Il problema di fondo,caro Bianconiglio,è come hai detto tu che non sappiamo veramente di che cosa stiamo parlando...
Di un virus?worm?trojan?
Non lo sappiamo...almeno fino a quando maxi ci posterà il resoconto delle porte in listening e gli header delle e-mail incriminate...
Allora stiamo cercando un pò tutti di andare per ipotesi...
Sto insistendo sul fatto delle porte aperte perchè nessuno ci assicura che sul suo computer ha in listening per esempio un server mail vulnerabile a un famoso exploit(entrando ogni volta sistematicamente nel suo pc) e lo prenda in giro con le e-mail(è solo un esempio)
idem come prima....il binario viene spanso in memoria e bloccato dall' av ( a meno che non gli venga esplicitamente detto di non controllare la memoria )
ero convinto che l'eseguibile,sarebbe compresso e ridotto all'osso(detto terra terra) per ridurne le dimensioni e facendo faticare l'av a rilevarlo.
L'eseguibile,quando aperto,non avrebbe bisogno di espandersi,ma sarebbe stato già funzionale al 100%...mi sbaglio?
cmq di metodi ce ne sono tanti ma ormai quelli citati sono superati...
ora le cose veramente pericolose sono gli exploit e i buffer overflow connessi a retrovirus...e processi che si iniettano in altri per bypassare i firewall..
me ne rendo conto...io mi rifacevo a un post di piercing in cui chiedeva delucidazioni sul fatto delle immagini allegate ai trojan...
E poi,anche per spiegare 2 stupidaggini c'ho messo 20 righe,figurarsi quanto ci vorrebbe per parlare exploit,buffer overflow & Co.?Neanche un'enciclopedia...
Comunque anche se vecchie e superate,queste tecniche sono ancora usatissime dai lamer...
Gli exploit(e via dicendo) sono più usati dai cracker...
Un cracker,però,un trojan(parlo di trojan tanto per restare in tema) se lo può fare benissimo da solo(se è un discreto programmatore,infatti un trojan non è altro fa altro che un paio di chiamate server)...
Pensate:un trojan nuovo,potente,sopratutto riutilizzabile,in nessuna lista di av(certo sempre un trojan è,quindi rintracciabile e ostacolabile,basta guardare ogni tanto lo stato delle porte associate ai processi per vedere se c'è qualcosa che non va...)
Per quanto riguarda gli exploit,l'argomento è davvero troppo vasto...
Bug di windows,dei firewall,degli antivirus...virus che rendono inefficaci av e fw...
Oggi non è molto difficle compilare un retrovirus...
Basta pensare per esempio che quasi tutti gli strumenti di sicurezza,su sistemi windows con tecnologia Nt,si basano esclusivamente sui servizi(services.msc)...
è possibile disattivare i servizi di sicurezza dell'antivirus e il gioco è fatto(provate anche voi usando il programma di windows
net stop)...basta digitarlo dal prompt dei comandi)
Il colmo è che su questo aspetto i sistemi basati su tecnologia DOS(windows 9x,Me,ecc) sono più sicuri dei successivi...
Infatti per arrestare un antivirus o un firewall ci si doveva ingenare un pò...
come simulare l'avvio e l'arresto del sistema(WM_QUERYENDSESSION e WM_ENDSESSIONS)...
Però alcuni av erano vulnerabili anche a una semplice WM_CLOSE,chiudendo l'eseguibile e compromettendo però anche il "Ring 0 kernel mode"(la parte relativa ai driver di scansione,.vdx o .sys) oltre che il "Ring 3 livello applicazione"(l'interfaccia grafica,programma o servizio eseguibile in .exe)
[/b]