Virus Sommario Il termine virus Virus: definizione

Sommario
Virus
z
z
z
Definizione e
fenomenologia
z
z
Introduzione
Tipi di virus
Tecniche di difesa
Virus famosi
Hoax
Il termine virus
z
Virus: definizione
–
–
Si trasmettono da un
“individuo” ad un altro
Hanno bisogno di altri
“organismi” per
sopravvivere
¾
Sono programmi
Si replicano
Non necessariamente recano danni
¾
Fred Cohen (Definizione Formale)
¾
Hanno alcune
caratteristiche in
comune con i virus
biologici
¾
?
=
¾
E’ un programma che infetta altri programmi
modificandoli per includere una copia evoluta di
se stesso
Virus: storia
1970: Creeper si diffonde attraverso ARPAnet
1986: Brain destinato ai PC IBM e compatibili,
infettava il boot sector dei floppy disk
1990: Mark Washburn scrive i primi virus
definiti “polimorfi”
1999: Melissa apre l’era dei macrovirus
2004: Comparsa dei worm Blaster e Sasser
Virus : struttura
¾
Infection
¾
¾
Payload
¾
¾
il modo in cui il virus si diffonde
ciò che il virus fa (se fa qualcosa) oltre a
replicarsi
Trigger
¾
la routine che decide quando attivare la fase di
payload, se definita.
Virus : ciclo di vita
¾
Creazione
¾
Fase in cui il
programmatore scrive il
codice malizioso
Virus : ciclo di vita
¾
Epidemia
¾
Infezione
¾
¾
Propagazione
¾
¾
Se il sistema non è ancora infettato il virus lo inizia ad infettare
Il virus propaga l'infezione, riproducendosi e infettando sia file
nella stessa macchina che altri sistemi (tramite scambio di
dischi, connessioni via modem o collegamenti in rete)
Attivazione
¾
Al verificarsi delle condizioni previste il virus viene attivato
Virus : ciclo di vita
¾
Disattivazione
¾
z
Viene individuata la stringa di riconoscimento del virus
z
Il virus viene eliminato dal sistema mediante un antivirus
Occupa la memoria e si duplica
Macro
Sfrutta la possibilità di inserire una macro in un documento
–
Estirpazione
¾
Worm
–
Riconoscimento
¾
¾
Virus : tipologie
z
Bootsector
Modifica la sequenza di boot del PC
–
z
Polimorfi
Muta la propria firma ogni volta che si replica
–
Virus : tipologie
¾
Cavalli di troia
¾
¾
¾
¾
¾
Un virus che usa tecniche per nascondersi
Hanno lo scopo di recuperare login e password
¾
DoS
¾
Impediscono all’utente di accedere ad alcuni servizi
¾
La capacità del virus di far apparire tutto normale al S.O.
Polimorfismo
Permettono l’utilizzo della macchina da remoto
Password stealer
¾
¾
Stealth
Backdoor
¾
¾
¾
Programma che si maschera come qualcosa di benigno
Stealth
¾
Meccanismi di occultamento
Tecniche usate per cambiare la forma di un virus ad ogni
sua infezione per provare a nascondersi alle scansioni
software
Social Engineering
¾
L'arte e la scienza di guidare l'interlocutore ad assecondare
i propri desideri
Stealth
¾
¾
¾
Risiede sempre in memoria
Intercetta tutte le funzioni che effettuano un accesso
al disco per nascondere i cambiamenti fatti su di
esso
Classificazione
¾
¾
¾
¾
Elementary
Intermediate
Advanced
Polimorfismo
¾
¾
¾
•
•
¾
•
•
Elude il monitoraggio delle system calls più pericolose
Polimorfismo
¾
¾
Genera il codice per la decrittazione
Operazioni più usate ADD, SUB e XOR
Impegnativa è la scritttura del codice che crea il decryptor
Piccolo esempio: due modi di scrivere la stessa routine di
decrittazione
mov cx,bytes_da_decrittare
mov di,codice_da_decrittare
dloop:
xor byte ptr [di],12h
inc di
loop dloop
((A xor B) xor B) = A)
mov si,codice_da_decrittatre
mov bx,bytes_da_decrittare
dloop:
dec bx
xor byte ptr [si],12h
Garbage
inc si
instruction
or bx,bx
jnz dloop
Cripta il virus con chiavi random
Genera più routine di decrittazione possibili
Inserisci nella routine di crittazione istruzioni casuali
(garbage) per confondere l’antivirus
Social Engineering
Motore polimorfico
¾
Oligomorfi (stessa routine)
Strettamente polimorfi (routine random)
Motori polimorfi
•
Tunnelling
¾
Il codice del virus viene crittografato
Serve per aggirare la ricerca di stringhe note da
parte di antivirus
Vari livelli di polimorfismo
¾
¾
¾
L'arte e la scienza di guidare l'interlocutore
ad assecondare i propri desideri
Ampiamente usato da Email virus e da i
worm
Sfrutta alcuni fattori per influenzare la vittima
¾
¾
¾
Autorevolezza
Gentilezza
Persuasione
Virus : le statistiche
Statistiche: ultimo anno
Last 12 months
1
Win32/Mydoom.A@mm
25859616
2
HTML/IFrame_Exploit*
25853424
3
Win32/Sobig.aF@mm
19193597
4
Win32/Netsky.P@mm
14310551
5
Win32/Klez.H@mm
13110615
6
Win32/Mimail.A@mm
11579937
7
Win32/Zafi.B@mm
10690383
8
Win32/Netsky.D@mm
6527892
9
Win32/Netsky.B@mm
5962243
10
Win32/Sobig.E@mm
4252614
Statistiche: crescita virus
Virus : come difendersi
¾
I sintomi
¾
¾
¾
¾
¾
Blocchi del sistema improvvisi e inaspettati
I file eseguibili aumentano la dimensione in byte
Diminuiscono le risorse
Il computer non si avvia
I principali sistemi di attacco
¾
¾
¾
I dischetti
Esecuzione di programmi infetti
Apertura di file infetti
¾
Metodi di difesa
¾
Cosa fare in caso di contagio
Il W32/Sasser
Piccola scheda tecnica:
¾
Esempio di "programma maligno" (malware )
¾
Il W32/Sasser è un worm che sfrutta la vulnerabilità descritta nel Microsoft Security Bulletin MS04-011 e
che si diffonde cercando i sistemi vulnerabili tra una serie di indirizzi IP sottoposti a scansione casuale.
¾
TIPO: worm.
¾
Questo worm è costituito da un file eseguibile a 32 bit.
¾
LUNGHEZZA DELL'INFEZIONE: 15,872 bytes.
¾
SISTEMI OPERATIVI MINACCIATI: Windows 2000, Windows XP.
¾
Il worm non si propaga via e-mail
¾
Cosa fa Sasser…
z
Scorre tutti gli indirizzi IP dell’host
Usando uno di questi IP,il worm genera un indirizzo IP casuale
¾ Tenta di connettersi ad indirizzi IP generati in modo casuale sulla porta
TCP 445
¾ Se stabilita una connessione ,il worm invia a quell’host uno shellcode
¾ Questo provoca l’esecuzione di una shell remota sulla porta TCP 445
¾ Utilizza la shell per costringere il computer a riconnettersi al server
Sulla porta 5554
Il processo Lsass.exe si arresta .
¾
Se trova un sistema non patchato allora:
z
Copia se stesso come %Windir%avserve.exe
z
Si aggiunge così questo valore nella chiave di registro:
Hkey_Local_Machine\software\Microsoft\Windows\CurrentVersion\Run
z
Utilizza l’API AbortSystemShoutdown
z
Avvia un server FTP sulla porta TCP 5554
trascurato.
Ancora ….
Manda in buffer overflow lo stack,sfrutta una falla del processo Lsass.
z
Con il passare del tempo sono stati sviluppate 4 categorie di Sasser A,B,C,D
Ogni versione è specializzata nell’ infettare i restanti computer che la precedente aveva
Cosa succede….
Verrà visualizzata la seguente finestra che ci avvisa di
salvare tutto il lavoro in quanto la macchina a causa
di un errore verrà riavviata.
Cosa fare se si è stati affetti:
¾
¾
¾
¾
¾
¾
¾
¾
Per concludere:
¾
¾
Disconnettersi da Internet
Fermare il ciclo di riavvio del computer
Rimuovere la vulnerabilità
Migliorare le prestazioni del sistema
Attivare un firewall
Riconnettersi ad internet
Installare l’aggiornamento richiesto
Finalmente rimuovere il worm Sasser
MY DOOM
Data di scoperta: lunedì 26 gennaio 2004
Generalizzando, gli effetti di Sasser sono quelli di aumentare il carico della Cpu (a causa dei suoi
tentativi di propagazione, molto aggressivi) e di portare al riavvio della macchina mediante il crash del
componente Lsass,ma non cancella la memoria del pc,
Sintomi d’infezione:
presenza del file avserve.exe nella directory di Windows
¾
Precauzioni: aggiornare i sistemi installando le patch regolarmente rilasciate, porre attenzione ad
eventuali download, utilizzare sistemi di protezione aggiornati sia a livello di antivirus che a livello di
firewall.
¾
Infine per rimuovere il virus scaricare il tool di rimozione messo a disposizione dalle case produttrici degli
antivirus ed eseguirla. L'aggiornamento è disponibile sul sito web WindowsUpdate, nella sezione
Aggiornamenti importanti e Service Pack.
Tipo: Worm\backdoor
Rischio: Alto
Trasmissione del virus: E-Mail, Kazaa
Dimensioni del file: 22 KByte
Rimozione: tool Symantec, tool Computer Associates
Piattaforma colpita: Windows
Danni: Consumo di banda per l'autoreplica, possibilità di controllo della macchina infetta dall'esterno,
bombarda di e-mail un server obiettivo
z
Riferimenti: www.SansIstitute.it
Metodi di propagazione (1)
Esempio di e-mail
Si propaga via e-mail ma non in modo
indiscriminato
Utilizza metodi di selezione e-mail destinatarie
Metodi di propagazione (2)
Immette una copia di se nella cartella di file condivisi di
Kazaa con nomi interessanti
•
•
•
•
•
•
•
activation_crack
icq2004-final
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
winamp5
Scopo del virus
z
z
permettere ad utenti esterni di connettersi
alla porta TCP 3127 del computer infetto
Bombardare di e-mail un server obiettivo
Come funziona
1.
2.
3.
Immette una copia di se col nome
taskmon.exe nella cartella di sistema
la mette nello startup di windows
Crea una libreria shimgapi.ddl e la
aggiunge al file explorer.exe
sintomi
z
Apertura notePad
con caratteri casuali
Š presenza file
shimgapi.dll e
taskmon.exe
shimgapi.ddl
Questa libreria serve per le mansioni di
backdoor e decide se:
z Mandare info sul sistema infettato
z Ricevere dati, mandarli in esecuzione, e poi
cancellarli
Una vittima illustre
Nel febbraio 2004 ha causato un Denial of
Service al sito della SCO, azienda che
reclama i diritti di proprietà intellettuale su
alcuni dei codici usati nelle versioni
commerciali di Linux
Alcune versioni successive
z
MyDoom.b :
-
-
obiettivo microsoft.com e sco.com
allungano i tempi dell'attacco DOS sino ai primi di marzo
non permette l'accesso ai siti dei maggiori produttori di antivirus
cambio file infettati
z
MyDoom.f :
-
obiettivo microsoft.com e riaa.com
-
fonti
z
z
z
z
http://www.sophos.com
http://www.liblab.it
http://virus.html.it/
http://www.networkassociates.com
definizione
Un altro tipo di
virus…
messaggi di posta elettronica scritti per un solo
scopo: essere mandati volontariamente a
tutte le persone che si conoscono
Perché preoccuparsi
Non creano danni ai computer
ma infestano la rete
essendo
Di conseguenza
Appesantiscono i server di posta, rischiando di
rendere i servizi lenti o addirittura di bloccarli
un gigantesco spreco di
banda di trasmissione
Generazi
one
Numero
di
messaggi
oltretutto
2
3
4
5
6
10
100
1.000
10.000
100.000
1.000.000
Come riconoscerli
z
Sono un ottimo modo per rastrellare e-mail
(spesso anche nome e cognome)
da riutilizzare per lo spamming
1
z
z
z
z
Presenza della frase “manda questo a tutti
quelli che conosci”
Uso linguaggio sgrammaticato e dal “suono”
tecnico
Fonti estranee ai fatti, inventate o non
specificate
Uso di un tono apocalittico o patetico
Prospettive di un facile guadagno
categorie
z
z
z
z
z
Avvisi di virus o trojan (Virus Irina)
Leggende metropolitane (Internet Cleanup day)
Give away hoaxes (Bill Gates Hoax)
Richieste di aiuto
Catene di Sant’Antonio
fonti
z
z
http://dep.eco.uniroma1.it/econometria/hoax1.htm
http://hoaxbusters.ciac.org/