Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
MALWARE
License for Use Information
The following lessons and workbooks are open and publicly available under the following terms and
conditions of ISECOM:
ll works in the !acker !ighschool pro"ect are provided for non#commercial use with elementary school
students$ "unior high school students$ and high school students whether in a public institution$ private
institution$ or a part of home#schooling% These materials may not be reproduced for sale in any form%
The provision of any class$ course$ training$ or camp with these materials for which a fee is charged is
e&pressly forbidden without a license including college classes$ university classes$ trade#school classes$
summer or computer camps$ and similar% To purchase a license$ visit the 'ICE(SE section of the !acker
!ighschool web page at www%hackerhighschool%org)license%
The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence of the
instructor and not the tool% ISECOM cannot accept responsibility for how any information herein is
applied or abused%
The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask you support
us through the purchase of a license$ a donation$ or sponsorship%
ll works copyright ISECOM$ +,,-%
Informazioni sulla licenza duso
'e seguenti le.ioni ed il materiale per gli eserci.i /workbook0 sono materiale di tipo 1open1 e
pubblicamente disponibili$ secondo i seguenti termini e condi.ioni di ISECOM:
Tutto il materiale inerente il progetto !acker !ighschool 2 fornito esclusivamente per utili..o formativo di
tipo 3non#commerciale4 verso gli studenti delle scuole elementari$ medie e superiori ed in contesti 5uali
istitu.ioni pubbliche$ private e)o facenti parte di attivit6 del tipo 3doposcuola4%
Il materiale non pu7 essere riprodotto ai fini di vendita$ sotto nessuna forma ed in nessun modo%
'8eroga.ione di 5ualun5ue tipologia di classe$ corso$ forma.ione /anche remota0 o stage tramite
5uesto materiale a fronte del corrispondimento di tariffe o denaro 2 espressamente proibito$ se
sprovvisti di regolare licen.a$ ivi incluse classi di studenti appartenenti a college$ universit6$ trade#
schools$ campi estivi$ invernali o informatici e similari%
*er comprendere le nostre condi.ioni di utili..o ed ac5uistare una licen.a per utili..i di tipo
commerciale$ vi invitiamo a visitare la se.ione 'ICE(SE del sito web !acker !ighschool all8indiri..o
http:))www%hackerhighschool%org)license%
Il *rogetto !!S 2 uno strumento per apprendere e$ come ogni strumento di 5uesto tipo$ la chiave
formativa consiste nella capacit6 e nell9influen.a dell9istruttore$ e non nello strumento formativo% ISECOM
non pu7 accettare e)o farsi carico di responsabilit6 per il modo in cui le informa.ioni 5ui contenute
possono essere utili..ate$ applicate o abusate%
Il *rogetto !!S rappresenta uno sfor.o di una comunit6 aperta: se ritenete il nostro lavoro valido ed
utile$ vi chiediamo di supportarci attraverso l9ac5uisto di una licen.a$ una dona.ione o una
sponsori..a.ione al progetto%
Tutto il materiale e9 sotto copyright ISECOM$ +,,-
LEZIONE 6 ! MALWARE
Indice
3'icense for :se4 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Informa.ioni sulla licen.a d8uso%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%+
!anno contribuito %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%-
;%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% =
;%+ >irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;
;%+%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;
;%+%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;
;%+%+%< >irus del Settore di @oot %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;
;%+%+%+ I >irus nei Aile Eseguibili%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;
;%+%+%B I virus 3Termina e Stai Cesidente4 /TSC0%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%+%+%- I >irus *olimorfi%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%+%+%= Il Macro >irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%+%+%; Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
;%B I Eorm%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%B%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%B%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%B%+%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%F
;%- Cavalli di troia e Spyware%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%-%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%-%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%-%+%<%Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%=%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%=%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%G
;%=%+%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%; 'ogicbombs e Timebombs%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%;%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%;%+ ?escri.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%;%+%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<,
;%D Contromisure%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%< Introdu.ione%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%+ nti#>irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%B (I?S%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%- !I?S%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<<
;%D%= Airewalls%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <<
;%D%; Sandbo&es%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <+
;%D%;%< Eserci.i%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%<+
;%F Consigli per una buona sicure..a%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <B
:lteriori approfondimenti%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% <-
"
LEZIONE 6 ! MALWARE
#anno contri$uito
Simon @iles$ Computer Security Online 'td%
Him Truett$ ISECOM
*ete !er.og$ ISECOM
Marta @arcelI$ ISECOM
*er la versione in lingua italiana:
Caoul Chiesa$ ISECOM
?oriano ..ena$ centro CSS del progetto ?schola I*SI Castigliano # sti
Sophia ?anesino$ centro CSS del progetto ?schola ITIS *eano J Torino
(adia Carpi$ centro CSS del progetto ?schola ITIS *eano J Torino
Aabri.io Sensibile$ O*STKO*S Trainer$ L Mediaservice%net Srl$ Torino # ISECOM uthori.ed
Training *artner
Claudio *rono$ L Mediaservice%net Srl$ Torino J ISECOM uthori.ed Training *artner
%
LEZIONE 6 ! MALWARE
6&' Introduzione
I 3Malware4 sono programmi o parti di programmi che hanno un effetto spiacevole sulla
sicure..a del vostro computer% 'a parola vuole indicare vari termini che avrete gi6 sentito
prima$ come 3>irus4$ 3Eorm4 e 3Tro"an4 ed anche altri meno noti 5uali 3Cootkit4$
3'ogicbomb4 e 3Spyware4%
Muesta le.ione introdurr6$ definir6 e spiegher6 le varie tipologie di malware$ fornir6 esempi e
presenter6 alcune contromisure che possono essere attivate per ridurre i problemi causati dai
malware%
(
LEZIONE 6 ! MALWARE
6& )irus
6&&' Introduzione
>irus J 5uesto 2 il tipo piN comune di malware di cui le persone dovrebbero essere a
conoscen.a% Il motivo per cui 2 noto come virus$ piuttosto che altro$ 2 storica% 'a stampa
trattava le storie dei primi virus per computer allo stesso modo che gli articoli sulla diffusione
dell9I?S% llora esistevano semplici paralleli tra i due$ la propaga.ione attraverso l9intera.ione
con una parte contaminata e la 3morte4 definitiva di 5ualun5ue cosa fosse stata infettata%
?a ci7 l9idea che le persone potessero venire 3infettati4 con un virus del computer%
6&& *escrizione
I virus /o virii0 sono parti di software auto#replicanti che$ analogamente ad un virus biologico$
si attaccano ad un altro programma$ o$ nel caso di 3macro virus4$ ad un altro file% Il virus si
attiva solo 5uando il programma o il file viene eseguito o aperto% E9 proprio 5uesto che
differen.ia i virus dai worm% Se non si attiva il programma o il file$ il virus non viene eseguito e
non si propaga ulteriormente%
Ci sono molti tipi di virus$ tuttavia la forma piN comune 2 oggi il macro virus$ mentre altri$ come
i virus del settore di boot$ si trovano solo 3in cattivit64%
6&&&' )irus del +ettore di ,oot
Il settore di boot 2 stato il primo tipo di virus ad essere creato% Si nasconde nel codice all9ini.io
dei dischi di boot% Muesto significa che per infettare una macchina 2 necessario effettuare il
boot da un floppy infetto% Molto tempo fa /circa <= anni0 l9accensione di una macchina da
floppy era molto comune$ 5uindi tali virus erano molto diffusi% Muesto virus /e tutti gli altri tipi0
dovrebbe lasciare una firma rilevabile dai successivi tentativi di infe.ione$ in modo da non
infettare ripetutamente lo stesso obiettivo% E9 5uesta firma che consente agli altri software
/noti come nti#virus0 di rilevare l9infe.ione%
6&&& I )irus nei -ile Ese.ui$ili
I virus dei file eseguibili si attaccano ai file$ 5uali %e&e o %com files% lcuni virus cercano
programmi che sono parte del sistema operativo$ in modo tale che vengono eseguiti ogni
volta che il computer viene acceso aumentando la loro possibilit6 di propaga.ioni
successive$ Ci sono pochi modi per attaccare un virus ad un file eseguibile$ alcuni dei 5uali
fun.ionamo meglio di altri% 'a modalit6 piN semplice /e la meno ingegnosa 0 2 sovrascrivere la
prima parte del file eseguibile con il codice del virus% Muesto significa che il virus viene
eseguito$ ma il programma va successivamente in crashO 2$ 5uindi$ abbastan.a ovvio che ci si
trova di fronte ad un9infe.ione J specialmente se il file 2 un importante file di sistema%
6
LEZIONE 6 ! MALWARE
6&&&" I /irus 0ermina e +tai Residente 10+R2
TSC /Terminate e Stay Resident0 2 un termine del ?OS che indica una applica.ione che si
carica in memoria e successivamente vi rimane in background$ consentendo al computer di
agire normalmente in foreground% I virus piN complessi di 5uesto tipo intercettano le chiamate
di sistema e restituiscono risultati errati J altri si attaccano al comando 9dir9 e infettano ogni
applica.ione della directory listata J altri ancora terminano /o cancellano0 il software nti#
>irus installato sul sistema%
6&&&% I )irus 3olimorfi
I primi virus erano abbastan.a facili da intercettare% vevano una firma che li identificava$
contenevano un metodo per prevenire una nuova infe.ione$ o semplicemente avevano una
struttura specifica che era possibile rilevare% *oi venne il virus polimorfo% *oli J che significa
multiplo # e morfo J che significa forma% Muesti virus si modificano ogni volta che si replicano$
modificando il proprio codice$ cambiando la crittografia e generalmente rendendosi
completamente differente% Muesto ha creato un enorme problema$ poich2 istaneamente
c9erano firme molto piN piccole: alcuni dei 3migliori4 virus si ridussero ad una firma di pochi
bytes% Il problema aument7 con il rilascio di 3kit polimorfi4 da parte della comunit6 che
scriveva virus che consentirono a 5ualun5ue virus di replicarsi come polimorfo%
6&&&( Il Macro )irus
Il Macro >irus utili..a l9abilit6 che hanno molti programmi di eseguire codice% *rogrammi
come Eord and E&cel hanno una versione del linguaggio di programma.ione >isual @asic
limitata$ ma molto potente% Muesto consente l9automa.ione di opera.ioni ripetitive e la
configura.ione automatica di settaggi specifici% Muesti linguaggi di macro sono utili..ati per
allegare ai documenti codice virale che si copier6 automaticamente su altri documenti e
si propagher6% (onostante la Microsoft abbia eliminato la fun.ionalit6 di default su nuove
installa.ioni$ c92 Outlook che esegue automaticamente il codice allegato alle e#mail appena
5ueste vengono lette% Ci6 implica che i virus si possono replicare molto velocemente
inviandosi a tutti gli indiri..i di e#mail presenti nella macchina infetta%
6&&&6 Esercizi
<0 :tili..ando Internet$ cercate di trovare un esempio di ogni virus citato prima%
+0 Cercate il virus Hle.:
# 5ual 2 il suo effetto P
# il virus Hle. 2 noto come S*OOAI(Q% Cos92 lo spoofing$ e come lo usa Hle. P
# avete appena appreso che il vostro computer 2 infettato da Hle.% Cercate come
rimuoverlo%N 6 MALWARE
B0 vete appena ricevuto una e#mail con il seguente oggetto:
Sub"ect: 3Earning about your email account4%
Il corpo del documento spiega che l9uso inappropriato che avete dato della posta vi far6
perdere i privilegi di Internet e rimanda all9allegato per ulteriori dettagli% Ma voi non avete
fatto nulla di strano con la posta% Siete sospettosi P ?ovreste esserlo% Cercate 5uesta
informa.ione e determinate 5uale virus 2 attaccato a 5uesto messaggio% /iuto: Muando
ini.iate a pensare alla cola.ione J siete sulla strada giusta0%
4
LEZIONE 6 ! MALWARE
6&" I Worm
6&"&' Introduzione
I Eorm sono piN vecchi dei virus% Il primo worm venne creato molti anni prima del primo virus%
Muesto worm fece uso di un9imperfe.ione nel comando :(IR finger per bloccare la maggior
parte di Internet /che a 5uel tempo era molto piN piccola0% 'a se.ione seguente tratta 5uesti
worm%
6&"& *escrizione
:n worm 2 un programma che$ dopo essere stato avviato$ si replica sen.a alcun bisogno di
intervento umano% Si propaga da un host ad un altro$ sfruttando uno o piN servi.i sprotetti%
ttraversa una rete sen.a bisogno che un utente invii un file o un9emali infetta% 'a maggior
parte degli incidenti recenti sono stati causati da worm piuttosto che da virus%
6&"&&' Esercizi
<0 :tili..ando Internet$ cercate il primo worm che sia stato mai creato%
+0 Trovate 5uale vulnerabilit6 sfruttano i worm Code Ced e (imda per propagarsi%
5
LEZIONE 6 ! MALWARE
6&% 6a/alli di troia e +789are
6&%&' Introduzione
Il primo Cavallo di Troia /Tro"an !orse0 fu creato dai greci migliaia di anni fa /pensate al film
3Troia4 se l9avete visto0% Il concetto base 2 5uello di introdurre 5ualcosa di sgradevole nel
computer sicuro di 5ualcuno sotto la parven.a di 5ualcosa di piacevole% Muesto varia da un
trailer di un gioco$ alla e#mail che promette foto della vostra celebrit6 preferita nuda% Muesta
se.ione tratta tro"ans e spyware%
6&%& *escrizione
I Cavalli di Troia sono pe..i di software dannoso mascherato come 5ualcosa di utile o
desiderabile per far sS che vengano eseguiti% 5uesto punti gli stessi danneggiano il
computer installando una backdoor o rootkit /si veda la se.ione ;%-0$ o J anche peggio J
compongono un numero telefonico che vi coster6 molto denaro%E
Qli Spyware sono software che si installano clandestinamente$ spesso da siti web che avete
visitato% :na volta installati$ essi cercheranno informa.ioni che considerano pre.iose% Si pu7
trattare di statistiche relative alla vostra naviga.ione web o il numero della vostra carta di
credito% lcuni spyware inondano il vostro desktop con annunci%
6&%&&'&Esercizi
<0 :tili..ando Internet trovate un esempio di tro"an e di spyware%
;%= Cootkit e @ackdoors
6&(&' Introduzione
Spesso 5uando un computer 2 stato compromesso da un hacker$ 2 stato installato un
meccanismo per ottenere un facile accesso alla macchina% Ci sono molte varianti di 5uesto$
alcune delle 5ualli sono diventate abbastan.a famose J cercate su Internet 3@ack Orifice4 T
6&(& *escrizione
Cootkits e backdoors sono software che creano meccanismi per accedere ad una
macchina% >ariano dal semplice /un programma che ascolta su una porta0 al complesso
/programmi che nascondono processi in memoria$ modificano file di log e ascoltano su una
porta0% Spesso creare una backdoor 2 semplice come creare un nuovo utente con privilegi
da super#user in un file di password nella speran.a che non venga individuato% Muesto perch2
una backdoor 2 progettata per superare la normale autentica.ione di sistema% Entrambi i
virus Sobig e My?oom installano back doors%
:
LEZIONE 6 ! MALWARE
6&(&&' Esercizi
<0 Trovate su Internet esempi di rootkits e backdoors%
+0 Cercate 3@ack Orifice4 e confrontate le sue fun.ionalit6 confrontandolo con i prodotti
commerciali disponibili per la gestione di sistemi remoti della Microsoft%
6&6 Lo.ic$om$s e 0ime$om$s
6&6&' Introduzione
I programmatori e amministratori di sistema possono essere persone abbastan.a strane%
Spesso impostano su un sistema delle a.ioni che vengono intraprese al verificarsi di
determinati eventi% d esempio: pu7 essere creato un programma che$ nel caso in cui
l9amministratore fallisca il login per piN di B volte$ ini.i a cancellare a caso bit di dati dal disco%
Muesto 2 successo in un caso molto noto che ha coinvolto una societ6 chiamata Qeneral
?ynamics nel <GG+% :n sistemista cre7 una logicbomb in grado di cancellare dati critici e che
era programmata per essere attivata dopo che egli fosse stato licen.iato% Egli si aspettava
che la societ6 gli pagasse una conspicua 5uantit6 di denaro per ritornare e risolvere il
problema% Tuttavia$ un altro programmatore trov7 la logic bomb prima che si licen.iasse$ fu
accusato di un crimine e condannato a pagare U=$,,, :S dollari% Il giudice fu clemente J la
pena avrebbe potuto essere U=,,$,,, :S dollari$ piN un periodo di reclusione%
6&6& *escrizione
'ogicbombs e Timebombs sono programmi che non hanno la capacit6 di replicarsi n2 di
creare un meccanismo di accesso$ ma sono applica.ioni o parti di applica.ioni che causano
danni ai dati 5uando attivati% *ossono essere stand#alone$ o parte di worms o viruses% 'e
Timebombs sono programmate per causare danni ad un9ora prefissata% 'e 'ogicbombs sono
programmate per causare danni 5uando si verifica un certo evento% '9idea dietro i
timebombs$ tuttavia$ 2 anche una utile% ?opo un certo periodo dall9installa.ione J
generalmente B, giorni # il programma cessa la propria fun.ione a meno che venga fornito
un codice di registra.ione% Muesto 2 un esempio di programma.ione di timebomb non
dannoso%
6&6&&' Esercizi
<0 Muali altri usi ragionevoli /e legali0 possono avere i codici timebomb and logicbombP
+0 *ensate a come potete rilevare tali programmi sul vostro sistema%
';
LEZIONE 6 ! MALWARE
6&4 6ontromisure
6&4&' Introduzione
Ci sono molti modi con cui potete rilevare$ rimuoveree preveniire software dannosi% lcuni di
essi sono il senso comune$ altri sono alternative tecnologiche% 'a se.ione seguente eviden.ia
alcune di 5ueste$ con una breve spiega.ione e esempi%
6&4& Anti<)irus
I software nti#>irus sono disponibili in molte versioni commerciali e Open Source% Tutti 5uesti
agiscono seguendo lo stesso metodo% Ognuno di essi ha un database con i virus noti e
confronta le firme di 5uesti con 5uelli del sistema per vedere se ci sono infe.ioni% Spesso
tuttavia$ con i virus moderni$ 5ueste firme sono molto piccole e ci posso spesso essere falsi
positivi J cose che sembrano virus ma non lo sono% lcuni scanner di virus utili..ano una
tecnica nota come euristica: sanno a cosa assomiglia il virus e determinano se
un9applica.ione sconosciuta corrisponde a 5uesti criteri% I recenti software nti>irus si sono
trasformati in !ost @ased Intrusion ?etection$ mantenendo una lista di files e checksums per
aumentare la velocit6 della scansione%
6&4&" NI*+
:n Network intrusion Detection 2 simile al software nti>irus% Cerca una firma particolare o il
comportamento da worm o virus% *u7 o allertare l9utente o fermare automaticamente il
traffico di rete che trasporta il software dannoso%
6&4&% #I*+
Qli Host based Intrusion Detection Systems$ come Tripwire$ sono in grado di rilevare i
cambiamenti effettuati ai file% E9 ragionevole aspettarsi che un9applica.ione$ una volta
compilata$ non abbia necessit6 di cambiare$ cosS la esaminano /la sua dimensione$ la data
dell9ultima modifica e la checksum0 eviden.iando immediatamente che 5ualcosa 2
sbagliato%
6&4&( -ire9alls
I Eorms si propagano attraverso la rete connettendosi ai servi.i vulnerabili sui vari host%
Oltre ad assicurare che nessuno di 5uesti servi.i vulnerabili sia in esecu.ione$ la successiva
cosa da fare 2 assicurare che il vostro firewall non consenta connessioni a 5uesti servi.i% Molti
firewall moderni forniscono una forma di filtraggio dei pacchetti simile ai (I?S che elimina i
pacchetti che corrispondono ad una certa firma%
''
LEZIONE 6 ! MALWARE
6&4&6 +and$o=es
Il concetto di una sandbo& 2 semplice% 'a vostra applica.ione ha il suo piccolo mondo in cui
agire e non pu7 fare nulla al resto del computer% E9 implementato nel linguaggio di
programma.ione Vava e pu7 anche essere implementato attraverso altre fun.ioni come
chroot in 'inu&% Muesto restringe il danno che ogni malware pu7 fare ad un sistema operativo
semplicemente negandoglli l9accesso richiesto% :n9altra op.ione 2 far eseguire una macchina
completa all9interno di un9altra macchina utili..ando un prodotto che crea macchine virtuali
come >MEare% Muesto isola la macchina virtuale dal sistema operativo consentendo
l9accesso solo come definito dalll9utente%
Esempio http:))www%vmware%com J >MEare virtual machines
6&4&6&' Esercizi
<% Matching Qame: cercate ognuno dei seguenti e e associateli al corretto tipo di
contromisua:
<% http:))www%vmware%com (I?S
+% http:))www%tripwire%org ntivirus
B% http:))www%snort%org Airewalls
-% http:))www%checkpoint%com Sandbo&es
=% http:))www%sophos%com !I?S
+% Cercate Search and ?estroy e determinate da che tipo di malware protegge il vostro
computer
B% Cercate come fun.ionano (I?S and !I?S
-% Cercate solu.ioni Airewall in rete
=% cercate 3chroot4 su internet% 'eggete circa 5uesto tipo di 3"ail4 o 3sandbo&4%
'
LEZIONE 6 ! MALWARE
6&5 6onsi.li 7er una $uona sicurezza
Ci sono alcune semplici cose che potete fare per minimi..are il vostro rischio di Malware%
solo il download da sorgenti affidabili / ci7 significa non E-CBW$ perfavore 0
non aprite allegati di e#mail provenineti da persone che non conoscete
non lasciate macro abilitate di default nelle vostre applica.ioni
tenete il vostro sistema operativo e le applica.ioni aggiornate
effettuate il download e l9 installa.ione di software con una checksum J verificate la
checksum%
'"
LEZIONE 6 ! MALWARE
Ulteriori a77rofondimenti
> >endor Sites
http:))www%sophos%com
http:))www%symantec%com
http:))www%fsecure%com
Tutti 5uesti siti contengono liste dettagliate dei tro"ans$ viruses ed altri malware% Trovate anche
descri.ioni dettagliate delle suddette fun.ionalit6%
http:))www%cess%org)adware%htm
http:))www%microsoft%com)technet)security)topics)virus)malware%msp&
http:))www%.eltser%com)sans)gcih#practical)revmalw%html
http:))www%securityfocus%com)infocus)<;;;
http:))www%spywareguide%com)
http:))www%brettglass%com)spam)paper%html
http:))www%lavasoft%nu) # dware Cleaning Software /Areeware >ersion0
http:))www%claymania%com)removal#tools#vendors%html
http:))www%io%com)Xcwagner)spyware%html
http:))www%bo+k%com)
http:))www%sans%org)rr)catinde&%phpPcatYidZB;
'%
LEZIONE 6 ! MALWARE