Virus

Salve a tutti, sono sempre Quequero ed ora vi parlerò dei virus.
Sicuramente tutti conoscerete i virus, ma sicuramente pochi di voi ne conoscono effettivamente il modo do agire oppure la struttura ed è proprio questo che mi accingo ad insegnarvi.
Esistono essenzialmente tre famiglie di virus che poi si dividono in tanti altri sottogruppi, esaminiamo prima le grandi famiglie:

Worms
Trojan
Virus

Inizierò col parlarvi dei Worms e poi mi addentrerò nella descrizione dei virus veri e propri dal momento che richiede più tempo ed è una faccenda un po' più complessa.

Worms

Il primo Worm fu creato intorno agli anni '80 da Robert Morris, un giovane che ebbe la brillante idea di creare un virus non dannoso, ma che si riproduceva via Internet, ebbene si, usava un bug indovinate di quale programma? Ovviamente del Sendmail, molti computer andarono in tilt per l'immane riproduzione del verme, in pratica a quel tempo tutti avevano almeno 10-12 vermi in casa, anche i non pescatori ;))))
Su Internet si può trovare facilmente il codice sorgente del vermone, ho sentito dire che è stato inserito un errore nel codice per non farlo compilare, se è vero non lo so.
Tutt'oggi non esistono vermi noti poiché con le nuove versioni del sendmail sono stati corretti i bug che ne permettevano la proliferazione, oggi questo ignobile programma è perfetto quasi al 100% l'unico problema (di importanza praticamente nulla) è che possiamo ottenere il "root" su un sistema di rete semplicemente mandando una mail ;)))
Si sa che questi programmatori tolgono un bug e ne creano 20, bho!!!
Anche se non ve ne fregherà assolutamente nulla, vi dico che ho uno zio Italiano ma che vive in Finlandia che contribuisce tuttora allo sviluppo di Linux e del software ad essi necessario, quindi guai a parlar male dei loro prodotti ;)))
Dicevamo che vermi noti non ce ne sono, per con l'avvento di Linux credo che questo fenomeno crescerà.

Trojan

I trojan, o meglio Trojan Horse (cavalli di Troia) sono stati (a quanto ne so') la prima forma di virus esistente, dovrebbero essere stati creati la prima volta in Russia da un team di programmatori, i trojan sono dei programmi che non hanno alcuna intenzione di duplicarsi ma servono solo a fare danni in un computer, anche le bombe logiche sono dei trojan, solo che si attivano in un determinato periodo. Un ottimo esempio di trojan è il NetBus o il Back Orifice, ma anche noi possiamo creare un trojan facendo un file batch, scrivendoci dentro:

format c: /autotest

e convertendolo con il Bat2Com.
Se poi lo vogliamo rendere invisibile basterà criptarlo a compattarlo (petite.exe, pklite.exe ecc..).
Il nome cavallo di Troia è dato dal fatto che vengono spesso diffusi come altri programmi.

Viruzzzz

I virus si differiscono dai Trojan per il fatto che tendono a restare nascosti ed a riprodursi il più possibile.
In genere un virus è scritto in Assembly, il codice usato è molto compatto e veloce, a questo proposito vi riporto un breve "saggio" nel quale si cerca di distinguere Winzoz da un Viruzzz (l'ho trovato in rete non so' dove):

Windows é un virus ???

Nooo Win non è un virus. Questo è ciò che fanno i virus...: Si replicano velocemente.. O.K.
Win fa' questo come i Virus.....
Il virus usa tutte le risorse di sistema, rallentando il sistema come ultimo. Perciò O.k. Win fa ciò.
Un virus di tanto in tanto riduce in spazzatura il tuo HD, O.K. anche Win lo fa.
I virus sono di norma portati all'insaputa dell'utente in tutti i programmi principali..... Sigh!!!
Anche Win lo fa.
Un virus fa venire il sospetto di esserci poichè il sistema diventa troppo lento... e fa venire la voglia di comperare nuovo Hardware. Oddio vale anche per Win.
Sino ad ora tutto fa sembrare che Win sia un virus.... ma ci sono alcune differenze fondamentali:
I virus sono ben supportati dall'autore, Funzionano su ogni tipo di sistema... il loro codice programma è estremamente veloce, compatto ed efficiente, e tendono a diventare sempre più sofisticati con l'andare della loro evoluzione....

Perciò Windows [NON ] è un virus....
Ok andiamo ora ad esaminare i vari tipi di viruz:

Sector (Master Boot Record / Floppy Boot Record):

Questo tipo di virus è stato uno dei primi, attaccano il settore di avvio degli H.D.D. oppure dei floppy, per togliere questi virus, spesso basta scrivere al prompt del DOS:

fdsik /mbr

questo comando ripulisce il Master Boot Record, non utilizzatelo assolutamente se avete installato un Boot Loader (lilo, loadlin, syslinux, boot manager ecc..)
altrimenti verrà cancellato.
Questi viruz erano dannosi una volta quando avevamo bisogno del "disco di supplemento" per avviare il dos, oggi non fanno quasi più nulla a meno che non accendiamo il pc con un dischetto infetto dentro e nel BIOS abbiamo settato l'opzione che cerca un floppy all'avvio, se ci sono queste condizioni allora sono kazzi.

 

Macro

Virus di nuova concezione scritti in Visual Basic, possono essere inseriti nelle macro del lotus, word e di altri programmi, se apriamo il file senza avviare la macro non succede nulla, ma se non lo facciamo rischiamo di riportare danni (si parte dalla semplice impossibilità di salvare un documento alla formattazione del disco duro).
I macro virus sono sempre di più, ma per sconfiggerli basta solo non attivare le macro ;))))

 

File

Questi si dividono in Residenti e Non-Residenti:
Residenti: Una volta avviato il programma sul quale era ospite rimane attivo per sempre.
Non-Residente: Smette di funzionate quando viene chiuso il programma ospite.
Questo tipo di viruz una volta avviato apre a caso dei file e copia dentro di loro la routine di infezione (i virus hanno questo nome proprio perché si comportano come quelli esistenti in natura, cioè, entrano in una cellula (il file) attaccano il loro DNA (la routine di infezione) al DNA della cellula (il codice del programma) la cellula continua a funzionare normalmente solo che altera qualche sua funzione e poi muore per lisi (esplosione))

 

MultiPartito

Questi si comportano sia come i Sector virus (o boot virus) sia come i File viruz, in pratica si attaccano come le piattole al boot e quando vengono caricati attaccano i vari altri file del sistema, i floppy, gli eseguibili del dos ecc..Un esempio è sicuramente il mitico Junkie.1027

Cluster (File System viruses)

Secondo me questi sono i tipi di viruz più "belli", questi modificano la tabella dei contenuti sull'Hard Disk in modo da far avviare prima il virus e poi il software.

 

Stealth

I viruz stealth sono estremamente raffinati, prendono il controllo totale del sistema operativo e di alcune sue funzioni, alterano alcune cose (come ad esempio si copiano su un floppy insieme a ciò che volevano copiarci noi, oppure infettano un file mentre noi lo apriamo ecc..) senza che nessuno se ne possa accorgere e, dal momento che sono invisibili vengono detti "stealth"

 

Polymorphic

Il Junkie.1027 oltre ad essere multi partito è anche Polimorfico cioè, cripta in modo casuale il suo codice ogni volta che deve infettare un file, se confrontiamo un decina di file infettati col Junkie.1027 potremo vedere che sono tutti diversi, appunto per il suo polimorfismo, nonostante tutto questi viruz possono essere rilevati perché il loro motore di cifratura è sempre più o meno uguale, ecco quello del suddetto Junkie.1027

0001:            BE0800            MOV      SI,0008
0002:           B9F401            MOV      CX,01F4
0003:           26                    ES:
0004:           8134BC2E         XOR     WORD PTR [SI],2EBC
0005:           46                   INC      SI
0006:           46                   INC      SI
0007:           E2F7               LOOP     $0001

Se infettiamo 10 file di 1 byte con il junkie.1027 vedremmo la loro diversità (aprendo un file con un editor esadecimale) tranne che per alcuni byte, questi byte possono ancora essere cambiati semplicemente facendo inserire dal junkie.1027 istruzioni inutili come:

JMP sulla riga seguente
JNZ idem
INC bx \
DEC bx /insieme  incrementa e decrementa un registro
ADD bx,0000 aggiunge 0 ad un registro
MOV AL,AL    muove il valore di AL in se stesso
Ecc...

 

Companion

I virus "compagnoni" ;) sfruttano uno dei tanti buchetti della Microsoft, cioè facciamo una cartella a mettiamo dentro un file che si chiama Dio.com (che per esempio crea un'altra cartella) ed un file che si chiama Dio.exe (che magari crea una cartella con un altro nome) adesso andiamo al dos e scriviamo "Dio" quale dei due verrà eseguito?
Sicuramente Dio.com dal momento che il dos dà la priorità a questo tipo di estensione.
Un virus companion non fa altro che creare un file con lo stesso nome dell'altro ma con estenione .com e poi nasconde il .exe
Capitooooooooo????

 

Armored

Questi sono viruz che hanno delle istruzioni anti-debug e anti-disassemble, rendono difficile la loro analizzazione, perciò come si può fare un antivirus con per un virus che non possiamo analizzare? Se po' fa se po' fa, date il viruz a un cracker e lui lo analizzerà per voi.

 

Criptati

Sono simili ai polimorfici ma è più facile trovare due file simili tra loro.

 

Clean on the fly

Fantastici virus, riescono ad intercettare le funzioni di lettura di un file, in questo modo il viruz si autocancella dal file quando questo viene letto e si autoreinfetta quando viene richiuso, questi viruz se perfezionati potrebbero raggiungere livelli di invisibilità altissimi.

 

MBR stealth

Uguali ai precedenti tranne per il fatto che infettano l'MBR tenendone un backup e quando un anti-virus cerca di leggerlo il viruz rimette l'MBR vecchio e poi reinfetta tutto dopo la lettura.

 

Size Hiding

Niente di particolare, questi viruz non fanno rilevare l'aumento di byte all'interno dei file.
Facciamo un esempio, il virus Quequero infetta N file e aggiunge ad ognuno di questi 5 byte, l'antivirus potrebbe tranquillamente considerare questo aumento come sospettoso e lo segnalerebbe, il programmatore può fare in modo di intercettare il controllo della grandezza e potrebbe facilmente sottrargli 5 byte, quasi tutti i virus più sofisticati hanno questa funzionalità oltre ad avere un buon polimorfismo e simili ;)) 

 

Overwriting Viruz

Supponiamo di avere un virus di questo tipo che si chiama "Plauto", avviamo questo virus ed aspettiamo due ore, controlliamo i file e non vediamo nulla di sospetto, tranne per il fatto che Plauto si è copiato nel sistema, ha cancellato molti file e si è rinominato come ognuno di loro ;)))))

Bhè credo di averli elencati quasi tutti, dovrebbero bastare, se avete bisogno di viruz cercate su Astalavista la parola Virii oppure venite sul mio sito ;)))

e-mail: [email protected]
sito: http://quequero.cjb.net