Guide: passo per passo

Condividi:        

Metodi d'Esecuzione

Virus
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
1. Introduzione

Come molti di voi già sapranno ogniqualvolta il sistema operativo viene caricato, una moltitudine di eseguibili , librerie ed impostazioni (presenti nel registro di sistema o in appositi files) vengono eseguiti e/o posti in memoria. Ciò significa che senza l'esplicito consenso ed interazione dell'utente, ad ogni avvio del pc, una moltitudine di funzioni ed operazioni vengono inizializzate, per poi esser portate a termine o caricate in memoria in attesa di eventuali (quanto mai probabili) comandi successivi.

Tutto ciò, eccezion fatta per quegli eseguibili (non nocivi) che mostrano una piccola schermata che ne conferma il caricamento, avviene senza che l'utente possa rendersi conto di ciò che stia realmente accadendo.

Il vantaggio dell'esecuzione di un eseguibile all'avvio sono molteplici, ma possono divenire pericolosi qualora l'eseguibile fosse a discapito dell'utente. Questo è il caso dei KeyLogger, Troiani e di alcuni tipi di Virus e Worms. Quest'ultimi infatti sfruttano (o ci provano) note e meno note metodologie di esecuzione all'avvio del sistema o ad evento prestabilito in modo da esser presenti in memoria e svolgere funzioni, registrare dati ed impostazioni senza l'esplicito consenso dell'utente, ignaro di tutto.

A questo punto è doverosa una distinzione tra esecuzione all'avvio del sistema ed esecuzione ad evento prestabilito.
La prima eventualità si verifica quando un eseguibile (exe, bat, com, pif, hta...) viene avviato durante la fase di boot del sistema operativo, in modo che venga caricato ed eseguito durante il normale caricamento di windows.

La seconda, invece, si verifica quando l'eseguibile viene lanciato da un'applicazione secondaria (Outlook, DAP, ICQ, Operazioni Pianificate,...) e non è necessariamente eseguito all'avvio del sistema. L'utilizzo di procedure per l'esecuzione ad evento prestabilito sottintende una maggiore conoscenza da parte dell'aggressore nei riguardi della vittima poiché, pur essendo le impostazioni registrate in files o chiavi standard, è richiesta l'esistenza dell'applicazione "di lancio"!


Virus: hydra [52.920 visite dal 20 Dicembre 04 @ 00:01 am]