Virus Testing Machine

[xcdegasp]

il thread riapre ma sempre vincolato alle condizioni della massima trasparenza e massima sicurezza per non essere veicoli di infezione.. vi raccomando l'attenzione al primo posto

[@Sirio@]

Ok xcdegasp, grazie.

[@Sirio@]

Quote:

Originariamente inviato da eraser

Come immaginavo

Sono due PoC exploit, uno per Pragma FortressSSH e l'altro per Seattle Lab Telnet Server.

Non c'entrano niente con il rootkit Unreal

..peccato, speravo fossero quelli giusti.

Quindi da quello che ho capito gli exploit oppure i trojan non c'entrano niente con i rootkit?
Si può dire che sono "famiglie" diverse?

Scusa la mia ignoranza e grazie anche per l'eventuale risposta.

[@Sirio@]

Quote:

Originariamente inviato da Romagnolo1973

wowww che bello rivedere tutta la banda del buco qua
Un salutone a tutti e soprattutto a quello che sta in Cina, Gavel stai ancora lì?

Per ora non ho tempo di virtualizzare il pc che è tra l'altro l'unico che ho a parte il giocattolino eeepc, ma vi seguirà con affetto e quando avrò un attimo magari faro qualche test.
Bravo Leo come sempre

P.S. I pallini nei primi post così belli ordinati so già chi li ha messi

Ciao Romagnolo,
quando vuoi/puoi, siamo qui che ti aspettiamo... con molto piacere.

[@Sirio@]

Quote:

Originariamente inviato da Chill-Out

Segnalo questa piccola chicca http://www.hbgary.com/download_flypaper.html

Ho dato una letta veloce, secondo te si puo installare anche senza la VM? O può comportare problemi?
Scusa se ho scritto eventuali stronxxte, ma non ho approfondito.

[@Sirio@]

PC dedicato per i test:

• Windows XP sp3
• Returnil Virtual System 2008 premium edition
• Real-Time Defender Professional 1.0
• Jetico Personal Firewall 2
• SysInspector

MD5: c074384af50971632df88de847c89233

Analisi su Virus Total: http://www.virustotal.com/analisis/0...e6db558fb7ad06

Analisi su ThreatExpert: http://www.threatexpert.com/report.a...f88de847c89233

Descrizione: Finto antivirus che in realtà si occupa di scaricare altro malware. Credo sia uno dei malware tanto in voga in questo periodo.

Iniziando AntiVir lo riconosce subito come: disabilito la protezione in tempo reale per poter terminare il test.

Avviando malware.exe appare l'avviso di Real-Time Defender (HIPS) per far partire il setup del finto Antivirus e subito dopo Jetico Personal Firewall 2 ci avvisa del Process Attack,

confermo anche questi e finalmente mi appare l'interfaccia grafica dell'installer, cliccando sul tasto continue

Ho avuto anche 3 richieste uguali da parte di JPF2, per guardgui.exe (pop-up di AntiVir quando rileva un virus), , secondo me non c'entrano niente con il malware, ma dipendono appunto dalla GUI del guard in real time di AntiVir (questo perché JPF2 segnala gli accessi indiretti, ed io, prima d'ora non avervo mai avuto l'occasione di applicare a guardgui.exe in JPF2, tali accessi. Ecco il perché di queste richieste).

Sempre JPF2 mi rileva l'accesso alla rete da parte di malware.exe e a ruota lo segue anche RTD

poi l'accesso indiretto del malware e la connessione verso l'IP 84.16.252.138 (vassariumbig.com) sulla porta 80 , la creazione di av_2009.exe e la sua scrittura che continua fino alla fine del setup.

Nel frattempo possiamo notare la connessione attiva del malware verso

Continuando


Continua nel post seguente.

[@Sirio@]

qui, dopo l'avvio del falso antivirus 2009 ho avuto un'altra richiesta di connessione verso l'IP 216.240.134.211 sempre sulla porta 80

seguita da un'altra ancora verso l'IP 89.18.189.44 porta 80

Continua nel prossimo post

[@Sirio@]

Possiamo notare il finto Windows Security Center con l'iconcina in basso, nella systray. Guardando attentamente l'icona accanto all'orologio e il security center, ci si accorge che sono un'imitazione, non sono perfetti, ma una buona imitazione possiamo vedere anche il pop-up del falso antivirus che ci dice di aver rilevato dei virus

Il malware richiede i permessi per poter funzionare

Il programma malevolo continua a "scassare" the balls vuole farci scaricare altro malware, e cliccando su: "Remove all threats now" ci fa vedere questi fantomatici virus

Cliccando poi sul tasto Remove ci appare un pop-up per la registrazione, ma... inserendo un indirizzo e-mail, risponde con questo errore .

Morale della favola? Fate molta attenzione a quello che installate, l'inganno è sempre dietro l'angolo.

________________________________________________________________

@ xcdegasp

Anche solo la comparazione dei log di SysInspector, è piena di informazioni personali che vanno dal nome del computer al mio IP, quindi non la pubblico.

Come potremmo risolvere questo problema?

[gavel]

- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili.

-poi fare lo steso test con "Rustock.B" .

-poi ti mando degli altri bei esemplari.

[xcdegasp]

Quote:

Originariamente inviato da @Sirio@

@ xcdegasp

Anche solo la comparazione dei log di SysInspector, è piena di informazioni personali che vanno dal nome del computer al mio IP, quindi non la pubblico.

Come potremmo risolvere questo problema?

ilnomeutente e nome del computer non ti compromettono di certo nulla a riguardo di "sicurezza", mentre come privacy credo che un nome non sia così da proteggere in maniera fervida sopratutto a discapito di dati relativi a test eseguiti su macchina virtuale

la soluzione è ovvia, basta che in quella virtual machine imposti l'utente a essere YYYYY e il nome del pc XXXXXXX ....

[nV 25]

Quote:

Originariamente inviato da gavel

...
-poi fare lo steso test con "Rustock.B" ...

se intendi quelli della definizione data grazie al contributo di GmG, bene:

stai mica scherzando?


(PS, ora RTD..) li previene agile, ma agile agile, guarda...al punto che se dovessero esservi problemi, la causa sarebbe solo un qualche conflitto con JPF2.


Stai sicuro sulle mie sicurezze...

Detto questo, ti saluto calorosamente:
gli scambi di vedute mi son sempre piaciuti...

Quote:

Originariamente inviato da gavel

- dio mio qunti popup...

senza nulla togliere ovviamente allo sforzo di @Sirio@, mi sembra effettivamente che la consultazione abbia un grado di fruibilità prossima allo 0...

Questi "esperimenti", infatti, o si fanno con i Log (delle azioni bloccate, visto che quelle permesse solitamente NON sono registrate...), o con Log + *qualche* screen *cruciale*...

Riprendere ogni singolo pop-up, infatti, rende particolarmente faticosa l'eventuale consultazione...

IMO...

[Chill-Out]

Quote:

Originariamente inviato da @Sirio@

Ho dato una letta veloce, secondo te si puo installare anche senza la VM? O può comportare problemi?
Scusa se ho scritto eventuali stronxxte, ma non ho approfondito.

Si fallo girare in VM

[@Sirio@]

Quote:

Originariamente inviato da gavel

- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili.

-poi fare lo steso test con "Rustock.B" .

-poi ti mando degli altri bei esemplari.

Se parli di quello che sta nel pacchetto inviato da te qualche giorno fa... certo che posso.

Aspetto gli altri esemplari..

[eraser]

Quote:

Originariamente inviato da @Sirio@

..peccato, speravo fossero quelli giusti.

Quindi da quello che ho capito gli exploit oppure i trojan non c'entrano niente con i rootkit?
Si può dire che sono "famiglie" diverse?

Scusa la mia ignoranza e grazie anche per l'eventuale risposta.

No, spe C'hai un po di confusione

I rootkit sono una determinata infezione, i trojan sono un'altra determinata infezione e gli exploit sono semplicemente dei codici che sfruttano delle falle a livello di codice di alcuni programmi per eseguire del codice arbritrario.

Quei file che sono denominati come Exp/unreal.D da Avira sono dei file che sfruttano delle falle nei programmi che ho scritto nel post precedente per avere accesso da remoto al server dove sono installati.

[leolas]

imho quel test in ogni caso è spettacolare

Quante ore ci hai messo a farlo?

Adesso lo aggiungo al post in prima pagina.


--edit: anzi no, lo aggiungo dopo perchè devo anche modificare la struttura del post

[@Sirio@]

Quote:

Originariamente inviato da xcdegasp

ilnomeutente e nome del computer non ti compromettono di certo nulla a riguardo di "sicurezza", mentre come privacy credo che un nome non sia così da proteggere in maniera fervida sopratutto a discapito di dati relativi a test eseguiti su macchina virtuale

la soluzione è ovvia, basta che in quella virtual machine imposti l'utente a essere YYYYY e il nome del pc XXXXXXX ....

...ehmmm, non so come spiegartelo, io non ho potuto installare la Virtual Machine. Il mio vecchio macinino (Pentium II con 288 MB di ram) non ce la fa nemmeno a farla partire...
Quindi ho fomattato e installato XP sp3, AntiVir, RTD, JPF2, SysInspector, Browser, ecc. insomma solo i programmi essenziali per i test. Nessuna informazione che mi riguarda, a parte l'IP.
Questo PC lo uso solo per navigare e fare i test.
Cmq, riguardo ai log di SysInspector oltre al nome del PC ci sono gli IP... non è che ho qualcosa da nascondere, solamente non voglio pubblicare appunto il mio IP.
Forse potrei fare degli screen anche di quelli, o un file txt cancellando quello che mi interessa, però ci vuole altro tempo... e come si dice? Il tempo vale oro... soprattutto per me, come tu sai

[@Sirio@]

Quote:

Originariamente inviato da eraser

No, spe C'hai un po di confusione

I rootkit sono una determinata infezione, i trojan sono un'altra determinata infezione e gli exploit sono semplicemente dei codici che sfruttano delle falle a livello di codice di alcuni programmi per eseguire del codice arbritrario.

Quei file che sono denominati come Exp/unreal.D da Avira sono dei file che sfruttano delle falle nei programmi che ho scritto nel post precedente per avere accesso da remoto al server dove sono installati.

Grazie eraser
si in effetti ho un pò di confusione ..alimentata anche dagli ultimi avvenimenti.
Adesso, grazie alla tua spiegazione ho un poco più chiare le cose.

[@Sirio@]

Quote:

Originariamente inviato da nV 25

se intendi quelli della definizione data grazie al contributo di GmG, bene:

stai mica scherzando?


(PS, ora RTD..) li previene agile, ma agile agile, guarda...al punto che se dovessero esservi problemi, la causa sarebbe solo un qualche conflitto con JPF2.


Stai sicuro sulle mie sicurezze...

Detto questo, ti saluto calorosamente:
gli scambi di vedute mi son sempre piaciuti...


senza nulla togliere ovviamente allo sforzo di @Sirio@, mi sembra effettivamente che la consultazione abbia un grado di fruibilità prossima allo 0...

Questi "esperimenti", infatti, o si fanno con i Log (delle azioni bloccate, visto che quelle permesse solitamente NON sono registrate...), o con Log + *qualche* screen *cruciale*...

Riprendere ogni singolo pop-up, infatti, rende particolarmente faticosa l'eventuale consultazione...

IMO...

Mio maestro.. "è colpa tua" se mi è venuta la passione per i test.

I log non li ho messi perché non ho negato niente, ho accettato tutte le richieste per vedere cosa succedeva. Gli screen sono consequenziali (ma esiste sta parola? ). Forse ci vuole un pò per vederli tutti.. e nonostante ci vogliano ore per preparare e postare il tutto, ho deciso così per far capire agl'inesperti come me ogni fase del processo.

Scherzosamente ti ho chiamato "maestro"... ma è vero: nei tuoi test riesci ad evidenziare (per me in maniera spettacolare) e a postare solo quello necessario per far capire chi ti legge. Però, io tante volte fatico a starti dietro, perché posti appunto, solo l'essenziale, ma l'essenziale che presuppone delle basi che io non ho.
Non so se sono riuscito a spiegarmi... lo spero.

[@Sirio@]

Quote:

Originariamente inviato da Chill-Out

Si fallo girare in VM

.... come dicevo a degasp niente VM, per quello ti chiedevo se è possibile o ha qualche utilità installarlo senza la VM.

[@Sirio@]

Quote:

Originariamente inviato da leolas

imho quel test in ogni caso è spettacolare

Quante ore ci hai messo a farlo?

Adesso lo aggiungo al post in prima pagina.


--edit: anzi no, lo aggiungo dopo perchè devo anche modificare la struttura del post

Grazie leo, c'è voluto un bel pò... però a noi (comuni mortali o ) ci piacciono ste cose.

Leo non riesco ad uppare su wikisend... devo avere qualche problema, riprovo appena posso altrimenti lo mando a te.