le chiavi di registro modificate ecc ecc) ?..O e' una procedura che di solito si deve fare manualmente ?

21-04-2006, 12:40	#5
manganese Senior Member Iscritto dal: Feb 2006 Messaggi: 642	Io sono riuscito a beccare un trojan non individuato nè dall'antivirus nè dall'antispy proprio nel momento in cui ha tentato di collegarsi a internet proprio grazie all'allarme del firewall. Poi ho rimosso con hijackthis. Dopo questa bella avventura però una domanda...mi scuso fin d'ora per la scarsa chiarezza dovuta alla scarsa padronanza della materia... Se il malware usa (si dice inocula?) svchost per collegarsi a internet come si fà? Cioè ho modo di accorgermi che il processo (o meglio uno dei processi visto che di solito sono 4 o 5 contemporanei aperti) svchost è usato da un programma che io non ho autorizzato? Mi è stato consigliato a tal fine process explorer, ma debbo dire che non ci ho capito molto

Strumenti
Mostra una versione stampabile Invia questa pagina per email