- Virus
- Salve a tutti, sono sempre Quequero ed ora vi parlerò dei virus.
Sicuramente tutti conoscerete i virus, ma sicuramente pochi di voi ne conoscono
effettivamente il modo do agire oppure la struttura ed è proprio questo che mi accingo ad
insegnarvi.
Esistono essenzialmente tre famiglie di virus che poi si dividono in tanti altri
sottogruppi, esaminiamo prima le grandi famiglie:
- Worms
Trojan
Virus
- Inizierò col parlarvi dei Worms e poi mi addentrerò nella
descrizione dei virus veri e propri dal momento che richiede più tempo ed è una faccenda
un po' più complessa.
- Worms
- Il primo Worm fu creato intorno agli anni '80 da Robert Morris, un
giovane che ebbe la brillante idea di creare un virus non dannoso, ma che si riproduceva
via Internet, ebbene si, usava un bug indovinate di quale programma? Ovviamente del
Sendmail, molti computer andarono in tilt per l'immane riproduzione del verme, in pratica
a quel tempo tutti avevano almeno 10-12 vermi in casa, anche i non pescatori ;))))
Su Internet si può trovare facilmente il codice sorgente del vermone, ho sentito dire che
è stato inserito un errore nel codice per non farlo compilare, se è vero non lo so.
Tutt'oggi non esistono vermi noti poiché con le nuove versioni del sendmail sono stati
corretti i bug che ne permettevano la proliferazione, oggi questo ignobile programma è
perfetto quasi al 100% l'unico problema (di importanza praticamente nulla) è che possiamo
ottenere il "root" su un sistema di rete semplicemente mandando una mail ;)))
Si sa che questi programmatori tolgono un bug e ne creano 20, bho!!!
Anche se non ve ne fregherà assolutamente nulla, vi dico che ho uno zio Italiano ma che
vive in Finlandia che contribuisce tuttora allo sviluppo di Linux e del software ad essi
necessario, quindi guai a parlar male dei loro prodotti ;)))
Dicevamo che vermi noti non ce ne sono, per con l'avvento di Linux credo che questo
fenomeno crescerà.
- Trojan
- I trojan, o meglio Trojan Horse (cavalli di Troia) sono stati (a
quanto ne so') la prima forma di virus esistente, dovrebbero essere stati creati la prima
volta in Russia da un team di programmatori, i trojan sono dei programmi che non hanno
alcuna intenzione di duplicarsi ma servono solo a fare danni in un computer, anche le
bombe logiche sono dei trojan, solo che si attivano in un determinato periodo. Un ottimo
esempio di trojan è il NetBus o il Back Orifice, ma anche noi possiamo creare un trojan
facendo un file batch, scrivendoci dentro:
- format c: /autotest
- e convertendolo con il Bat2Com.
Se poi lo vogliamo rendere invisibile basterà criptarlo a compattarlo (petite.exe,
pklite.exe ecc..).
Il nome cavallo di Troia è dato dal fatto che vengono spesso diffusi come altri
programmi.
- Viruzzzz
- I virus si differiscono dai Trojan per il fatto che tendono a
restare nascosti ed a riprodursi il più possibile.
In genere un virus è scritto in Assembly, il codice usato è molto compatto e veloce, a
questo proposito vi riporto un breve "saggio" nel quale si cerca di distinguere
Winzoz da un Viruzzz (l'ho trovato in rete non so' dove):
- Windows é un virus ???
- Nooo Win non è un virus. Questo è ciò che fanno i virus...: Si
replicano velocemente.. O.K.
Win fa' questo come i Virus.....
Il virus usa tutte le risorse di sistema, rallentando il sistema come ultimo. Perciò O.k.
Win fa ciò.
Un virus di tanto in tanto riduce in spazzatura il tuo HD, O.K. anche Win lo fa.
I virus sono di norma portati all'insaputa dell'utente in tutti i programmi
principali..... Sigh!!!
Anche Win lo fa.
Un virus fa venire il sospetto di esserci poichè il sistema diventa troppo lento... e fa
venire la voglia di comperare nuovo Hardware. Oddio vale anche per Win.
Sino ad ora tutto fa sembrare che Win sia un virus.... ma ci sono alcune differenze
fondamentali:
I virus sono ben supportati dall'autore, Funzionano su ogni tipo di sistema... il loro
codice programma è estremamente veloce, compatto ed efficiente, e tendono a diventare
sempre più sofisticati con l'andare della loro evoluzione....
- Perciò Windows [NON ] è un virus....
Ok andiamo ora ad esaminare i vari tipi di viruz:
- Sector (Master Boot Record / Floppy Boot Record):
- Questo tipo di virus è stato uno dei primi, attaccano il settore
di avvio degli H.D.D. oppure dei floppy, per togliere questi virus, spesso basta scrivere
al prompt del DOS:
- fdsik /mbr
- questo comando ripulisce il Master Boot Record, non utilizzatelo
assolutamente se avete installato un Boot Loader (lilo, loadlin, syslinux, boot manager
ecc..)
altrimenti verrà cancellato.
Questi viruz erano dannosi una volta quando avevamo bisogno del "disco di
supplemento" per avviare il dos, oggi non fanno quasi più nulla a meno che non
accendiamo il pc con un dischetto infetto dentro e nel BIOS abbiamo settato l'opzione che
cerca un floppy all'avvio, se ci sono queste condizioni allora sono kazzi.
-
- Macro
- Virus di nuova concezione scritti in Visual Basic, possono essere
inseriti nelle macro del lotus, word e di altri programmi, se apriamo il file senza
avviare la macro non succede nulla, ma se non lo facciamo rischiamo di riportare danni (si
parte dalla semplice impossibilità di salvare un documento alla formattazione del disco
duro).
I macro virus sono sempre di più, ma per sconfiggerli basta solo non attivare le macro
;))))
-
- File
- Questi si dividono in Residenti e Non-Residenti:
Residenti: Una volta avviato il programma sul quale era ospite rimane attivo per sempre.
Non-Residente: Smette di funzionate quando viene chiuso il programma ospite.
Questo tipo di viruz una volta avviato apre a caso dei file e copia dentro di loro la
routine di infezione (i virus hanno questo nome proprio perché si comportano come quelli
esistenti in natura, cioè, entrano in una cellula (il file) attaccano il loro DNA (la
routine di infezione) al DNA della cellula (il codice del programma) la cellula continua a
funzionare normalmente solo che altera qualche sua funzione e poi muore per lisi
(esplosione))
-
- MultiPartito
- Questi si comportano sia come i Sector virus (o boot virus) sia
come i File viruz, in pratica si attaccano come le piattole al boot e quando vengono
caricati attaccano i vari altri file del sistema, i floppy, gli eseguibili del dos ecc..Un
esempio è sicuramente il mitico Junkie.1027
- Cluster (File System viruses)
- Secondo me questi sono i tipi di viruz più "belli",
questi modificano la tabella dei contenuti sull'Hard Disk in modo da far avviare prima il
virus e poi il software.
-
- Stealth
- I viruz stealth sono estremamente raffinati, prendono il controllo
totale del sistema operativo e di alcune sue funzioni, alterano alcune cose (come ad
esempio si copiano su un floppy insieme a ciò che volevano copiarci noi, oppure infettano
un file mentre noi lo apriamo ecc..) senza che nessuno se ne possa accorgere e, dal
momento che sono invisibili vengono detti "stealth"
-
- Polymorphic
- Il Junkie.1027 oltre ad essere multi partito è anche Polimorfico
cioè, cripta in modo casuale il suo codice ogni volta che deve infettare un file, se
confrontiamo un decina di file infettati col Junkie.1027 potremo vedere che sono tutti
diversi, appunto per il suo polimorfismo, nonostante tutto questi viruz possono essere
rilevati perché il loro motore di cifratura è sempre più o meno uguale, ecco quello del
suddetto Junkie.1027
- 0001:
BE0800
MOV
SI,0008
0002: B9F401
MOV
CX,01F4
0003: 26
ES:
0004: 8134BC2E
XOR WORD PTR [SI],2EBC
0005: 46
INC
SI
0006: 46
INC
SI
0007: E2F7
LOOP
$0001
- Se infettiamo 10 file di 1 byte con il junkie.1027 vedremmo la
loro diversità (aprendo un file con un editor esadecimale) tranne che per alcuni byte,
questi byte possono ancora essere cambiati semplicemente facendo inserire dal junkie.1027
istruzioni inutili come:
- JMP sulla riga seguente
JNZ idem
INC bx \
DEC bx /insieme incrementa e decrementa un registro
ADD bx,0000 aggiunge 0 ad un registro
MOV AL,AL muove il valore di AL in se stesso
Ecc...
-
- Companion
- I virus "compagnoni" ;) sfruttano uno dei tanti buchetti
della Microsoft, cioè facciamo una cartella a mettiamo dentro un file che si chiama
Dio.com (che per esempio crea un'altra cartella) ed un file che si chiama Dio.exe (che
magari crea una cartella con un altro nome) adesso andiamo al dos e scriviamo
"Dio" quale dei due verrà eseguito?
Sicuramente Dio.com dal momento che il dos dà la priorità a questo tipo di estensione.
Un virus companion non fa altro che creare un file con lo stesso nome dell'altro ma con
estenione .com e poi nasconde il .exe
Capitooooooooo????
-
- Armored
- Questi sono viruz che hanno delle istruzioni anti-debug e
anti-disassemble, rendono difficile la loro analizzazione, perciò come si può fare un
antivirus con per un virus che non possiamo analizzare? Se po' fa se po' fa, date il viruz
a un cracker e lui lo analizzerà per voi.
-
- Criptati
- Sono simili ai polimorfici ma è più facile trovare due file
simili tra loro.
-
- Clean on the fly
- Fantastici virus, riescono ad intercettare le funzioni di lettura
di un file, in questo modo il viruz si autocancella dal file quando questo viene letto e
si autoreinfetta quando viene richiuso, questi viruz se perfezionati potrebbero
raggiungere livelli di invisibilità altissimi.
-
- MBR stealth
- Uguali ai precedenti tranne per il fatto che infettano l'MBR
tenendone un backup e quando un anti-virus cerca di leggerlo il viruz rimette l'MBR
vecchio e poi reinfetta tutto dopo la lettura.
-
- Size Hiding
- Niente di particolare, questi viruz non fanno rilevare l'aumento
di byte all'interno dei file.
Facciamo un esempio, il virus Quequero infetta N file e aggiunge ad ognuno di questi 5
byte, l'antivirus potrebbe tranquillamente considerare questo aumento come sospettoso e lo
segnalerebbe, il programmatore può fare in modo di intercettare il controllo della
grandezza e potrebbe facilmente sottrargli 5 byte, quasi tutti i virus più sofisticati
hanno questa funzionalità oltre ad avere un buon polimorfismo e simili ;))
-
- Overwriting Viruz
- Supponiamo di avere un virus di questo tipo che si chiama
"Plauto", avviamo questo virus ed aspettiamo due ore, controlliamo i file e non
vediamo nulla di sospetto, tranne per il fatto che Plauto si è copiato nel sistema, ha
cancellato molti file e si è rinominato come ognuno di loro ;)))))
- Bhè credo di averli elencati quasi tutti, dovrebbero bastare, se
avete bisogno di viruz cercate su Astalavista la parola Virii oppure venite sul mio sito
;)))
- e-mail: [email protected]
sito: http://quequero.cjb.net