Struttura interna di un worm

[NetEscape]

Un worm consta di 5 parti:
1)SETUP
codice di installazione e prima esecuzione. integrazione nel SO ospite tramite mascheramento da processo di sistema.
studio del SO ospite (connessioni di rete, email address, ip di altri host)
2)INFECTION
fase di propagazione/replicazione. canali usati: e-mail, irc, istant messenger, risorse di rete, p2p, tcp/ip ecc. un mass-mailer avrà x esempio un motore SMTP x l'invio di mail.
3)EXPLOIT
codice in grado di far eseguire automaticamente il worm quando è recepito da 1 host. sfrutta 1 falla di un servizio di sistema.
4)PAYLOAD
routine che si attiva in un momento preciso e con 1 scopo determinato.
5)BACKDOOR
apertura di 1 porta d'ascolto naxcosta sul sistema, che ascolta e riceve ordini dall'esterno via rete

Grazie x l'attenzione!

[NetEscape]

Diciamo che senza un exploit un worm è come un calciatore senza gambe. L'exploit è la proof-of-concept di una falla di sistema o di un programma di sistema. Buona parte degli exploit li potete trovare qui:

1)http://www.securityfocus.com/bugtraq/
2)http://www.k-otik.com/
3)http://www.metasploit.com/

Questa è solo la punta dell'iceberg: infatti sulla rete ci sono squinzilioni di siti hacker semi o totalmente nascosti su cui reperire moltissimo materiale. Un worm writer spesso non fa altro che riadattare questi exploit conformandoli alle sue esigenze. Per esempio un exploit molto interessante è quello relativo al buffer overflow della libreria gdi+.dll che viene interpellata da explorer.exe nella lettura di un file jpeg. In pratica modificando un marker di una jpeg (e precisamente il marker relativo al commento ASCII)è possibile provocare l'overflow della dll ed il crash di explorer. Risultato? In un computer senza il SP2 questa tecnica può rivelarsi letale. Attualmente nn è ancora nato un worm delle jpeg, anche se lo spazio ricavato per il codice malevolo è considerevole (2600 bytes; Blaster, p.es, è grande solo 6000 bytes). Cmq con le patch ed il firewall aggiornato si dovrebbe stare per ora tranquilli... a meno di nn imbatterci in qualche jpeg diabolica!

P.S. Il problema, risolto dal SP2, si ripresenta con Office 2003

[eraser]

da quando un worm deve per forza usare un exploit?

I worm, per definizione, sono una famiglia di virus che utilizza la rete per diffondersi e non floppy disk o cdrom.

NetSky,Beagle,Zafi ecc...ecc... sono worm che si diffondono attraverso le e-mail ma non usano exploit vari per installarsi nel sistema.

Poi dal 2003 è nato anche il worm che usa solo la falla di sistema per infettare il pc, con il Blaster che ha dato il via ad una nuova era (Blaster,Sasser e figli minori).

Insomma la struttura è un pò campata per aria, il discorso sarebbe stato interessante ma è partito maluccio

Cmq ti faccio i complimenti perché stai cercando di andare oltre e vedere come funzionano i virus

Ciao

Marco

[antares11]

l'interesse che NetEscape dimostra per questo forum è cmq da apprezzare e dimostra la sua disinteressata buona volontà, non tirandosi indietro nel rispondere a chi cerca aiuto anche senza essersi attenuto prima a quanto obbligatoriamente previsto dai link in rilievo

diciamo che col suo attaccamento ...... "disonora" simpaticamente il proprio nick

approfitto dell'occasione per ricordare al moderatore Haba che forse sarebbe opportuno inserire nel suo link in rilievo questo
- riportare nel 3d l'esatto nome del malware rilevato (copia & incolla) e magari farsi una ricerca preventiva nel web col motore di ricerca www.google.it onde non essere a digiuno su quanto può riferirsi all'intruso

e questo senza attendere che questa ricerca la faccia a posteriori il prossimo, NetEscape o altri che siano, non importa chi


______________
fico cascami in bocca.....

[NetEscape]

Allora, innazitutto io parlavo dei worm che sfruttano prevalentemente la rete per diffondersi, non dei mass-mailer
(anche se Nimda è un tipico esempio di worm che sfrutta tutte le potenzialità). In secundis i worm e i virus sono parenti alla lontana: un worm è un programma stand-alone che infetta i pc, il virus invece infetta prevalentemente i file. Cmq nn ho specificato a chi mi riferivo è quindi la critica è giusta. gli exploit sono fondamentali per un worm la cui pericolosità viene giudicata alta: Sasser ne è un tipico esempio (vulnerabilità di lsass.exe). ripeto: un worm che si diffonde tramite posta ha sempre bisogno che qualcuno legga il messaggio o scarichi ed apra l'allegato, mentre un worm "in the wild" penetra nei pc non patchati o non dotati di 1 buon firewall (ed è molto + pericoloso). Nessun commento sulla vulnerabilità delle jpeg? Questo è un argomento che gira fin dal 2000, e rientra nel campo di quelle vulnerabiltà che se ben sfruttate possono far molto male (infettarsi solo visionando un'immagine? speriamo di no!). Cercherò in futuro di essere + preciso ma tenete presente che:

1)se vado troppo nel tecnico la maggior parte di quelli che leggono il post nn ci capisce niente;
2)se vado troppo nel tecnico (tipo mostrare il codice assembly della gdi+.dll ed evidenziare il bug), vado fuori tema e rientro nel campo della programmazione e nn della sicurezza;

Raccomandazione: installare un firewall!
Diffidare della posta e di messenger!

ciao a tutti!

[NetEscape]

Se volete esplorare la struttura interna di qualche worm, vi raccomando caldamente questo sito:

http://www.*****.de.vu/

Il worm più interessante che mi è capitato di vedere è un worm-batch scritto in ms-dos, BAT-INA.A. Risale al 2002 ed è il primo file batch virale capace di autoinviarsi per posta. Se siete interessati ai file batch applicati al network, visitate questo sito:

http://www.robvanderwoude.com/

Troverete ottimi esempi di come anche in ms-dos, se ci si impegna, si possono ottenere grossi risultati. Gli esempi più interessanti sono scritti per Windows NT, 2000 e XP. Ciao!

P.S. Questo link è per prendere dimestichezza col lato network di Windows e capire il funzionamento della Rete.

ciao!

[NetEscape]

E i virus di una volta, i vecchi TSR che si assemblavano anche con debug? Sono davvero finiti? Bè, se siete dei nostalgici o comumque volete completare la vostra cultura personale, vi consiglio di cercare su Google delle vecchie raccolte di
40HEX , una rivista hacker (ma è meglio dire lamer) che andava di moda nei primi anni 90. Farete così la conoscenza col Tiny Virus, ad es., uno dei + piccoli virus della storia (163 bytes), che si limitava semplicemente ad infettare il vecchio command.com. robetta, se pensiamo ai worm di oggi o cmq ai virus ben + pericolosi, come il mitico Chernobyl. Mi ero imbattuto tempo fa in un mirror di un sito lamer in cui si potevano scaricare un bel pò di file virali come Chernobyl x ragioni di studio, perchè ormai si tratta di roba del giurassico. Come al solito ho dimenticato (o perso l'url), quindi dovrete fare una ricerca su Google (ricerca avanzata). Se trovate qualcosa, fatemi sapere!

P.S. Ah, lo so, il sito che vi ho consigliato prima è tedesco.
Mi dovete scusare, io ufficialmente faccio Lingue e quindi ho la classica deformazione pseudo-professionale... Entschuldigung.... (non è 1 parolaccia! )

[NetEscape]

Giorni fa ho risposto al post di un ragazzo che temeva di essere stato vittima di un exploit da remoto. Ho detto anche che gli exploit sono la parte più micidiale di un worm, perchè permettono al worm di bucare le difese di un pc e di eseguirsi automaticamente. Un exploit non è altro che un programma che permette al malintenzionato di eseguire codice arbitrario su una macchina da remoto. Gli exploit sono scritti in svariati linguaggi, ma i + pericolosi per Winzozz sono scritti (è una mia opinione) in C/C++. Come funzionano? Senza scendere in dettagli di programmazione, immaginiamo di aver compilato un exploit per ottenere diritti di administrator su un'altra macchina. La sintassi base è:
[FONT=courier new]nome_exploit + IP della vittima + porta sulla quale si vuole agire.

[FONT=arial]Si lancia il programma ed immaginiamo che l'esecuzione vada a buon termine (su un pc non patchato, per es). Cosa succede? A questo punto il malintenzionato può aprire telnet, collegarsi alla macchina della vittima sulla porta già prescelta ed avere accesso come administrator, cioè avere nelle sue mani il prompt dei comandi di Windows:

[CODE]C:\Windows\System32>
[FONT=arial]Questa ovviamente è una situazione limite: molto spesso, infatti, i danni nn sono così gravi, cioè nn sempre per fortuna riescono a fare il bello ed il cattivo tempo sulla macchina di 1 disgraziato... ma è bene ricordare che se nn si sta attenti e non si protegge adeguatamente il proprio pc i rischi sono seri.

[NetEscape]

Gli attacchi DDOS (Distributed Denial Of Service) sono 1 dei rischi più seri per la sopravvivenza stessa della Rete. Immaginiamo che la vostra cassetta delle lettere sia un server.
Quante lettere ricevete alla settimana? Non molte, credo. Immaginiamo che un giorno nella vostra cassetta arrivino tremila lettere! La vostra cassetta esploderà, giusto? collasserà, crasherà, ecc. ecc. molti worm hanno come payload proprio questo: al giorno tot, all'ora tot, inviare una mail al server tot. Mettiamo insieme qualche migliaio di computer infetti che in tutto il mondo fanno la stessa cosa ed otterremo il quadro completo della situazione, cioè il crash totale del malcapitato server. Attualmente è la mafia lituana che si è specializzata in ricatti DDOS in grande stile: se nn paghi il pizzo, ti mando in crash il server. Un motivo in + per stare con gli occhi aperti e per evitare comportamenti a rischio, quali:
1)il non informarsi sui bug e le patch (www.microsoft.com/technet/);
2)il fidarsi troppo dei servizi di posta e instant messenger;
3) un file sharing irresponsabile;
4) il non passare accuratamente all'antivir ogni singolo file scaricato dalla rete;
5) il non volere spendere qualche soldo in + per un antivir professionale e con supporto tecnico adeguato;

Ho provato sulla mia pelle quello che significa subire un'aggressione esterna, e da allora nn mi stancherò mai di ripetere che la cosa migliore è la prevenzione, in tutti i sensi.

[eraser]

Originariamente inviato da NetEscape
(1)Allora, innazitutto io parlavo dei worm che sfruttano prevalentemente la rete per diffondersi, non dei mass-mailer
[......]
(2)gli exploit sono fondamentali per un worm la cui pericolosità viene giudicata alta: Sasser ne è un tipico esempio [....] mentre un worm (3)"in the wild" penetra nei pc non patchati o non dotati di 1 buon firewall

(1) le e-mail viaggiano per la rete i worm che si diffondono attraverso le e-mail utilizzano di conseguenza la rete per diffondersi

(2) forse intendi dire che worm quali NetSky o Begale non sono stati poi così pericolosi? Un conto è dire che sono più facili da riconoscere ed evitare, un conto è dire che non sono pericolosi Se guardi le statistiche http://www.sophos.com/virusinfo/topten/ vedrai casualmente che tra i virus più diffusi ci sono due worm che con gli exploit non c'entrano niente

(3) "in the wild" significa che è (altamente) diffuso nel mondo, e se guarderai la lista stilata nel sito www.wildlist.org vedrai che sono presenti i worm di cui sopra (Beagle e Netsky) senza considerare altri mass-mailing worm che di exploit hanno poco e niente

Ovviamente tutto questo per precisare, non è una critica ci mancherebbe

Anzi complimenti ancora per l'impegno che stai mettendo

Ciao

Marco