Sicurezza Informatica

MALWARE
Codice Malevolo
 Malware

La copia letterale e la distribuzione

di questo articolo nella sua
integrità sono permesse con
qualsiasi mezzo, a condizione che
questa nota sia riprodotta
 Malware

MALWARE = malicious software

Si definisce malware un qualsiasi software creato

con il solo scopo di creare danni più o meno estesi
al computer su cui viene eseguito.
 Malware
Tipi di Malware

Virus: parti di codice che si diffondono copiandosi all'interno di

altri programmi
Worm: programmi eseguibili che sfruttano vulerabilità del
sistema
Trojan horse: contengono istruzioni dannose che vengono
eseguite all'insaputa dell'utilizzatore
Backdoor: consentono un accesso non autorizzato al sistema su
cui sono in esecuzione
Spyware: vengono usati per raccogliere informazioni dal sistema
su cui sono installati
Dialer: modificando il numero telefonico chiamato dalla
connessione predefinita con uno a tariffazione speciale
Hijacker: si appropriano di applicazioni di navigazione in rete e
causano l'apertura automatica di pagine Web

Nell'uso comune il termine virus viene utilizzato come

sinonimo di malware
 Malware: Virus
1984: Experiments with Computer Viruses (Fred Cohen)

Un virus è un frammento di software, appartenente alla categoria

dei malware, che è in grado, una volta eseguito, di infettare dei
file in modo da riprodursi facendo copie di se stesso,
generalmente senza farsi rilevare dall'utente

NON è un programma eseguibile,

deve infettare un programma ospite

Len Adleman
 Malware: Virus
1970
Fasi del Virus:

Fase Incubazione:
è solo presente su un supporto di massa (disco
fisso, floppy, CD, ...) il virus è inerte, anche se
copiato sul proprio PC non è in grado di fare
nulla fino a quando non viene eseguito il
programma che lo ospita

Fase Infettiva:
è stato caricato in memoria RAM il virus diventa
attivo ed inizia ad agire

1973: Film “Il mondo dei robot “

 Malware: Virus
1982: Primo virus, denominato "Elk Cloner"
creato da Rich Skrenta:
Sistema operativo infettato :DOS3.3
Hardware : Apple II
l'infezione era propagata con lo scambio di floppy disk

1988 Robert Morris infetta circa 6000 PC su

Arpanet, con il suo virus denominato “worm”

4 maggio 2000: Onel De Guzman (Manila)

script Visual Basic
LOVE-LETTER-FOR-YOU.TXT.vbs

infettati: 3,7 milioni in tutto il mondo

perdite stimate: 15 miliardi di dollari

Il Pentagono,Il Parlamento britannico, La NASA, Ford,

Philips, Vodaphone, Walt Disney
 Malware: Virus
Funzionamento:

routine di ricerca: cerca i file adatti ad essere infettati

routine di infezione: ha il compito di copiare il codice del

virus all'interno di ogni file individuato

routine di attivazione: contiene i criteri in base ai quali il virus

decide se effettuare o meno l'attacco

payload: sequenza di istruzioni in genere dannosa per il

sistema ospite

routine di decifratura: contenente le istruzioni per decifrare il

codice del virus

routine di cifratura: contiene il procedimento per criptare

ogni copia del virus

routine di mutazione: si occupa di modificare le routine di

cifratura e decifratura per ogni nuova copia del virus
 Malware: Virus
Tipologie:

virus polimorfico: implementa una routine di mutazione

exe virus o com virus: colpiscono i file con le rispettive

estensioni

companion virus: sfrutta la possibilità di eseguire un file .com

prima di un .exe

virus di boot: infetta il boot sector dei dischi

macrovirus: consiste in una macro ed infetta MS Office

retrovirus: si annida nei programmi antivirus e li mette fuori

uso

Hoax: Falsi Virus

http://www.attivissimo.net/antibufala/index.htm
 Malware: Worm
NON necessita di legarsi ad altri eseguibili per
diffondersi.
Solitamente il worm modifica la macchina infetta in modo da
eseguire se stesso.

Il metodo di diffusione più comune è la posta elettronica:

1975, tapeworms
Ricerca indirizzi e-mail memorizzati nel computer ospite ed invia
una copia di se stesso come file allegato a tutti o parte degli
indirizzi che è riuscito a raccogliere.

Alcuni worm sfruttano dei bug di client di posta per eseguirsi

automaticamente al momento della visualizzazione del
messaggio

Possono anche mimetizzarsi attraverso le reti di File-sharing

Altri metodi di diffusione sfruttano gug del sistema ospite per

trasmettersi a tutte le macchine connesse in rete
 Malware: Worm

Danni diretti

Un worm semplice, composto solamente dalle istruzioni

per replicarsi, di per sé non crea gravi danni diretti al di là
dello spreco di risorse.
La maggior parte dei worm, così come i virus, contiene una
parte detta payload, che ha il solo scopo di causare dei
danni
Molto di frequente un worm funge da veicolo per
l'installazione automatica di altri malware
(backdoor,keylogger), che potranno poi essere sfruttati da
un malintenzionato cracker o da un altro worm.
 Malware: Worm

Danni indiretti

Sono gli effetti collaterali dell'infezione da parte di un worm

di un elevato numero di computer connessi in rete sul
corretto funzionamento e sull'efficacia delle comunicazioni
che avvengono tramite infrastrutture informatiche.

I worm che sfruttano vulnerabilità note di alcuni software

causano invece malfunzionamenti, procurando l'instabilità
del sistema e a volte spegnimenti e riavvii forzati (es
Blaster)
Malware: Trojan horse
Deve il suo nome al fatto che le sue funzionalità sono
nascoste all'interno di un programma apparentemente utile

In genere col termine Trojan ci si riferisce ai trojan ad

accesso remoto(RAT)
Esistono anche RAT legali (bo2000, Pcanywhere), che non
sono trojan per il semplice fatto che l'utente sa cosa fa il
programma.

sono composti generalmente da 2 file: il server ed il client

I trojan non si diffondono autonomamente, richiedono un
intervento diretto dell'attaccante per far giungere l'eseguibile
alla vittima

i cracker amano inserire queste "trappole" ad esempio nei

videogiochi piratati
Malware: Spyware
Uno spyware è un tipo di software che raccoglie
informazioni riguardanti l'attività online di un utente (siti
visitati, acquisti eseguiti in rete etc)

NON hanno la capacità di diffondersi autonomamente

Generalmente i dati privati vengono poi inviate ad

organizzazioni che li utilizzerà per trarne profitto,
tipicamente attraverso l'invio di pubblicità mirata

Gli spyware possono avere le funzioni più diverse, quali:

-invio di pubblicità non richiesta (spam)
-la modifica della pagina iniziale
-modifica della lista dei Preferiti del browser
-la redirezione su falsi siti di e-commerce (phishing)
-l'installazione di dialer
 Malware: Spyware
Molti programmi offerti "gratuitamente" su Internet nascondono in
realtà uno spyware: il software dunque non è gratuito, ma viene
pagato attraverso un'invasione della privacy dell'utente

Molti software sono diffusi dichiarando esplicitamente di

contenere un componente per tracciare le abitudini dell'utente: in
questo caso siamo in presenza non di uno spyware propriamente
detto, ma di un programma rilasciato con licenza adware.

Nessuno spyware ha lo scopo di danneggiare direttamente il

sistema su cui è installato, dato che esso deve essere
funzionante per consentire la raccolta e l'invio delle informazioni,
ma gli spyware sono la principale causa di rallentamenti e
malfunzionamenti rendendo instabile un sistema non protetto

Strumenti di difesa
-patch del sistema operativo
-Firewall
-informazione
 Malware: Dialer
Un dialer è un programma per computer di pochi Kilobyte
che crea una connessione ad Internet

Non è quindi un malware in se, ma spesso lo diventa

se attiva connessioni all'insaputa dell'utente.

Oltre all'illegalità formale, spesso si aggiungono

dei “tranelli” ancora peggiori:

- sfruttano i bug dei browser per installarsi automaticamente, in

maniera analoga a trojan e spyware

- disabilitano l'altoparlante del modem

- si sostituiscono alla connessione predefinita, in modo da essere

utilizzato inconsapevolmente dall'utente ad ogni collegamento ad
Internet

- tentano inoltre di impedire la propria disinstallazione, avviando

automaticamente all'avvio un processo che provvede alla
reinstallazione qualora l'utente tenti di cancellare
Malware: Hijacker

Hijacker = "dirottare"

indica un tipo di malware che prende il controllo di un browser al

fine di modificarne la pagina iniziale o farlo accedere
automaticamente a siti indesiderati

Si manifesta spesso in concomitanza con altri Malware, come

worm, spyware o dialer.
 Malware
Rights
Autore Originale: Borgogno Piergiorgio

Releasing: Borgogno Piergiorgio Dicembre 2005

Releasing: Borgogno Piergiorgio Gennaio 2008

Formato: Open Document Presentation

Download: PPT SVF

http://www.archimedix.eu/docs/malware.odp