www.MegaLab.it

da **Starseed** » gio dic 08, 2011 10:14 pm

Salve a tutti!
Prima di tutto, non so se sia la sezione giusta, dato che io abbia proprio un problema di sicurezza, ma si tratta semplicemente di una richiesta di informazioni.
Siccome non sono esattamente ferrata sull'argomento, vorrei riuscire colmare alcune lacune riguardo a virus & malware in generale, dato che nonostante prenda tutte le precauzioni del caso (antivirus, firewall, WOT, sandbox etc.), ho sempre paura che il vermetto mi freghi.
Il fatto è che a me piace moltissimo provare programmi di tutti i tipi, soprattutto se non prevedono installazione, e quindi scarico sempre volontariamente molti eseguibili che, potenzialmente, potrebbero essere pericolosi.

Per quello che riguarda la mia conoscenza dei virus informatici, so che sovente si tratta di programmini solitamente di poche centinaia di KB (se non meno), che una volta scaricati sul computer in maniera piú o meno consapevole dall'utente, si avviano da soli e cominciano la loro opera.

Però, frequentando spesso siti che offrono la scarica di programmi, ho cominciato a notare la seguente scritta "Questo programma è libero al 100% da virus e spyware", e mi sono cominciati a venire dei dubbi in proposito... Eccoli di seguito:

1) È possibile che si possa in qualche modo alterare l'eseguibile che avvia l'installazione del programma consentendo l'installazione, oltre al programma effettivo, di codice malevolo?

2) È possibile che un programma portatile (quindi senza installazione effettiva), all'apparenza magari perfettamente funzionante possa contenere la "sorpresina"? (Cioè, avviandoli, ti becchi insieme anche l'infezione)

3) Se un programma mi viene riconosciuto come malware dall'antivirus, come posso sapere se è falso positivo? Come faccio a sapere che il programma non è stato davvero alterato da qualcuno?

4) L'ultima, di cui un po' mi vergogno perché mi pare una cosa basilare da sapere, che cosa significa esattamente "file infetto"? È un file generato dal virus, oppure è il virus che ha corrotto dei file buoni facendoli diventare pericolosi per il computer? Non sono mai riuscita a capirla, questa cosa [:D]

Ringrazio anticipatamente chi vorrà rispondermi [:)]

da **Berga95** » ven dic 09, 2011 12:14 am

Ciao Starseed, hai trovato la sezione giusta [:D]

Starseed ha scritto:1) È possibile che si possa in qualche modo alterare l'eseguibile che avvia l'installazione del programma consentendo l'installazione, oltre al programma effettivo, di codice malevolo?

Certamente, la definizione di trojan l'hanno inventata apposta [^]

Anche se con una scansione di ogni file eseguibile scaricato dalla rete con un buon antivirus oppure con VirusTotal.com dovresti essere relativamente tranquilla [std]

Starseed ha scritto:2) È possibile che un programma portatile (quindi senza installazione effettiva), all'apparenza magari perfettamente funzionante possa contenere la "sorpresina"? (Cioè, avviandoli, ti becchi insieme anche l'infezione)

Leggi sopra, ma inoltre bisognerebbe considerare che l'UAC dovrebbe scattare (il condizionale è d'obbligo) in caso di operazioni come la modifica di file di sistema, scrittura su registro, etc.
Ovviamente esistono exploit per bypassare UAC, ma non mi dilungo troppo su questo punto [:)]

Starseed ha scritto:3) Se un programma mi viene riconosciuto come malware dall'antivirus, come posso sapere se è falso positivo?

Con il confronto con il responso di altri antivirus e con servizi come VirusTotal (sono monotono, eh? [bleh]

) e ThreatExpert [;)]

Starseed ha scritto:4) L'ultima, di cui un po' mi vergogno perché mi pare una cosa basilare da sapere, che cosa significa esattamente "file infetto"? È un file generato dal virus, oppure è il virus che ha corrotto dei file buoni facendoli diventare pericolosi per il computer? Non sono mai riuscita a capirla, questa cosa

Un file infetto, un file malevolo, può essere sia il file da cui si è generata l'infezione (un .exe ad esempio) sia un file di sistema che è stato modificato dal malware. Se un file di sistema infetto viene cancellato invece di essere ripulito si rischia problemi derivati dalla mancanza di una particolare parte dell'OS... [acc2]

In caso di infezioni particolarmente estese perdi meno tempo a formattare che andare a mettere a posto quello che ha combinato il malware [ehm]

Spero di non aver detto qualcosa di errato o di non aver spiegato male qualcosa, perdonami, siamo mezzanotte [:D]

Ovviamente sono disponibile per eventuali approfondimenti [^]

Buonanotte! Immagine

da **Starseed** » ven dic 09, 2011 12:24 am

Ti ringrazio tantissimo per la risposta, sei stato molto chiaro [:)]

In caso di dubbio allora mi conviene proprio connettermi e collegarmi a Virus Total...

P.S. Il Kirby che dorme è stupendo! [:D]

da **Berga95** » ven dic 09, 2011 12:37 am

Di nulla

Starseed ha scritto:P.S. Il Kirby che dorme è stupendo!

Lo so

da **crazy.cat** » ven dic 09, 2011 5:33 am

Berga95 ha scritto:ma inoltre bisognerebbe considerare che l'UAC dovrebbe scattare (il condizionale è d'obbligo) in caso di operazioni come la modifica di file di sistema, scrittura su registro, etc.

Più che l'uac mi fiderei di un bel firewall dotato di hips che mi avvisi subito se succede qualcosa di strano.

"Questo programma è libero al 100% da virus e spyware" molti siti poco seri mettono questa frase e poi dentro c'è l'adware, magari non pericolosissimo, ma c'è la sorpresina, oppure la toolbar.
Questo è però scritto in caratteri piccolissimi e in inchiostro simpatico alla fine di un eula lunga 18 pagine che nessuno legge mai.

da **Kgiulio** » ven dic 09, 2011 9:39 am

Starseed ha scritto:tutte le precauzioni del caso (antivirus, firewall, WOT, sandbox etc.)

scusate la risposta, ma volevo consigliare caldamente l'uso di un utente con permessi limitati ("normale", non amministratore)

ed eventualmente l'uso di runas (una specie di quello che in linux è sudo)

nel memo alcuni esempi:

capisco che possa risultare più fastidioso non usare un utente amministratore ma secondo me i vantaggi sono notevoli

da **Starseed** » ven dic 09, 2011 11:00 am

crazy.cat ha scritto:Questo è però scritto in caratteri piccolissimi e in inchiostro simpatico alla fine di un eula lunga 18 pagine che nessuno legge mai.

È vero, mi dichiaro colpevole, neanche io leggo mai l'eula... e mi pare non sia raro che anche nei vostri articoli segnaliate la presenza di "aggiunte" come le toolbar nei programmi che recensite... quindi evidentemente è una pratica molto diffusa.
Per quanto riguarda l'HIPS, quando io do il permesso all'applicazione di installare il programma, se dentro c'è anche il verme come faccio ad accorgermene?

Kgiulio ha scritto:scusate la risposta, ma volevo consigliare caldamente l'uso di un utente con permessi limitati ("normale", non amministratore)

Domanda da niubba, ma non ci vogliono i privilegi da amministratore per installare i programmi?

da **Kgiulio** » ven dic 09, 2011 11:07 am

Starseed ha scritto:Domanda da niubba, ma non ci vogliono i privilegi da amministratore per installare i programmi?

si, esatto

nel modo che ho proposto, quando vuoi installare un programma, ci clicchi con il pulsante destro e selezioni "esegui come amministratore..." (o qualcosa del genere), a quel punto ti chiede nome utente e password di un utente amministratore, con cui verrà eseguito e installato il programma... [:)]

da **Berga95** » ven dic 09, 2011 11:27 am

crazy.cat ha scritto:
Berga95 ha scritto:ma inoltre bisognerebbe considerare che l'UAC dovrebbe scattare (il condizionale è d'obbligo) in caso di operazioni come la modifica di file di sistema, scrittura su registro, etc.

Più che l'uac mi fiderei di un bel firewall dotato di hips che mi avvisi subito se succede qualcosa di strano.

Giusto

da **hashcat** » ven dic 09, 2011 1:42 pm

Ciao Starseed [^]

Starseed ha scritto:1) È possibile che si possa in qualche modo alterare l'eseguibile che avvia l'installazione del programma consentendo l'installazione, oltre al programma effettivo, di codice malevolo?

Se intendi l'alterazione di un eseguibile sicuro da parte di terze parti inserendo codice estraneo, l'operazione è possibile. Spesso non andrà a buon fine perché gli installer o molti eseguibili in generale verificano con varie tecniche che il file non sia stato manomesso (CRC Check & Co). Se la manomissione viene identificata il programma avviserà l'utente segnalando il file come corrotto e non si avvierà. Per completezza aggiungo che queste protezioni ed autoverifiche presenti in un programma possono essere superate ma ci vuole un po' di abilità.

Starseed ha scritto:2) È possibile che un programma portatile (quindi senza installazione effettiva), all'apparenza magari perfettamente funzionante possa contenere la "sorpresina"?

Senz'altro, il tutto dipende dalla definizione di programma portatile: Programma che si avvia senza bisogno di essere installato, programma che non aggiunge voci nel registro di sistema, programma che non richiede privilegi amministrativi.

Starseed ha scritto:3) Se un programma mi viene riconosciuto come malware dall'antivirus, come posso sapere se è falso positivo?

Puoi controllare su VirusTotal (già suggerito da Berga) e su Comodo FIle Verdict. Oltre a ThreatExpert elenco alcuni servizi che forniscono un analisi comportamentale e delle modifiche apportate al sistema da un eseguibile:

Starseed ha scritto:Come faccio a sapere che il programma non è stato davvero alterato da qualcuno?

La soluzione più semplice è controllare il Checksum del file consultandolo con uno valido. Il modo più semplice per portare a termine questa operazione è quello di installare HashTab sul proprio computer e confrontare l'hash MD5 del programma che si vuole verificare (dopo aver con quello presente su Filehippo (nella sezione technical)

Immagine

La presenza di una Firma Digitale valida anche se non si tratta di una garanzia (talvolta alcuni malware presentano firme digitali valide)

[weponed]

da **Starseed** » ven dic 09, 2011 2:31 pm

Hashcat, grazie per la tua risposta, davvero molto completa.
Hashtab sembra proprio uno strumento interessante, farò una prova. [:)]

da **Ale2695** » ven dic 09, 2011 2:51 pm

Piccola precisazione che è sfuggita ai miei colleghi:

Starseed ha scritto:Per quello che riguarda la mia conoscenza dei virus informatici, so che sovente si tratta di programmini solitamente di poche centinaia di KB (se non meno), che una volta scaricati sul computer in maniera piú o meno consapevole dall'utente, si avviano da soli e cominciano la loro opera.

Non è detto che siano solo di pochi KB, a volte, come nel caso dei fake antispyware, cioè di falsi programmi antivirus creati per aumentare il raggio dell'infezione e far spendere soldi all'ignara vittima per comprarne la versione completa per rimuovere false infezioni segnalate dal programma, sono grandi anche decine di MB. [;)]