Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Come comportarsi quando...

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Come comportarsi quando...

Messaggioda BlackHawk78 » lun feb 28, 2011 4:21 pm

Certe volte mi capita di inviare dei file su VirusTotal per un'analisi dettagliata alla scoperta di eventuali infezioni.
Però delle volte mi capita la seguente situazione 'tipo':
metà ( circa... ) degli antivirus di VT mi segnala che il file è infetto, l'altra metà invece no. Allora, trovandomi di fronte ad una situazione in cui c'è circa il 50 % di probabilità che il file sia infetto o meno, attendo qualche giorno e rifaccio di nuovo l'analisi del file presunto infetto su VT: alle volte mi capita ( anche diverse settimane dopo la prima analisi ) che la situazione sia pressoché sempre la stessa di prima, altre volte mi capita che alcuni antivirus, anche piuttosto 'efficienti' come GData, Kaspersky, Avira, ecc..., non mi rilevano più il file come infetto mentre rimane comunque un considerevole numero di antivirus che, dall'altra parte, mi continua a rilevare il file come infetto.
Allora, in queste situazioni, voi esperti di sicurezza come mi consigliereste di comportarmi ?

Grazie in anticipo per le vostre risposte ! [ciao]
Avatar utente
BlackHawk78
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: gio gen 06, 2011 2:36 pm
Località: Padova

Re: Come comportarsi quando...

Messaggioda crazy.cat » lun feb 28, 2011 4:26 pm

Di caricare il file qui http://www.threatexpert.com/submit.aspx per vedere cosa combina.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Come comportarsi quando...

Messaggioda BlackHawk78 » lun feb 28, 2011 4:32 pm

crazy.cat ha scritto:Di caricare il file qui http://www.threatexpert.com/submit.aspx per vedere cosa combina.


Ciao crazy.cat, conoscevo questo servizio però non sempre i report che fornisce sono alla portata di tutti, nel senso che molte volte non si riesce comunque a capire se file 'presunti infetti' hanno un comportamento non lecito o meno... [uhm]
Avatar utente
BlackHawk78
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: gio gen 06, 2011 2:36 pm
Località: Padova


Re: Come comportarsi quando...

Messaggioda crazy.cat » lun feb 28, 2011 4:38 pm

Magari unisci il report di virustotal con quello di threatexpert per capirne di più.
Su virustotal quando sono pochi gli antivirus che lo rilevano bisogna anche guardare quali sono gli antivirus che leggono il malware.
Se sono tutti quelli di seconda categoria, magari con nomi o caratteristiche del tutto diversi, qualcuno con l'euristica, allora si può pensare ad una falsa rilevazione.
Poi ci vuole istinto ed esperienza nel leggere i report.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Come comportarsi quando...

Messaggioda hashcat » lun feb 28, 2011 5:02 pm

BlackHawk78 ha scritto:
crazy.cat ha scritto:Di caricare il file qui http://www.threatexpert.com/submit.aspx per vedere cosa combina.


Ciao crazy.cat, conoscevo questo servizio però non sempre i report che fornisce sono alla portata di tutti, nel senso che molte volte non si riesce comunque a capire se file 'presunti infetti' hanno un comportamento non lecito o meno... [uhm]

Per quanto riguarda l'interpretazione di ThreatExpert puoi consultare questa guida.
Per una verifica veloce e semplice puoi caricare il file su Comodo Instant Malware Analysis se come verdetto Comodo riporta "Sospetto" ci pensi un po' su prima di eseguirlo o fai analisi supplementari, se riporta "Sospetto+" o "Sospetto++" probabilmente si tratta di qualcosa di dannoso.
A volte per eseguire delle analisi supplementari utilizzo Sunbelt CWSandbox, possiede la funzione interessante di analizzare tramite virustotal tutti i file creati/modificati non riconosciuti come sicuri, inoltre fornisce nell'analisi preliminare alcuni dettagli aggiuntivi interessanti.
Analisi esempio:

Codice: Seleziona tutto
Downloads EXE:                   NO
Downloads to System32:           NO
Downloads to Windows:            NO
Copies to Windows:               NO
Creates Hidden EXE in System:    NO
Windows/Run Regsitry Key Set:    NO
Connects via WinSock:            NO
Winlogon Regsitry Key Set:       NO
Creates EXE in System:           NO
Starts EXE in System:            NO
Deletes File in System:          NO
Kills Antivirus:                 NO
Changes IE Homepage:             NO
Hooks Keyboard:                  NO
Creates Hidden DLL:              NO
Creates Hidden Executable:       NO
Downloads File:                  NO
Creates DLL in System:           NO
Creates Mutex:                  YES
Alters Windows Firewall:         NO
Injected Code:                   NO
Checks For Debugger:            YES
More than 5 Processes:           NO
Deletes Original Sample:         NO
Starts EXE in Documents:         NO
Sends Email:                     NO
Opens Hosts File:                NO
BHO Installed:                   NO
Start_exe_recycled:              NO
File_find_count:                YES
File_open_count:                 NO
File_infector_processed:        YES
Cwsandbox_detection:             NO
Changes_ie_proxy:                NO
Creates_service:                 NO
Succesful_gethostbyname:        YES
Unsuccesful_gethostbyname:      YES

Report approfondito
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Come comportarsi quando...

Messaggioda sampei.nihira » mar mar 01, 2011 2:23 pm

Interessante invece decidere,dopo aver eliminato l'opzione falso positivo, se un file sia legittimo o infetto quando tutti gli antivirus on line latitano e pure i servizi messi in evidenza non ci offrono un aiuto concreto.
Anche se spesso è difficile discernere anche il caso dei FP.
Per l'aspetto suddetto ovviamente ma sopratutto per esperienza e magari la fonte dell'approvigionamento (ad esempio i canali p2p),noi siamo portati già in origine a ritenere che il file sia presumibilmente malevolo.
Anzi meglio se lo considerate così a priori,una dose di prudenza è sempre preferibile. [;)]
Considerate ad esempio i recenti malwares per OSX che hanno avuto origine tutti dai canali p2p.

Quindi che facciamo ?

La migliore cosa che tutti noi possiamo fare è aspettare,sì proprio così, il tempo è la nostra migliore arma e poi verificare nuovamente agli analizzatori on line.

Oppure ovvio cercare in un ambiente protetto di lanciare il file e vedere cosa accade,ma ritengo sia una strada difficilmente percorsa da tutti,quindi meglio la prima.
La pazienza sarà in questi,rari casi, la nostra migliore alleata.

Spero si sia capito cosa voglio dire.....il chè spesso è un esercizio che mi riesce molto difficile !!! [acc2] [:D] [:D]

[ciao]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 18 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising