Condividi:        

Tutorial antitrojan attack

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Tutorial antitrojan attack

Postdi Kurosawa » 17/07/03 11:42

Come molti di voi avranno notato ultimamente il sottoscritto si ritrova spesso a combattere e sbattere la testa su pc infetti da intrusioni troiane.
E il più delle volte ne esce semisconfitto... fino ad oggi non sono riuscito a salvare un solo pc senza doverlo comunque formattare...
Le mie domande sono le seguenti:

1. Come potersi difendere in anticipo da attacchi di questo genere?
2. Quando ormai è tardi ed il trojan è in esecuzione come debellarlo?
3. Come riconoscere fra i migliaia di file di sistema e di chiavi di registro quelle cattive?
4. Come risalire eventualmente al violatore?

Insomma... non mi dite che devo sempre affidarmi all'intuizione...
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Sponsor
 

Re: Tutorial antitrojan attack

Postdi pjfry » 17/07/03 11:56

Kurosawa ha scritto:Come molti di voi avranno notato ultimamente il sottoscritto si ritrova spesso a combattere e sbattere la testa su pc infetti da intrusioni troiane.
E il più delle volte ne esce semisconfitto... fino ad oggi non sono riuscito a salvare un solo pc senza doverlo comunque formattare...
Le mie domande sono le seguenti:

1. Come potersi difendere in anticipo da attacchi di questo genere?
2. Quando ormai è tardi ed il trojan è in esecuzione come debellarlo?
3. Come riconoscere fra i migliaia di file di sistema e di chiavi di registro quelle cattive?
4. Come risalire eventualmente al violatore?

Insomma... non mi dite che devo sempre affidarmi all'intuizione...


provo a darti qualche risposta, frutto della mia esperienza personale che è veramente poca quindi probabilmente arriveranno altri consigli + 'professionali' :

1) non installando tutto quello che capita, controllare il firewall durante le installazioni di roba sospetta per vedere se provano ada prire connessioni strane, aggiornando software con tutte le patch disponibili....
2) stacchi il modem o il cavo di rete... e vai per intuizione :lol:
di solito è tutto ben documentato in rete, trovi tutte le procedure manuali per pulire...
3) leggi il tutorial del bianConiglio, le chiavi + importanti da controllare sono quelle di avvio automatico di solito... ci sono dei programmini (regshot? non mi ricordo...) che 'fotografano' il registro per avere una base da cui trovare eventuali differenze sospette... poi c'è startup monitor che ti avvisa se qualcuno vuole piazzarsi in avvio automatico
4)dai log del firewall? poi se il violatore usa un proxy l'unico modo è passare tutto alla polizia postale...

ovviamente tutto questo potrebbe non bastare, per esempio se non ti accorgi subito del trojan può essere che il 'cattivo' abbia già scoperto la pw di admin e quindi forse conviene formattare, perchè se riescono a crackarti qualche dll (non sò bene come funziona, ma si può...) rischi di non uscirne + neanche cambiando le pw... però può essere un inizio ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Kurosawa » 17/07/03 12:03

ahimè... le tue risposte caro pj mi mettono una infinita amarezza... perchè, qui io vengo chiamato in causa sempre a danno compiuto... e a quanto pare a danno compiuto gira e rigira il finale è sempre quello.

Ma di quale tutorial del bc parli?
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi pjfry » 17/07/03 12:08

eccolo : http://www.pc-facile.com/security.php?id=83

purtroppo per la pulizia a danno compiuto non sò che dirti, un virus si riesce a sapere per bene quello che fà e quindi puoi essere abbastanza sicuro di aver pulito, ma se dietro al trojan c'è un essere umano credo che sia difficile capire fino a che punto ha preso possesso del sistema...
credo che l'unico modo sia prevenire, con + restrizioni per gli utenti incauti, ma se non puoi... :(
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Frengo78 » 17/07/03 13:00

Un bel firewall per prevenire dovrebbe essere abbastanza efficace.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi cobra9 » 17/07/03 17:36

1. Come potersi difendere in anticipo da attacchi di questo genere?

antivirus sempre aggiornato e attivo evitare di scaricare .exe.pif in oltre bisogna stare attenti anche alle immaggini e agli activex, insomma scaricare solo quando necessario e controllare una volta scaricato con una scansione prima di eseguire o aprire il files in questione, non aprire messaggi di posta elettronica provenienti da persone sconoscite o con
oggetti strani possibilmente scaricare sempre l'intestazione prima di aprire il messaggio ricevuto tenere il propio sistema operativo e programmi per la sicurezza sempre aggiornati tenersi informati sui nuovi tipi di virus evitare di navigare in siti "poco" rispettabili se così si puo dire
evitare di far usare il pc a persone molto inesperte in fattore di inetrnet
2. Quando ormai è tardi ed il trojan è in esecuzione come debellarlo?

solitamente i trojan contengono un eseguibile per rimuoverli di solito bisogna farlo con tools divulgate dai maggiori produttori di software
in questo campo, che di solito si eseguono in dos perchè ovviamente il trojan si attiva all'accensione del pc quindi è meglio agire in dos evitando che windows sia attivo e l'eseguibile in oggetto sia attivo un altro metodo
è lavorare manualmente nel registro preferibilmente in modalità provvisioria anche qui le directory sono sempre le stesse ovverro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e runservice
praticamente qui si trovano tutte quell applicazioni che partono in automantico all'accensione del pc quindi qui deve essere effetuato il maggior controllo possibile anche magari annotandosi le chiavi già presenti al installazione del sitema operativo anche perchè una volta intrufolata la chiave virulenta cercherà di mimetizarsi tra le varie applicazioni con nomi simili alle altre appicazioni già presenti in oltre verificare dalle informazioni prese prima eliminare il virus che non abbia
altre chiavi possono essere + di una ed eliminare anche quelle
. Come riconoscere fra i migliaia di file di sistema e di chiavi di registro quelle cattive?

anche qui se si vuole andare sul sicuro è utilizzare tools di rimozione adatte
Come risalire eventualmente al violatore?

con un firewall e ì con il dos netstat ,tracert, o con altri programmi come visualruote il problema è che una volta rintracciato l'ip molto difficilmente si riesce a risalire all'intrusore in quanto è protetto dal proprio ISP secondo la legge sulla privacy quindi mandare una mail all'abuse del ISP dell'intrusore il quale abuse chiuderà un occhio in quanto il suo cliente gli da i soldi e quindi lui ha convenienza a non togliegli la
linea.oppure si avverte la polizia postale prima ancora di togliere il virus in modo che loro stessi possano loggare e individuare il malcapitato/i

tutto quello che ti ho detto e solo per esperienza in materia sono 5 anni che navigo su internet e ancora adesso mi ritrovo con i trojan
nel mio pc si sono evuluti ed è sempre + difficile navigare tranquilli
tra trojan dialer virus spy questo per chi fa un certo uso come me sempre magari alla ricerca di qualcosa vi racconto cosa mi è sucesso ieri e oggi per farvi capire come sia diventato difficile navigare diciamo che cercavo una cosa in un sito ad un certo punto mi si aprono altre due tre finestre di
internet explorer prima una mi dice di scaricare un certificato vabbè capita io ovviamente gli dico di no immediatamente cliccato no mi esce
un files da salvare già con la directory di windows aperta in modo che se io per sbaglio avessi detto di si ma io insisto e faccio annulla,poi a fatica riesco ad uscire cliccando sei sette volte altre pagine porno che uscivano
automaticamente,ma io ho pazienza e le chiudo tutte riesco a uscire finalmente torno nella mia chat dopo un po mi passano un link apro IE
e mi sono accorto che era già impostato per andare automaticamente in una specie di portale capita vado in opzioni internet rimetto pagina bianca
applica e ok. il giorno dopo cercando ancora quella stessa cosa del giono prima capito ancora in questo sito malefico ancora il certificato ancora no ancora il files da scaricare io faccio annulla e lui che fa!!! me lo scarica lo stesso!!! esco faccio ripartire IE ancora il portale malefico ancora i siti porno ancora i certificati ecc.ecc. solo che questa volta facendo oprzioni internet per mettere la pagina bianca applica ecc.ecc. restava sempre il portale malefico .alllora rispolvera il programmino ad aware cerca le chiavi e lui cosa mitrova 14 elemnti tra cui una chiave del reg due files considerati trojan ufff che palle ma non avevo finito ieri con sta storia dei trojan che già me neritrovo ancora nel pc scansione con l'antivirus nuovo
beccati.
morale della favola chi si trova oggi ignorante in materia al 80% dei casi viene fregato ovviamente per evitare di impestarvi a tutti evito di darvi il link del portalino in questione ma se qualche esperto volesse darci un occhiata per verificare di persona mi posti in privato
cobra9
Utente Junior
 
Post: 51
Iscritto il: 08/10/01 01:00

Postdi piercing » 17/07/03 18:03

certe volte mi ritengo infinitamente atipico...

uso il pc da sempre... navigo assiduamente dal 1997... uso raramente un antivirus... mai usato un firewall...

ma come si fà a prendersi sta roba???? :eeh: ma dove diamine navigate????

un'occhiata al taskmanager ogni tanto e un'altra occhiata al registro... nulla di più...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pjfry » 17/07/03 18:23

piercing ha scritto:certe volte mi ritengo infinitamente atipico...

uso il pc da sempre... navigo assiduamente dal 1997... uso raramente un antivirus... mai usato un firewall...

ma come si fà a prendersi sta roba???? :eeh: ma dove diamine navigate????

un'occhiata al taskmanager ogni tanto e un'altra occhiata al registro... nulla di più...

immagino che tu non hai mai cercato cr4ck per i giochi... in genere è in quella roba che si annidano 'ste cose...
oppure per esempio recentemente è uscita una versione modificata (è open source) di emule che prometteva di scaricare + veloce rubando i crediti agli altri, e dopo un pò s'è scoperto che conteneva un trojan :lol:
in questi casi è difficile accorgersene perchè nel task manager vedi solo i processi che ti aspetti...
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Re: Tutorial antitrojan attack

Postdi BianConiglio » 17/07/03 18:36

Kurosawa ha scritto:1. Come potersi difendere in anticipo da attacchi di questo genere?

Utilizzando prima di tutto la testa...se la testa viene bypassata :D utili strumento sono StartupMonitor ad un Av aggiornato. StartupMonitor, di Mike Lin, ti permette di consocere quali processi stiano mettendo sè stessi o altro in esecuzione automatica ( purtroppo nn segnala gli add alle operazioni pianificate, e mike nn mi risponde piu da mesi...sarà scappato in messico..) e ti mermette di scegliere se lasciarglielo fare o meno. ( utile anche contro gli spyware )
Un av aggiornato è relativamente utile ma è bypassabile e non ti protegge dai codici nuovi o vecchi e sconosciuti ( peggiori di quelli nuovi che verosimilmente potrebbero essere riconosciuti )
Poi devi assicurarti di avere le impostazioni del browser e dei client ( posta ecc..) in maniera tale da non permettere a codici malefici di attivarsi. Oltre ad avere tutte le patch di questo mondo.


Kurosawa ha scritto:2. Quando ormai è tardi ed il trojan è in esecuzione come debellarlo?

Devi identificare il processo o il processo iniettato in un altro processo.
Per farlo dai un occhio al taskmanager....li c'è...nascosto, iniettato, ma c'è... Controlla tutte le chiavi e files di inizializzazione che interessano l'autostart di eseguibili o l'esecuzione di link ad eseguibili... le trovi praticamente tutte nel mio tutorial, mannaggia alla maremma se qualcuno lo leggesse... Puoi tentare di terminare il processo se l'hai individuato...in ogni caso devi toglierlo dall'esecuzione automatica, da TUTTE le esecuzioni automatiche, ormai hanno spesso più mirror di esecuzione o satelliti che ne controllano l'esecuzione...Una volta pulito il registro riavvi e ricontrolli.

Kurosawa ha scritto:3. Come riconoscere fra i migliaia di file di sistema e di chiavi di registro quelle cattive?

Devi conoscere quali sono le tue abituali...quelle standard....togli tutti i processi noti sino a far rimanere quelli standard e vai per esclusione. Un metodo piu certosino è, ad ogni installazione ed ad intervalli regolari, creare degli snapshot del sistema con prog come regshot, per poi confrontarli sempre con quel programma...ti si creerà un report che elencherà le modifiche, cancellazioni, creazioni di chiavi e files nel sistema.


Kurosawa ha scritto:4. Come risalire eventualmente al violatore?

Con un firewall avrai le connessioni pertanto l'ip o il server che sfrutta l'eventuale aggressore...ma ricordati che il processo potrebbe essere bindato ed iniettato ad un altro..il firewall penserà che sia un altro provesso, vedi IE o Explorer che tu preventivamente hai verosimilmente fatto passare con tanto di regola fissa..pertanto devi avere l'occhio svelto ed allenato...

Kurosawa ha scritto:Insomma... non mi dite che devo sempre affidarmi all'intuizione...

Il buon senso e qualche accorgimento preventivo...come snapshot di regshot, e una politica intelligiente di permissioni agli user (es: non poter scrivere su certe chiavi nel reg ecc.. ).

Inutile dire che antivirus e firewall software sono fogli di carta contro pallottole.. E che se l'utilizzo della macchina è intelligiente, la possibilità di beccarsi un virus è molto, molto bassa....
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi piercing » 17/07/03 18:36

pj.... dal mio topic provocatorio hai risposto direttamente tu ;)

il problema è solo comportamentale... ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Frengo78 » 18/07/03 00:01

Appunto, lo dico sempre! FATE I BRAVI! :)
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi cobra9 » 18/07/03 08:26

dal mio topic provocatorio

mi dispiace che abbiate questa considerazione di utenti internet come me
che da tanto tempo seguono pc-facile e altri siti che dedicano il tempo e il loro lavoro per la sicurezza del pc anche perchè chiunque può incappare in questi tranelli.
uno deve essere anche libero di navigare ovunque con la libertà di decidere realmente se scaricare qualcosa o meno di certo che se un utente clicca annulla e il trojan si scarica ugualmente penso che ci sia dell'illecito da parte di chi gestisca questi siti "anomali"
cobra9
Utente Junior
 
Post: 51
Iscritto il: 08/10/01 01:00

Postdi Frengo78 » 18/07/03 08:32

Cobra penso che nella provocazione di piercing non ci fosse nulla di diretto ad una singola persona. Era molto generale come cosa. E' un dato di fatto che basti evitare determinati comportamenti in rete (tipo ricerca di crack o chattare con mirc ecc ecc) per essere QUASI al riparo da trojan. Il senso della provocazione di piercing e' quello.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Kurosawa » 18/07/03 10:18

... be', i vostri interventi sono stati più che esaurienti, ma ahimè poco utili....

inutile dire che in una struttura pubblica come quella nella quale lavoro gli av sono sempre installati aggiornati e attivi... come dice BC fogli di carta contro pallottole.

Purtroppo, il mio ruolo qui non è di amministratore di rete, ma essendo tra i vari dipendenti quello che ci capisce un po' di informatica (e ultimamente anche di reti... fino a due anni fa a me completamente sconosciute) chiamano me. Ma il più delle volte quando un "utonto" si è accorto che qualcosa non va è perchè ormai il danno è fatto.

Gestire bene un firewall non è cosa semplice, ammetto di essere io il primo a non esserne in grado (non posso prendere e installare e poi non sapere quale è la configurazione migliore in base alle effettive esigneze), pensate un po' la categoria di cui sopra.

Sensibilizzare gli utenti... e come? col fucile spianato? io per ora ho solo minacciato che se vedo un altra volta un kazaa o un bearshare installato li abbandono al loro destino... ma è poca cosa... pensate che già sono arrivati dei richiami dal CdC per intasamenti della rete... e nemmeno due settimane fa abbiamo stroncato (praticamente staccando la bretella di apartenenza dal router) l'ennesimo "violatore".

Mi dicono di punire, e come? io sono un povero tecnico e qui ci sono "uomini di scienza" (quasi quasi formatto senza bu... così la prossima volta ci stanno attenti che ne dite?)

Installare programmi di "guardia" significa anche spiegare come leggere i risiltuati... a gente che ti dice che non gli serve la password perchè non ha nulla da nascondere...

Rimane il fatto che smanettare nelle chiavi di registro e nei files di sistema non è cosa facile (almeno per me...). Vai a capire chi è buono e chi è cattivo, chi serve il padrone e chi l'intruso... (non c'è un qualche posto dove sono elencati solo i buoni? :( ) anche perchè non puoi mai sapere tutti gli applicativi che girano su una macchina non tua.

In effetti la mia domanda era più uno sfogo... in un momento in cui mi giravano vorticosamente per aver perso una mattinata...

ciao!
la vita è come acqua di fonte, scorre incurante della nostra capacità di assaporarla
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi Nicola » 18/07/03 10:28

basta un po` di buon senso = non accettare files dagli sconosciuti e navigare su siti grandi e `puliti`.. esistera` un file su download.com infetto? ;)

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi BianConiglio » 18/07/03 10:44

ma comemani legate ! impedisci di installare software, qualsiasi cosa, senza la tua autorizzazione ! come da me.....io non posso installare ne tantomeno modificare il reg o files diinizializzazione....

si oddio....non potrei hauauha :diavolo:

basta limitare le possibilità degli utenti
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi piercing » 19/07/03 00:34

@ kuro... il problema è proprio qui... che invece di fare il tuo lavoro ti trovi a dover fronteggiare delle stronzate che non sono il tuo campo...

il programmi p2p escono solo perchè probabilmente non hai idea di come bloccarli... e basterebbe semplicemente una buona norma di utilizzo del pc messa per iscritto a scoraggiare i più...

ma il problema italiano è sempre quello... non decidere di spendere 10 "conchiglie" spendendone poi di fatto 100 volte tanto...

c'è gente che studia per risolvere questi problemi... che hanno soluzioni infinitamente più semplici di quelle che ti trovi a fronteggiare tu ogni giorno...

l'approccio è molto molto semplice... il pc è dell'azienda.. o dello stato... e non ci installi assolutamente nulla oltre a quello che dico io... visto che il pc è un bene aziendale... fatto questo vedresti come non avresti più niente da fare...

e basterebbe un intervento di un "sistemista" qualificato non più di 20/30 ore al mese...

ma tanto da noi la cultura della disinformazione regna sovrana....


@ cobra.... se clicchi annulla in un caso del genere non si installa un fico secco....
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi cobra9 » 19/07/03 10:29

cobra.... se clicchi annulla in un caso del genere non si installa un fico secco....


vuoi provare ti do il link del sito :diavolo:
guarda che non avevo fumato nulla :D
cobra9
Utente Junior
 
Post: 51
Iscritto il: 08/10/01 01:00

Postdi amvinfe » 19/07/03 11:26

Kurosawa ha scritto:... Rimane il fatto che smanettare nelle chiavi di registro e nei files di sistema non è cosa facile (almeno per me...). Vai a capire chi è buono e chi è cattivo, chi serve il padrone e chi l'intruso... (non c'è un qualche posto dove sono elencati solo i buoni? :( ) anche perchè non puoi mai sapere tutti gli applicativi che girano su una macchina non tua...


Ho redatto un tutoriale tempo fa, che cerco di tenere il più aggiornato possibile, sulle applicazioni che non dovresti avere in esecuzione automatica. Ovviamente non sono tutte, ma comunque quelle più volte segnalate nei vari Forum della rete, ed in parte quelli con cui ho avuto a che fare personalmente.
Se ciò ti può interessare leggiti il tutorial che trovi QUI troverai anche un tutorial su quella che al momento viene considerata la "bestia nera" dei malware - RapidBlaster.

Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù


Torna a Sicurezza e Privacy


Topic correlati a "Tutorial antitrojan attack":

sw per tutorial
Autore: nikita75
Forum: Software Windows
Risposte: 3
Stampare tutorial in pdf
Autore: mariom
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 62 ospiti