LEZIONE 6

MALWARE
License for Use Information
The following lessons and workbooks are open and publicly available under the following terms and
conditions of ISECOM:
ll works in the !acker !ighschool pro"ect are provided for non#commercial use with elementary school
students$ "unior high school students$ and high school students whether in a public institution$ private
institution$ or a part of home#schooling% These materials may not be reproduced for sale in any form%
The provision of any class$ course$ training$ or camp with these materials for which a fee is charged is
e&pressly forbidden without a license including college classes$ university classes$ trade#school classes$
summer or computer camps$ and similar% To purchase a license$ visit the 'ICE(SE section of the !acker
!ighschool web page at www%hackerhighschool%org)license%
The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence of the
instructor and not the tool% ISECOM cannot accept responsibility for how any information herein is
applied or abused%
The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask you support
us through the purchase of a license$ a donation$ or sponsorship%
ll works copyright ISECOM$ +,,-%
Informazioni sulla licenza duso
'e seguenti le.ioni ed il materiale per gli eserci.i /workbook0 sono materiale di tipo 1open1 e
pubblicamente disponibili$ secondo i seguenti termini e condi.ioni di ISECOM:
Tutto il materiale inerente il progetto !acker !ighschool 2 fornito esclusivamente per utili..o formativo di
tipo 3non#commerciale4 verso gli studenti delle scuole elementari$ medie e superiori ed in contesti 5uali
istitu.ioni pubbliche$ private e)o facenti parte di attivit6 del tipo 3doposcuola4%
Il materiale non pu7 essere riprodotto ai fini di vendita$ sotto nessuna forma ed in nessun modo%
'8eroga.ione di 5ualun5ue tipologia di classe$ corso$ forma.ione /anche remota0 o stage tramite
5uesto materiale a fronte del corrispondimento di tariffe o denaro 2 espressamente proibito$ se
sprovvisti di regolare licen.a$ ivi incluse classi di studenti appartenenti a college$ universit6$ trade#
schools$ campi estivi$ invernali o informatici e similari%
*er comprendere le nostre condi.ioni di utili..o ed ac5uistare una licen.a per utili..i di tipo
commerciale$ vi invitiamo a visitare la se.ione 'ICE(SE del sito web !acker !ighschool all8indiri..o
http:))www%hackerhighschool%org)license%
Il *rogetto !!S 2 uno strumento per apprendere e$ come ogni strumento di 5uesto tipo$ la chiave
formativa consiste nella capacit6 e nell9influen.a dell9istruttore$ e non nello strumento formativo% ISECOM
non pu7 accettare e)o farsi carico di responsabilit6 per il modo in cui le informa.ioni 5ui contenute
possono essere utili..ate$ applicate o abusate%
Il *rogetto !!S rappresenta uno sfor.o di una comunit6 aperta: se ritenete il nostro lavoro valido ed
utile$ vi chiediamo di supportarci attraverso l9ac5uisto di una licen.a$ una dona.ione o una
sponsori..a.ione al progetto%
Tutto il materiale e9 sotto copyright ISECOM$ +,,-

LEZIONE 6 ! MALWARE
Indice
3'icense for :se4 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Informa.ioni sulla licen.a d8uso%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%+
!anno contribuito %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%-
;%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% =
;%+ >irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;
;%+%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;
;%+%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;
;%+%+%< >irus del Settore di @oot %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;
;%+%+%+ I >irus nei Aile Eseguibili%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;
;%+%+%B I virus 3Termina e Stai Cesidente4 /TSC0%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%+%+%- I >irus *olimorfi%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%+%+%= Il Macro >irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%+%+%; Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%B I Eorm%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%B%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%B%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%B%+%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%- Cavalli di troia e Spyware%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%-%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%-%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%-%+%<%Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%=%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%=%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%=%+%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%; 'ogicbombs e Timebombs%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%;%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%;%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%;%+%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%D Contromisure%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%+ nti#>irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%B (I?S%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%- !I?S%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%= Airewalls%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <<
;%D%; Sandbo&es%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <+
;%D%;%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<+
;%F Consigli per una buona sicure..a%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <B
:lteriori approfondimenti%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <-
"
LEZIONE 6 ! MALWARE
#anno contri$uito
Simon @iles$ Computer Security Online 'td%
Him Truett$ ISECOM
*ete !er.og$ ISECOM
Marta @arcelI$ ISECOM
*er la versione in lingua italiana:
Caoul Chiesa$ ISECOM
?oriano ..ena$ centro CSS del progetto ?schola I*SI Castigliano # sti
Sophia ?anesino$ centro CSS del progetto ?schola ITIS *eano J Torino
(adia Carpi$ centro CSS del progetto ?schola ITIS *eano J Torino
Aabri.io Sensibile$ O*STKO*S Trainer$ L Mediaservice%net Srl$ Torino # ISECOM uthori.ed
Training *artner
Claudio *rono$ L Mediaservice%net Srl$ Torino J ISECOM uthori.ed Training *artner
%
LEZIONE 6 ! MALWARE
6&' Introduzione
I 3Malware4 sono programmi o parti di programmi che hanno un effetto spiacevole sulla
sicure..a del vostro computer% 'a parola vuole indicare vari termini che avrete gi6 sentito
prima$ come 3>irus4$ 3Eorm4 e 3Tro"an4 ed anche altri meno noti 5uali 3Cootkit4$
3'ogicbomb4 e 3Spyware4%
Muesta le.ione introdurr6$ definir6 e spiegher6 le varie tipologie di malware$ fornir6 esempi e
presenter6 alcune contromisure che possono essere attivate per ridurre i problemi causati dai
malware%
(
LEZIONE 6 ! MALWARE
6& )irus
6&&' Introduzione
>irus J 5uesto 2 il tipo piN comune di malware di cui le persone dovrebbero essere a
conoscen.a% Il motivo per cui 2 noto come virus$ piuttosto che altro$ 2 storica% 'a stampa
trattava le storie dei primi virus per computer allo stesso modo che gli articoli sulla diffusione
dell9I?S% llora esistevano semplici paralleli tra i due$ la propaga.ione attraverso l9intera.ione
con una parte contaminata e la 3morte4 definitiva di 5ualun5ue cosa fosse stata infettata%
?a ci7 l9idea che le persone potessero venire 3infettati4 con un virus del computer%
6&& *escrizione
I virus /o virii0 sono parti di software auto#replicanti che$ analogamente ad un virus biologico$
si attaccano ad un altro programma$ o$ nel caso di 3macro virus4$ ad un altro file% Il virus si
attiva solo 5uando il programma o il file viene eseguito o aperto% E9 proprio 5uesto che
differen.ia i virus dai worm% Se non si attiva il programma o il file$ il virus non viene eseguito e
non si propaga ulteriormente%
Ci sono molti tipi di virus$ tuttavia la forma piN comune 2 oggi il macro virus$ mentre altri$ come
i virus del settore di boot$ si trovano solo 3in cattivit64%
6&&&' )irus del +ettore di ,oot
Il settore di boot 2 stato il primo tipo di virus ad essere creato% Si nasconde nel codice all9ini.io
dei dischi di boot% Muesto significa che per infettare una macchina 2 necessario effettuare il
boot da un floppy infetto% Molto tempo fa /circa <= anni0 l9accensione di una macchina da
floppy era molto comune$ 5uindi tali virus erano molto diffusi% Muesto virus /e tutti gli altri tipi0
dovrebbe lasciare una firma rilevabile dai successivi tentativi di infe.ione$ in modo da non
infettare ripetutamente lo stesso obiettivo% E9 5uesta firma che consente agli altri software
/noti come nti#virus0 di rilevare l9infe.ione%
6&&& I )irus nei -ile Ese.ui$ili
I virus dei file eseguibili si attaccano ai file$ 5uali %e&e o %com files% lcuni virus cercano
programmi che sono parte del sistema operativo$ in modo tale che vengono eseguiti ogni
volta che il computer viene acceso aumentando la loro possibilit6 di propaga.ioni
successive$ Ci sono pochi modi per attaccare un virus ad un file eseguibile$ alcuni dei 5uali
fun.ionamo meglio di altri% 'a modalit6 piN semplice /e la meno ingegnosa 0 2 sovrascrivere la
prima parte del file eseguibile con il codice del virus% Muesto significa che il virus viene
eseguito$ ma il programma va successivamente in crashO 2$ 5uindi$ abbastan.a ovvio che ci si
trova di fronte ad un9infe.ione J specialmente se il file 2 un importante file di sistema%
6
LEZIONE 6 ! MALWARE
6&&&" I /irus 0ermina e +tai Residente 10+R2
TSC /Terminate e Stay Resident0 2 un termine del ?OS che indica una applica.ione che si
carica in memoria e successivamente vi rimane in background$ consentendo al computer di
agire normalmente in foreground% I virus piN complessi di 5uesto tipo intercettano le chiamate
di sistema e restituiscono risultati errati J altri si attaccano al comando 9dir9 e infettano ogni
applica.ione della directory listata J altri ancora terminano /o cancellano0 il software nti#
>irus installato sul sistema%
6&&&% I )irus 3olimorfi
I primi virus erano abbastan.a facili da intercettare% vevano una firma che li identificava$
contenevano un metodo per prevenire una nuova infe.ione$ o semplicemente avevano una
struttura specifica che era possibile rilevare% *oi venne il virus polimorfo% *oli J che significa
multiplo # e morfo J che significa forma% Muesti virus si modificano ogni volta che si replicano$
modificando il proprio codice$ cambiando la crittografia e generalmente rendendosi
completamente differente% Muesto ha creato un enorme problema$ poich2 istaneamente
c9erano firme molto piN piccole: alcuni dei 3migliori4 virus si ridussero ad una firma di pochi
bytes% Il problema aument7 con il rilascio di 3kit polimorfi4 da parte della comunit6 che
scriveva virus che consentirono a 5ualun5ue virus di replicarsi come polimorfo%
6&&&( Il Macro )irus
Il Macro >irus utili..a l9abilit6 che hanno molti programmi di eseguire codice% *rogrammi
come Eord and E&cel hanno una versione del linguaggio di programma.ione >isual @asic
limitata$ ma molto potente% Muesto consente l9automa.ione di opera.ioni ripetitive e la
configura.ione automatica di settaggi specifici% Muesti linguaggi di macro sono utili..ati per
allegare ai documenti codice virale che si copier6 automaticamente su altri documenti e
si propagher6% (onostante la Microsoft abbia eliminato la fun.ionalit6 di default su nuove
installa.ioni$ c92 Outlook che esegue automaticamente il codice allegato alle e#mail appena
5ueste vengono lette% Ci6 implica che i virus si possono replicare molto velocemente
inviandosi a tutti gli indiri..i di e#mail presenti nella macchina infetta%
6&&&6 Esercizi
<0 :tili..ando Internet$ cercate di trovare un esempio di ogni virus citato prima%
+0 Cercate il virus Hle.:
# 5ual 2 il suo effetto P
# il virus Hle. 2 noto come S*OOAI(Q% Cos92 lo spoofing$ e come lo usa Hle. P
# avete appena appreso che il vostro computer 2 infettato da Hle.% Cercate come
rimuoverlo%N 6 MALWARE
B0 vete appena ricevuto una e#mail con il seguente oggetto:
Sub"ect: 3Earning about your email account4%
Il corpo del documento spiega che l9uso inappropriato che avete dato della posta vi far6
perdere i privilegi di Internet e rimanda all9allegato per ulteriori dettagli% Ma voi non avete
fatto nulla di strano con la posta% Siete sospettosi P ?ovreste esserlo% Cercate 5uesta
informa.ione e determinate 5uale virus 2 attaccato a 5uesto messaggio% /iuto: Muando
ini.iate a pensare alla cola.ione J siete sulla strada giusta0%
4
LEZIONE 6 ! MALWARE
6&" I Worm
6&"&' Introduzione
I Eorm sono piN vecchi dei virus% Il primo worm venne creato molti anni prima del primo virus%
Muesto worm fece uso di un9imperfe.ione nel comando :(IR finger per bloccare la maggior
parte di Internet /che a 5uel tempo era molto piN piccola0% 'a se.ione seguente tratta 5uesti
worm%
6&"& *escrizione
:n worm 2 un programma che$ dopo essere stato avviato$ si replica sen.a alcun bisogno di
intervento umano% Si propaga da un host ad un altro$ sfruttando uno o piN servi.i sprotetti%
ttraversa una rete sen.a bisogno che un utente invii un file o un9emali infetta% 'a maggior
parte degli incidenti recenti sono stati causati da worm piuttosto che da virus%
6&"&&' Esercizi
<0 :tili..ando Internet$ cercate il primo worm che sia stato mai creato%
+0 Trovate 5uale vulnerabilit6 sfruttano i worm Code Ced e (imda per propagarsi%
5
LEZIONE 6 ! MALWARE
6&% 6a/alli di troia e +789are
6&%&' Introduzione
Il primo Cavallo di Troia /Tro"an !orse0 fu creato dai greci migliaia di anni fa /pensate al film
3Troia4 se l9avete visto0% Il concetto base 2 5uello di introdurre 5ualcosa di sgradevole nel
computer sicuro di 5ualcuno sotto la parven.a di 5ualcosa di piacevole% Muesto varia da un
trailer di un gioco$ alla e#mail che promette foto della vostra celebrit6 preferita nuda% Muesta
se.ione tratta tro"ans e spyware%
6&%& *escrizione
I Cavalli di Troia sono pe..i di software dannoso mascherato come 5ualcosa di utile o
desiderabile per far sS che vengano eseguiti% 5uesto punti gli stessi danneggiano il
computer installando una backdoor o rootkit /si veda la se.ione ;%-0$ o J anche peggio J
compongono un numero telefonico che vi coster6 molto denaro%E
Qli Spyware sono software che si installano clandestinamente$ spesso da siti web che avete
visitato% :na volta installati$ essi cercheranno informa.ioni che considerano pre.iose% Si pu7
trattare di statistiche relative alla vostra naviga.ione web o il numero della vostra carta di
credito% lcuni spyware inondano il vostro desktop con annunci%
6&%&&'&Esercizi
<0 :tili..ando Internet trovate un esempio di tro"an e di spyware%
;%= Cootkit e @ackdoors
6&(&' Introduzione
Spesso 5uando un computer 2 stato compromesso da un hacker$ 2 stato installato un
meccanismo per ottenere un facile accesso alla macchina% Ci sono molte varianti di 5uesto$
alcune delle 5ualli sono diventate abbastan.a famose J cercate su Internet 3@ack Orifice4 T
6&(& *escrizione
Cootkits e backdoors sono software che creano meccanismi per accedere ad una
macchina% >ariano dal semplice /un programma che ascolta su una porta0 al complesso
/programmi che nascondono processi in memoria$ modificano file di log e ascoltano su una
porta0% Spesso creare una backdoor 2 semplice come creare un nuovo utente con privilegi
da super#user in un file di password nella speran.a che non venga individuato% Muesto perch2
una backdoor 2 progettata per superare la normale autentica.ione di sistema% Entrambi i
virus Sobig e My?oom installano back doors%
:
LEZIONE 6 ! MALWARE
6&(&&' Esercizi
<0 Trovate su Internet esempi di rootkits e backdoors%
+0 Cercate 3@ack Orifice4 e confrontate le sue fun.ionalit6 confrontandolo con i prodotti
commerciali disponibili per la gestione di sistemi remoti della Microsoft%
6&6 Lo.ic$om$s e 0ime$om$s
6&6&' Introduzione
I programmatori e amministratori di sistema possono essere persone abbastan.a strane%
Spesso impostano su un sistema delle a.ioni che vengono intraprese al verificarsi di
determinati eventi% d esempio: pu7 essere creato un programma che$ nel caso in cui
l9amministratore fallisca il login per piN di B volte$ ini.i a cancellare a caso bit di dati dal disco%
Muesto 2 successo in un caso molto noto che ha coinvolto una societ6 chiamata Qeneral
?ynamics nel <GG+% :n sistemista cre7 una logicbomb in grado di cancellare dati critici e che
era programmata per essere attivata dopo che egli fosse stato licen.iato% Egli si aspettava
che la societ6 gli pagasse una conspicua 5uantit6 di denaro per ritornare e risolvere il
problema% Tuttavia$ un altro programmatore trov7 la logic bomb prima che si licen.iasse$ fu
accusato di un crimine e condannato a pagare U=$,,, :S dollari% Il giudice fu clemente J la
pena avrebbe potuto essere U=,,$,,, :S dollari$ piN un periodo di reclusione%
6&6& *escrizione
'ogicbombs e Timebombs sono programmi che non hanno la capacit6 di replicarsi n2 di
creare un meccanismo di accesso$ ma sono applica.ioni o parti di applica.ioni che causano
danni ai dati 5uando attivati% *ossono essere stand#alone$ o parte di worms o viruses% 'e
Timebombs sono programmate per causare danni ad un9ora prefissata% 'e 'ogicbombs sono
programmate per causare danni 5uando si verifica un certo evento% '9idea dietro i
timebombs$ tuttavia$ 2 anche una utile% ?opo un certo periodo dall9installa.ione J
generalmente B, giorni # il programma cessa la propria fun.ione a meno che venga fornito
un codice di registra.ione% Muesto 2 un esempio di programma.ione di timebomb non
dannoso%
6&6&&' Esercizi
<0 Muali altri usi ragionevoli /e legali0 possono avere i codici timebomb and logicbombP
+0 *ensate a come potete rilevare tali programmi sul vostro sistema%
';
LEZIONE 6 ! MALWARE
6&4 6ontromisure
6&4&' Introduzione
Ci sono molti modi con cui potete rilevare$ rimuoveree preveniire software dannosi% lcuni di
essi sono il senso comune$ altri sono alternative tecnologiche% 'a se.ione seguente eviden.ia
alcune di 5ueste$ con una breve spiega.ione e esempi%
6&4& Anti<)irus
I software nti#>irus sono disponibili in molte versioni commerciali e Open Source% Tutti 5uesti
agiscono seguendo lo stesso metodo% Ognuno di essi ha un database con i virus noti e
confronta le firme di 5uesti con 5uelli del sistema per vedere se ci sono infe.ioni% Spesso
tuttavia$ con i virus moderni$ 5ueste firme sono molto piccole e ci posso spesso essere falsi
positivi J cose che sembrano virus ma non lo sono% lcuni scanner di virus utili..ano una
tecnica nota come euristica: sanno a cosa assomiglia il virus e determinano se
un9applica.ione sconosciuta corrisponde a 5uesti criteri% I recenti software nti>irus si sono
trasformati in !ost @ased Intrusion ?etection$ mantenendo una lista di files e checksums per
aumentare la velocit6 della scansione%
6&4&" NI*+
:n Network intrusion Detection 2 simile al software nti>irus% Cerca una firma particolare o il
comportamento da worm o virus% *u7 o allertare l9utente o fermare automaticamente il
traffico di rete che trasporta il software dannoso%
6&4&% #I*+
Qli Host based Intrusion Detection Systems$ come Tripwire$ sono in grado di rilevare i
cambiamenti effettuati ai file% E9 ragionevole aspettarsi che un9applica.ione$ una volta
compilata$ non abbia necessit6 di cambiare$ cosS la esaminano /la sua dimensione$ la data
dell9ultima modifica e la checksum0 eviden.iando immediatamente che 5ualcosa 2
sbagliato%
6&4&( -ire9alls
I Eorms si propagano attraverso la rete connettendosi ai servi.i vulnerabili sui vari host%
Oltre ad assicurare che nessuno di 5uesti servi.i vulnerabili sia in esecu.ione$ la successiva
cosa da fare 2 assicurare che il vostro firewall non consenta connessioni a 5uesti servi.i% Molti
firewall moderni forniscono una forma di filtraggio dei pacchetti simile ai (I?S che elimina i
pacchetti che corrispondono ad una certa firma%
''
LEZIONE 6 ! MALWARE
6&4&6 +and$o=es
Il concetto di una sandbo& 2 semplice% 'a vostra applica.ione ha il suo piccolo mondo in cui
agire e non pu7 fare nulla al resto del computer% E9 implementato nel linguaggio di
programma.ione Vava e pu7 anche essere implementato attraverso altre fun.ioni come
chroot in 'inu&% Muesto restringe il danno che ogni malware pu7 fare ad un sistema operativo
semplicemente negandoglli l9accesso richiesto% :n9altra op.ione 2 far eseguire una macchina
completa all9interno di un9altra macchina utili..ando un prodotto che crea macchine virtuali
come >MEare% Muesto isola la macchina virtuale dal sistema operativo consentendo
l9accesso solo come definito dalll9utente%
Esempio http:))www%vmware%com J >MEare virtual machines
6&4&6&' Esercizi
<% Matching Qame: cercate ognuno dei seguenti e e associateli al corretto tipo di
contromisua:
<% http:))www%vmware%com (I?S
+% http:))www%tripwire%org ntivirus
B% http:))www%snort%org Airewalls
-% http:))www%checkpoint%com Sandbo&es
=% http:))www%sophos%com !I?S
+% Cercate Search and ?estroy e determinate da che tipo di malware protegge il vostro
computer
B% Cercate come fun.ionano (I?S and !I?S
-% Cercate solu.ioni Airewall in rete
=% cercate 3chroot4 su internet% 'eggete circa 5uesto tipo di 3"ail4 o 3sandbo&4%
'
LEZIONE 6 ! MALWARE
6&5 6onsi.li 7er una $uona sicurezza
Ci sono alcune semplici cose che potete fare per minimi..are il vostro rischio di Malware%
solo il download da sorgenti affidabili / ci7 significa non E-CBW$ perfavore 0
non aprite allegati di e#mail provenineti da persone che non conoscete
non lasciate macro abilitate di default nelle vostre applica.ioni
tenete il vostro sistema operativo e le applica.ioni aggiornate
effettuate il download e l9 installa.ione di software con una checksum J verificate la
checksum%
'"
LEZIONE 6 ! MALWARE
Ulteriori a77rofondimenti
> >endor Sites
http:))www%sophos%com
http:))www%symantec%com
http:))www%fsecure%com
Tutti 5uesti siti contengono liste dettagliate dei tro"ans$ viruses ed altri malware% Trovate anche
descri.ioni dettagliate delle suddette fun.ionalit6%
http:))www%cess%org)adware%htm
http:))www%microsoft%com)technet)security)topics)virus)malware%msp&
http:))www%.eltser%com)sans)gcih#practical)revmalw%html
http:))www%securityfocus%com)infocus)<;;;
http:))www%spywareguide%com)
http:))www%brettglass%com)spam)paper%html
http:))www%lavasoft%nu) # dware Cleaning Software /Areeware >ersion0
http:))www%claymania%com)removal#tools#vendors%html
http:))www%io%com)Xcwagner)spyware%html
http:))www%bo+k%com)
http:))www%sans%org)rr)catinde&%phpPcatYidZB;
'%
LEZIONE 6 ! MALWARE