Condividi:        

Come bloccare il codice nascosto nelle e-mail???

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 27/11/03 16:10

Mi proporrei d mettere io l'immagine sul mio spazio web dopo aver ricevuto l'immagine x mail, ma ad un tipo cn "amici" così, ki si fida a dargli l'indirizzo????? :lol: :lol: :lol: :lol: :lol:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi BianConiglio » 27/11/03 16:13

per non parlare del codice eseguibile nelle immagini :D

cmq uscire da una lan con un trojan è facile..basta far colelgare il server ad un dns che punta a te....e rendere il controllo client-server in modo inverso...è il server che si collega al client e sta in listening per i comandi ( l'ha fatto il mio amico read101........si chiama lanfiltrator, è stato il primo ma non è un comportamente difficile da emulare )

dai la prox mail TIENILA e postaci corpo e header... ;) almeno li si che potremmo dirti qualcosa... dati alla mano
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi maxi » 27/11/03 19:19

x le mail .. ce ne scambimao almeno 40/50 al gg .. x altri ns motivi (nn pensate male :-) .. capisci che è molto difficile .. dopo 1 settimana il check di 200 mail

no lui lavora in casa .. ma nn è esperto di pc .. fa altra roba
la console l'ha avuta da un suo amico che invece è del campo ed è uno che la sa molto lunga .. come potete vedere dagli argomenti sopra esposti

le immagini avevo fatto uno statnet -an
che dava molte diffrenze di porte aperte con cavo lan staccato dal pc
e l'altra mentre la console esterna era attiva

domani con calma vedo di capire come caricare le immagini sul web .. se riesco.. e linkarle
ps.. che scomodo sto fatto di non poter incollare immagini
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18

Tanto per chiarire le idee a Maxi

Postdi marlon » 28/11/03 15:57

Ciao.

Solo alcune annotazioni che, spero, possano aiutare Maxi a capirne un po' di più.

Si è detto che in un'immagine (una VERA immagine, senza estensioni "multiple") non si può annidare un virus o del generico "malicious code".

L'affermazione mi trova sostanzialmente d'accordo.

Il fatto è che spesso le immagini che OE mostra (nell'anteprima o una volta cliccato sul messaggio è lo stesso), NON SONO DEGLI ALLEGATI bensì dei "rimandi automatizzati in HTML" verso una apposita pagina su di un sito Internet.
Essa contiene l'immagine e, volendo, può contenere anche il "codice maligno" che creai i problemi descritti.

E' abbastanza evidente che, se nel messaggio viene inserito uno di questi "rimandi" (quindi NON il codice ma solo l'indirizzamento automatico alla pagina che lo contiene), l'AntiVirus possa essere bellamente gabbato: fa passare il messaggio come "pulito e sicuro" mentre così non è...

Non sto dicendo che tutti gli AntiVirus risultano inefficienti in queste specifiche condizioni, dipende da come sono scritti e settati, sto solo provando a spiegare il "cosa succede se".


Tornando a noi.

Se esiste un "automatismo" all'interno della mail, esso può avviarsi solo una volta che la mail stessa viene aperta o pre-visualizzata.
Ma per agire ha necessità che il "codice si attivi".

Impostando per default la lettura dei messaggi in formato testo, anche in presenza di codice all'interno del testo, questo rimane inattivo.
Viene "letto e non interpretato".

Se leggo d'abitudine la posta in HTML, invece, mi espongo a tanti rischi.

Oltretutto, dato che l'HTML gestisce gli attributi di testo (dimensione e colore del carattere e dello sfondo), è tranquillamente possibile che una mail che appare vuota, in realtà contenga ogni genere di nefandezza.

un grosso ciao...
...BIANCO SU FONDO BIANCO :-p


Qui sopra ho scritto due righe nascoste, così rendo l'idea (selezionando il testo potete leggerle).

Insomma, Maxi, imposta OE per la lettura dei messaggi in formato testo e quando riceverai una mail dal tuo "nemico", rispedisci sul forum col Copia&Incolla quel che leggi nella finestra delle proprietà.
In pratica ti posizioni sulla riga di OE che contiene il messaggio, premi il tasto DESTRO del mouse e clicci su "PROPRIETA'".
Poi selezioni la linguetta "dettagli" e premi il pulsante che, nella mia versione inglese, dice "Message Source".

Ti si aprirà una finestra con quel che serve.


Riguardo al FireWall.

A mio modo di vedere non risolve né aiuta a risolve QUESTO tipo di problemi.

Al più, se ben configurato, potrà evitare che un eventuale codice maligno possa raggiungere l'esterno, tramite porte o metodi non convenzionali.

Se anche potesse qualcosa, comunque, potrebbe poco nel caso l'attaccante fosse all'interno della LAN.

Saluti a tutti.

Marlon
marlon
Utente Senior
 
Post: 190
Iscritto il: 27/05/03 10:08
Località: PO

Che scherzi fate!

Postdi marlon » 28/11/03 16:04

Che scherzi da prete, però!

Perché non mi avete messo lo sfondo non era bianco?
Così il trucchetto lo si sgama subito...

:lol: :lol: :lol:

Marlon :(
marlon
Utente Senior
 
Post: 190
Iscritto il: 27/05/03 10:08
Località: PO

Postdi Plettro » 01/12/03 20:42

Allora?
Non si sà più nulla di questo codice milionario e misterioso?
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi BianConiglio » 01/12/03 20:57

si è autodistrutto :D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Plettro » 02/12/03 02:16

E già, tiriamo tutti un sospirone di sollievo.
Plettro
Utente Senior
 
Post: 259
Iscritto il: 19/01/03 20:21
Località: Guitar World

Postdi maxi » 11/12/03 15:27

.. solo voi sospirate .. io sono morto di asfissia :-(
maxi
Utente Senior
 
Post: 219
Iscritto il: 04/03/02 20:18

Postdi Dylan666 » 11/12/03 15:36

Aiutati ke dio t aiuta... rimediaci questi header ;) :lol:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi piercing » 13/12/03 14:37

non per aggiungere carne al fuoco... ma il fatto che alle immagini possa essere allegato un trojan non è la prima volta che lo sento dire...

e ricordo che ai miei tempi di giovane chattatore (parlo di 4/5 anni fa almeno) era una pratica abbastanza in voga...

per mancanza di voglia e di tempo non ho mai fatto ricerche in merito... ma gli effetti di questi trojan era pressappoco quanto viene descritto qui...

qualcuno si vuole perdere in ricerche?

premetto che non posso essere di molto aiuto... perchè mai capitato a me personalmente, ne ho mai ricevuto immagini del genere... ma vi assicuro che la cosa era vera... non ne sentivo parlare da tempo...

il presunto virus del millennio però mi lascia molto perplesso...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Frengo78 » 13/12/03 14:53

piercing, puoi escludere categoricamente che gli utonti di chat a cui hai sentito dire che avevano ricevuto un immagine ma che in realta era un trojan non avessero ricevuto in realta il classico immagine.jpg.exe?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Dylan666 » 13/12/03 15:03

Rega, io concordo cn Frengo78, finké nn mi dimostrate il contrario x me qesie cose nn esistono... :-?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dax0r » 13/12/03 15:17

Per occultare qualsiasi file(e quindi anche un trojan) sotto forma di un'immagine è possibile usare un programma di stenografia...come Camouflage.
In pratica tu vedi un'immagine(e solo quella) ma questa contiene in essa un qualsiasi file (che è apribile da un qualsiasi altro programma di stenografia,che però per aprirlo richiede quasi sempre una password...)
Però è *quasi* impossibile(dico quasi perchè nell'informatica non si sa mai) che il presunto trojan (o un altro malware) infetti la vittima,infatti non è possibile aprirlo fino a quando si visualizza solo l'immagine...
è come un source code di un potente virus contenuto in un file di testo...

Poi è possibile unire due file,con un programma di tipo joiner...
Per esempio unire un file qualsiasi a un trojan horse...
Nè è dotato anche Subseven(e infatti è molto usata dai lamer),senza ricorrere a programmi esterni...
Questa tecnica è usata sopratutto per ingannare gli anti-virus e/o l'utente inesperto...
Infatti le informazioni che per esempio riguardano il trojan contenute nella reflist degli AV risultano inadeguate a quelle che si ottengono dopo averlo unito ad un altro file(per esempio le dimensioni)
E in effetti gli Av fanno molta fatica a individuarli,infatti la maggior parte non li trova nemmeno.

Poi,per occultare un trojan(tralasciando le immagini), è possibile anche ridurne le dimensioni effettive originarie(sempre per il motivo di prima)...
Ci sono dei programmi che comprimono l'eseguibile del server trojan mantenendo la stessa estensione (per esempio .exe) senza creare un archivio auto-estraente
Ciò vuol dire che funzionano normalmente....con tutti i guai che nè possono arrecare... :P

[/b]
Dax0r
Utente Senior
 
Post: 163
Iscritto il: 13/09/03 14:32

Postdi piercing » 13/12/03 15:32

@Frengo... non posso escluderlo frè... ma non ho mai visto personalmente con i miei occhi...

@daxor... in pratica stai confermando quello che sostengo?

mi ricordo ancora benissimo un personaggio frequentatore di chat... che mandava a tutte le sue fans una mail con una immagine di una rosa... (romantico!! ahahhaha) e che poi si intrufolava nei pc di tutte loro... alla ricerca di info... ricordo anche l'immagine...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi BianConiglio » 13/12/03 16:02

Per occultare qualsiasi file(e quindi anche un trojan) sotto forma di un'immagine è possibile usare un programma di stenografia...come Camouflage.


come hai detto rimane un imamgine con del codice inutilizzato al suo interno..petanto servirebbe un ulteriore exe che estrapoli ed esegua il tutto..non difficile da fare, l'ho fatto con (C)DMP ma la storia dell'immagine e basta crolla.

Infatti le informazioni che per esempio riguardano il trojan contenute nella reflist degli AV risultano inadeguate a quelle che si ottengono dopo averlo unito ad un altro file(per esempio le dimensioni)


ma appena esegui il file bindato i files si spezzano e l'av puo riconoscerli ancora.. prima ancora che venga eseguito quello virulento

Poi,per occultare un trojan(tralasciando le immagini), è possibile anche ridurne le dimensioni effettive originarie(sempre per il motivo di prima)...


idem come prima....il binario viene spanso in memoria e bloccato dall' av ( a meno che non gli venga esplicitamente detto di non controllare la memoria )

più bastarda è la conversione da exe a vbs...li si che le firme virali non servono piu a nulla ;)

cmq di metodi ce ne sono tanti ma ormai quelli citati sono superati...

ora le cose veramente pericolose sono gli exploit e i buffer overflow connessi a retrovirus...e processi che si iniettano in altri per bypassare i firewall..

poi senza avere gli header di questa mail micidiale portatrice di morte è quasi inutile star qui a discuterne ;)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Dax0r » 13/12/03 18:50

Il problema di fondo,caro Bianconiglio,è come hai detto tu che non sappiamo veramente di che cosa stiamo parlando...
Di un virus?worm?trojan?
Non lo sappiamo...almeno fino a quando maxi ci posterà il resoconto delle porte in listening e gli header delle e-mail incriminate...

Allora stiamo cercando un pò tutti di andare per ipotesi... :)

Sto insistendo sul fatto delle porte aperte perchè nessuno ci assicura che sul suo computer ha in listening per esempio un server mail vulnerabile a un famoso exploit(entrando ogni volta sistematicamente nel suo pc) e lo prenda in giro con le e-mail(è solo un esempio)

idem come prima....il binario viene spanso in memoria e bloccato dall' av ( a meno che non gli venga esplicitamente detto di non controllare la memoria )


ero convinto che l'eseguibile,sarebbe compresso e ridotto all'osso(detto terra terra) per ridurne le dimensioni e facendo faticare l'av a rilevarlo.
L'eseguibile,quando aperto,non avrebbe bisogno di espandersi,ma sarebbe stato già funzionale al 100%...mi sbaglio? ;)

cmq di metodi ce ne sono tanti ma ormai quelli citati sono superati...

ora le cose veramente pericolose sono gli exploit e i buffer overflow connessi a retrovirus...e processi che si iniettano in altri per bypassare i firewall..


me ne rendo conto...io mi rifacevo a un post di piercing in cui chiedeva delucidazioni sul fatto delle immagini allegate ai trojan...
E poi,anche per spiegare 2 stupidaggini c'ho messo 20 righe,figurarsi quanto ci vorrebbe per parlare exploit,buffer overflow & Co.?Neanche un'enciclopedia... :D

Comunque anche se vecchie e superate,queste tecniche sono ancora usatissime dai lamer...
Gli exploit(e via dicendo) sono più usati dai cracker...
Un cracker,però,un trojan(parlo di trojan tanto per restare in tema) se lo può fare benissimo da solo(se è un discreto programmatore,infatti un trojan non è altro fa altro che un paio di chiamate server)...
Pensate:un trojan nuovo,potente,sopratutto riutilizzabile,in nessuna lista di av(certo sempre un trojan è,quindi rintracciabile e ostacolabile,basta guardare ogni tanto lo stato delle porte associate ai processi per vedere se c'è qualcosa che non va...)

Per quanto riguarda gli exploit,l'argomento è davvero troppo vasto...
Bug di windows,dei firewall,degli antivirus...virus che rendono inefficaci av e fw...
Oggi non è molto difficle compilare un retrovirus...
Basta pensare per esempio che quasi tutti gli strumenti di sicurezza,su sistemi windows con tecnologia Nt,si basano esclusivamente sui servizi(services.msc)...
è possibile disattivare i servizi di sicurezza dell'antivirus e il gioco è fatto(provate anche voi usando il programma di windows net stop)...basta digitarlo dal prompt dei comandi)
Il colmo è che su questo aspetto i sistemi basati su tecnologia DOS(windows 9x,Me,ecc) sono più sicuri dei successivi...
Infatti per arrestare un antivirus o un firewall ci si doveva ingenare un pò...
come simulare l'avvio e l'arresto del sistema(WM_QUERYENDSESSION e WM_ENDSESSIONS)... :lol:
Però alcuni av erano vulnerabili anche a una semplice WM_CLOSE,chiudendo l'eseguibile e compromettendo però anche il "Ring 0 kernel mode"(la parte relativa ai driver di scansione,.vdx o .sys) oltre che il "Ring 3 livello applicazione"(l'interfaccia grafica,programma o servizio eseguibile in .exe)

[/b]
Dax0r
Utente Senior
 
Post: 163
Iscritto il: 13/09/03 14:32

Postdi BianConiglio » 13/12/03 19:04

L'eseguibile,quando aperto,non avrebbe bisogno di espandersi,ma sarebbe stato già funzionale al 100%...mi sbaglio?


si ;) quello che viene eseguito è la "copia" ( tanto per stringere )decompressa.. poi dipende da av ad av ma siamo arrivati ad un punto in cui non ci sono particolari problemi per l'individuazione...

per i vari WM_CLOSE, è piu simpatico attaccare il database delle esclusioni delle scansioni con i retrovirus che ho creato tempo fa...cosi facendo l' av è attivo e funzionante ma esclude dalla scansione cio che voglio io hehe... :diavolo: :D

cmq qui la discussione si perde via....
:undecided:
il topic è un altro e finchè non verranno postati gli header direi che il 3d è fermo ;)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Frengo78 » 13/12/03 20:54

io appoggio in pieno cio che dice BC intervengo solamente per correggere una piccola inesattezza. Camouflage sono programmi di steganografia non di stenografia :D
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi pjfry » 13/12/03 22:09

io non vi appoggio, headers o no il topic mi piace e stanno venendo fuori cose interessanti :D
che ne dite di metterci a realizzare (come POC, ovviamente...) il fantomatico trojan\virus via immagine? così poi ce lo vendiamo a millliiiiooooniiii di euro, come dice maxi :D

(ah, ovviamente io lancio l'idea e dirigo il progetto, la programmazione la lascio a voi :P )
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Come bloccare il codice nascosto nelle e-mail???":


Chi c’è in linea

Visitano il forum: Nessuno e 33 ospiti