ANTIVIRUS: software che labora in modalità Signature Based, che scarica da server

elenco di file malevoli e l'antivirus fa la scansione di tutti i file sul sistemi

facendo confronto con file scaricati sull'elenco. Se un file è individuato è
riconosciuto come Signature, ovvero file malevolo. Il file è necessario
necessariamente dal contenuto e non dal nome del file, quindi cambiando nome al
file l'antivirus lo trova ugualmente. Questa modalità può bloccare ciò che è noto,
ovvero appartiene alla Signature List. L'altra modalità, detta Euristica, prevede
esecuzione di file sospetti in ambiente controllato (Sandbox). Questa modalità può
rilevare malware polimorfici, ovvero che cambiano comportamento ad ogni esecuzione.

ALGORITMO di HASHING: processo matematico per cui è possibile generare un messaggio

(string) di output di lunghezza costante detto DIGEST o HASH a partire da un
messaggio in input di lunghezza variabile. Le funzioni di hashing non sono
invertibili, ovvero non si può generare dall'hash al messaggio in chiaro inziale,
ovvero l'ouput è irreversibile. Input diversi hanno generalemte hash di output
diversi. L'antivirus effettua in Signature Based il confronto con un algoritmo di
hash sul file.

MALWARE ANALYSIS: L'attività di malware analysis consiste nell'analizzare un

malware al fine di studiarne il comportamento e capire come neutralizzarlo o
rimuoverlo. L'obiettivo finale è capire cosa accade con tale malware. Esistono due
metodi di analisi:
-STATICA: analisi senza eseguire il malware, cioè analizzare stringhe ashii, utile
come analisi inziale. Si può anche capire quale compilatore ha generato
l'eseguibile. Tuttavia non è sufficiente.
-DINAMICA: analisi mediante esecuzione in sistema controllato, ovvero SANDBOX.

SPAM: mail indesiderate utili per vendere prodotti o rubare dati sensibili (fini
commerciali). Generalmente non ci sono link o allegati sospetti.

PHISHING: mail inviate allo scopo di rubare dati sensibili. Generalmente è

presentato un allegato (zip che contiene malware cosi che meno antivirus lo
individuano) o link. Generalmente le mail di phishing hanno errori grammaticali
dovuti alla conversione della lingua da parte di traduttore automatico. Inoltre
conviene verificare l'URL e il dominio di provenienza. Infine conviene verificare
il link al quale si richedere di fare l'accesso. Il sito
mxtoolbox.com/blacklists.aspx controlla le mail mediante domini di posta mentre
virustotal.come controlla file come indirizzi URL. Nel phishing l'attacker
inserisce nell'email gli allegati quali link di siti clonati o file (phishing kit)
e invia l'email alla vittima. La vittimia, ignara, apre l'email e accede ai link
allegati immettendo le credenziali richieste dal sito malevolo. Il sito invia le
credenziali a server compromesso C&C (command&controller). L'attacker potrà quindi
ottenere le credenziali della vittima.