Condividi:        

Metodi di AUTOESECUZIONE ALL'AVVIO

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Metodi di AUTOESECUZIONE ALL'AVVIO

Postdi BianConiglio » 22/04/02 17:48

Bene, che ne dite di elencare, ognuno quel che sa, tutti i possibili ( conosciuti ) metodi con i quali i virus :diavolo: , worm :diavolo: , keylogger :diavolo: che siano, si autoeseguono all'avvio del sistema ? Insomma, una micro guida che spiega dove andare a guardare quando ci sorga un dubbio, o più semplicemente una lista di "posti a rischio" da controllare ogni tanto onde evitare sorprese ? :eeh:

:!: Ora mi disconentto, raccimolo le mie conoscienze ( una decina di metodi ), le metto in txt e le posto stasera. Nel frattempo sbizzarritevi ! :!:
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Sponsor
 

Postdi dado » 22/04/02 18:23

Tra poco uscirà un tutorial nella sezione security con un pò di queste cose... :diavolo:

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Metodi :)

Postdi BianConiglio » 26/04/02 09:49

Bene.......anzi male :evil:
A nessuno glien'è fregato uno stramizzega di nulla di postare qualcosina...

Vabbè, io ci metto del mio, se poi avete voglia......inserite anche quanto sapete voi.

Allora...vediamo un po' dove trovare gli esegibili che vengono eseguiti all'avvio del sistema...
Vi ricordo che io inserisco tutto quello che so , sicuramente molti di questi bug-metodi sono stati patchati, altri no....Insomma, fatemi sapere qualcosina o altri metodi...

1 Start-Esegui-Msconfig-Esecuzione Automatica
Ecco la prima lista di alcuni dei file da controllare, sia per escludere la presenza di trojan, keylogger e via dicendo, sia per eliminare tutti quegli stupidi programmini che si autolanciano senza che noi lo specifichiamo durante l'installazione.

2 Start-Esegui-Regedit
Ora andiamo a dare un occhiata alle chiavi seguenti :

3 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
4 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices


3bis e 4bis : lo stesso vale per la chiave riguardante il CURRENT USER

:!: Prima di cancellare le chiavi con i nomi delgi eseguibili, assicuratevi della loro specifica azione o servizio che eventualmente possono fornire ! :!:

Con particolare attenzione alla seconda, i processi che vengono qui eseguiti ( a quanto mi pare ) non vengono visualizzati o quantomento segnalati all'interno della finestrella di controllo del CTRL+ALT+CANC

Altra occhiata necessaria è alla chiave
5 HKEY_CLASSES_ROOT\exefile\shell\open\command

Il valore predefinito ( completo di "" iniziali e finali ) deve essere ""%1"%*". Aclune volte, invece, i trojan (ecc..) si inseriscono nella stringa mettendo il nome dell'eseguibile prima del primo %. Così facendo il file ( eseguibile ) inserito verà avviato ogni qual volta si esegua un *.exe
Questo metodo è alquanto brutale.
Quindi, se è il vostro caso, modificate il valore e reimpostatelo ( doppio click per modificare ) a "%1" %* ( verà poi visualizzato ""%1" %*" )

Ecco un'altra chiave da controllare.....
6 HKLM\Software\Microsoft\Active Setup\Installed Components

Ora, dopo le prime chiavi {....} noterete una cospicua presenza di chiavi contenenti "PerUser". Se fra queste notate una chiave senza aver nel suo nome "PerUser" apritela immediatamente. In questo caso la chiave incriminata potrebbe contenere una stubpath contenente un eseguibile. Attenzione...cercate in ogni chave che NON abbia come StubPath il file rundll.exe

Questa eventualità ( QUELLA SOPRA ) non l'ho mai sperimentata di persona....ma conosco siti e persone che ne parlano...cmq verificherò appena posso.

7 Aprite con notepad il file C:\WINDOWS\WIN.INI
E' qui necessario rimuovere eventuali *.exe ( ne ho sempre e solo trovati maligni ) dopo la chaive run= nella sezione [windows] ( in alto )

8 Aprite con notepad il file C:\WINDOWS\SYSTEM.INI
Bisnogna rimuovere quelloc he c'è dopo shell=Explorer.exe' nella sezione [boot]. Attenzione......non eliminate explorer.exe, ma solo eventuali files a lui seguenti ( shell=Explorer.exe virus.exe )

AH, dimenticavo.......
9 HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders

Una stupida falla di win ( penso che ora sia patchata ) può rendere vulnerabile una rete ( eh si.....anche senza NT ) Infatti il 9x può utilizzare accounts multipli e c'è una cartella di sistema che è disponibile a tutti gli utenti. Quindi un collegamento in C:\WINDOWS\All Users\Desktop comparirà in tutti i desktop.....Pertanto un progamma messo in C:\WINDOWS\All Users\Start Menu\Programs\StartUp si avvierà ogni qualvolta un qualsiasi utente si loggerà !! Occhio quindi..... Una guardatina è doverosa....

10 Esecuzione Automatica
Bè, questa è proprio una cazzatina, ma prima di andare a tuffarsi a capofitto tra chiavi e mica chiavi di registro, date un occhio a C:\WINDOWS\Menu Avvio\Programmi\Esecuzione Automatica ( che è la stessa cartella del punto 9, ma riferita all'utente specifico e non è pubblica )
Posto al suo interno un simpatico :diavolo: exe ( o link ) verrà eseguito ad ogni avvio...

Bene.....per ora direi che basta.....

Cmq per evitare trojan un buon firewall ed un buon antivirus sono una delle migliori soluzioni ( anche se pure quelli, possono venire bypassati).

A questo proposito vi spiego una mia ideuzza di qualche mese fa che, tramutatasi in eseguibile, ha fatto stragi di antivirus ( non mi sono occupato di firewall ma prometto che ora, tra 5 minuti, mi metto a smanettarvi sopra ). Faccio l'esempio del norton ( ma potrei farlo anche per McAfee e via dicendo ) :
Andate a guardare nella cartella del Norton, c'è un simpatico file chiamato exclude.dat.....ma guarda un po' al suo intenro sono contenuti i file o famiglie di file da escludere totalmente dalla scansione.
Nel norton 2001 è semplicemente editabile con un qualsiasi editor, nel 2002 è criptato è c'è da fare un passo in più ( che non dico per scoraggiare i lamerazzi puzzolosi ). Bene....creando un eseguibile che inietti nomi ed estensioni di eseguibili da escludere ( o sovrascriva l'intero file con uno prefabbricato) ecco che il nostro fidatissimo Norton non sarà in gradi di beccare il simpatico file iniettato. Se l'eseguibile iniettore ( l'ho inventato io e lo chiamo come voglio :lol: ) viene unito ad un codice malevolo, ecco che il danno è fatto....
In prima posizione c'è l'iniettore (eseguito per primo ) , in seconda il virus vero e prorpio ( eseguito per secondo ) che non viene rilevato causa la sua esclusione dalla scansione....e patarack :diavolo: . Ho scritto alla casa produttrice che non mi ha mai risposto senza essere evasiva...bò, peggio per loro.
Per andare a guardare quali file sono ingorati dalla scansione basta andare nelle opzioni del norton sotto la voce exclusion ( o editarsi il file manualmente ). In predefinito ci sono alcuni nomi tra i quali excel.exe e via dicendo....il che a parer mio è un'emerita scemenza....chi capisce capisce...
Bè, vado, sarei al lavoro io hehe :P

Non arrabbiatevi se ho scritto qualcosa di sbabliato....semplicemente correggetemi :P

E mi raccomando..se sapete altri metodi di esecuzione all'avvio.....sparateli !!!

Ora mi studio se anche ZoneAlarm può essere aggirato con l'iniezione.

Finchè Microsoft e gli altri faranno colabrodi, sta a noi, aiutandoci, tappare i buchi. Aiutiamoci !!

:!: Ciao :!:
Ultima modifica di BianConiglio su 29/04/02 12:37, modificato 5 volte in totale.
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi dado » 26/04/02 10:59

Beh, mi fa piacere il tuo interessa x l'argomento!
Se cmq vuoi dar un'occhiata qui, ci sono un mare di cose che magari ti evito di postare per nulla... :P

http://www.pc-facile.com/security.php?id=24

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Letto !

Postdi BianConiglio » 26/04/02 13:04

Letto ! Anche se questo post l'ho creato per conoscere nuove metodologie dalle quali difendere il boot del pc :)

Quanto riportato nel tuo link è utile, soprattutto per chi si avvicina all'argomento.

Per ZoneAlarm...l'iniettore è pronto, funziona :diavolo: ma fortunatamente è di dimensioni troppo grandi ( vengono sovrascritti dei file, insomma è proprio una versione rude :-? ) per esser eseguito " senza preoccupazioni " ( insomma..tutto è possibile però )
E' cmq è solo un POC e quindi gli unici a vederlo saremo io ed i mie amici :eeh:
Date un occhio alla capture qui sotto...ho unito il "ZoneAlarm fucker" col server di un trojan e installato su me stesso....tutto ha funzionato a meraviglia senza che ZoneAlarm desse fastidio :

http://www.angelfire.com/linux/jappo/infetto2.jpg
( fate COPIA INCOLLA sennò non funge......colpa delle protezioni di AngelFire delle quali ero all'oscuro sino a 3 secondi fa :( ..vabbè amen )

( Ho messo dei riferimenti per un mio amico, così prendo 2 piccioni con una fava.....o 2 cammelli con una mela, o 2 brontosauri con un camaleonte...fate voi :D )

Cmq sto cercando di fare un soft che identifichi tutti gli eseguibili lanciati all'avvio, per questo, se ne siete a conoscenza, fornitemi altre metodologie !!

Ciauzz
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Rieccomi.....

Postdi BianConiglio » 28/04/02 23:39

Ok, ZoneAlarm bucato....anzi, bypassato... ora si sovrascrive solo un file..( vedrò se è possibile iniettare codice direttamente nel file senza sovrascriverlo, anche se è di dimensioni ridotte e quindi sovrascrivibile per intero senza problemi (~150Kb con le mie impostazoni, ~58Kb privo di impostazioni e pochi di più per permetere ad un solo eseguibile ( dannoso nel caso specifico ) di aver tutti i diritti di connessione possibili ) )..ero stato proprio uno stupido, nn avevo visto una cosa :oops:

Il problema è che non so come difendermi da questa possibilità di attacco ( son sicuro che non sono il primo a pensare e fare una cosa del genere ), ci dovrò pensare un po' su :?: , intanto chiedo ad amici, poi vi farò sapere. Quando saprò come difendere, renderò pubblico il file incriminato da sovrascrivere o iniettare, anche se nn è difficile individuarlo ! Intanto scrivo ai creatori del software e suggerisco una codificae e l'aggiunta di una minima sicurezza.... :!: Aggiornamento : Anche se mi convinco ogni giorno che passa che l'unico metodo per contrastare questo tipo di attacco sia di creare un tool del tipo StartupMonitor che tenga d'occhio anche i file delle impostazioni dei prog a rischio.....quasi quasi ne parlo al creatore di SartupMonitor...lo faccio tra poco. :!:

Sono sempre + convinto che sia anche possibile, con lo stesso metodo, far eseguire eseguibili dotati di parametri quando il netdetect di ICQ riscontri la connessione dial-up ( naturalmente ad insaputa dell'utente ). Gli eseguibili non verranno eseguiti all'avvio come quelli ( eventuali ) dei post precedenti, ma la possibilità di eseguire qualcosa dotato di parametro quando la connessione venga rilevata dal netdetect, bè, non mi sembra una sciocchezza....è un opzione da tener d'occhio !

Devo solo trovare il file incriminato e studiarlo..... ( ps : ho accennato questo problema nel forum : http://www.pc-facile.com/phpBB/viewtopic.php?t=2792 )

Bè, se qualcuno mi da una mano a scovare ed eventualmente decifrare quel file....M FAREBBE UN ENORME PIACERE.......dati i miei 38.7 gradi di febbre....

E :idea: spero :idea: che qualcun'altro mi illumini su nuovi metodi di esecuzione di file all'avvio o a evento prestabilito ( vedi ICQ ) !!
Non facciamoci cogliere impreparati !! Preveniamo !!!

Ciauzz
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

ICQ

Postdi BianConiglio » 29/04/02 01:12

Son malato e non riesco a dormire dal mal di testa ma.......

Ho trovato ( anche qui potevo arrivarci prima ) dove e su cosa smanettare nei riguardi di ICQ.. :diavolo: .. Qui si tratta di chiavi di registro e sotto chiavi.....Ancora più pericoloso e facile da raggiungere....sarebbe una pacchia per qualsiasi lamer :evil:
Qui l'iniezione funziona a meravilgia, basta creare ed iniettare le sottochiavi ed ecco......papumm :diavolo: il danno è fatto....ogni qualvolta netdetect di ICQ si accorge della presenza di connessione...ecco che i link iniettati ( nel registro di sistema ) degli eseguibili necessariamente presenti sulla macchina ed evidentemente creati da un eseguibile precedente ( che potrebbe benissimo aver disabilitato antivirus e zonealarm oltre ad iniettare la sottochiave di ICQ ) verranno seguiti e porteranno all'esecuzione degli eseguibili dannosi, muniti di parametri.

Ora guardo come gestire i parametri ma penso che non ci sia nulla di particolare...

Visto che nessuno scirve e sono il solo ( oltre a un altro ) a postare qui, inserirò la chiave se e solo se importa a qualcuno..( :!: mi sento un po' stupido a scrivere solo per me stesso, non capisco se interesso o meno :!: )..sennò mi limeterò a scrivere il tutorial per il webmaster e potrete leggervi tutto li, sempre voglia ( vostra ) permettendo :P

Ora vado a dormire e domani ripercorro i miei passi e riverifico le mie teorie rigurdo ICQ.

:arrow: Intanto aspetto nuovi metodi di esecuzione di file all'avvio o a evento prestabilito.
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi dado » 29/04/02 11:28

No, Bianconiglio! Non credo che ciò che scrivi sia poco interessante... il problema è che se uno non se ne intende in materia come te, rischia di non capirci molto... io stesso avrei qualche problema a discutere sull'argomento entrando nello specifico... quindi mi limito ad apprendere...
:D

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi BianConiglio » 29/04/02 12:27

:lol: Grazie per le tue parole :lol:
Anche se cmq non è difficile ciò che sto facendo....casomai è un po "strano"...Insomma, io sto cercando di capire quali e quanti siano i files modificabili da un eseguibile creato appositamente per questo e soprattutto quali siano i rischi che questa modifica comporta !

Bè per chi interessa, ecco la chiave del registro di sistema da studiare per renderla più sicura.....ora come ora un qualsiasi eseguibile o file di registro potrebbero inserirvi, come già detto sopra, dei link ad eseguibili con o senza parametri :!:

HKEY_CURRENT_MACHINE\Software\Mirabilis\ICQ\Agent\Apps

Ogni processo di esecuzione è chiamato con un nome che non è influenzato dal nome stesso dell'eseguibile. Le sottochiavi in Apps hanno il nome del processo ed al loro interno ci sono le info riguardanti il link da seguire :

Enable
Parameters
Path
Startup


Non mi sono ancora studiato il comportamente delle chiavi in presenza di più utenti ICQ, dopo vedrò di cavarne fuori qualcosa....

Cmq, ricapitolando, la chiave sopracitata ( probabilmente per gli user multipli dovrò confrontare le chiavi in CURRENT_USER ) , una volta manipolata, è responsabile dell'esecuzione di files dotati di parametri a discrezione di chi attacca. Ecco un'altra opzione da tener sott'occhio.
Se c'è qualcuno interessato a scrivere un programma che monitorizzi tutti i file di cui sono a conoscenza, me lo faccia sapere e collaboreremo.

:arrow: Intanto aspetto nuovi metodi di esecuzione di file all'avvio o a evento prestabilito.
Ciauzz
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi kadosh » 29/04/02 14:14

Il discorso che fai è più che giusto, ma basta evitare che gli script o gli eseguibili intacchino il regedit ed il gioco è fatto. E' troppo pretendere di poter rimediare ad ogni falla del S.O. o del Browser partendo da un discorso interamente basato sui codici, basta imporre restrizioni adeguate agli ActiveX, ai Cookies e agli Applet Java per eliminare la maggior parte di rischi esistenti.
Se andassimo a fare prove su ogni script esistente bè...invecchieremmo davanti al PC eheheh!! Cmq...per i curiosi e gli interessati, basta navigare per le pagine di Astalavista che troverete enciclopedie al riguardo scritte da gente che li ha costruiti 8)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi BianConiglio » 29/04/02 15:24

Si, certamente, in questo caso monitorare ( e non impedire ) l'accesso al registro impedirebbe di inserire, nel caso di icq, eseguibili non direttamente richiesti dall'utente. Impedendo l'accesso si impedisce ai programmi che ne fanno uso ( icq in primis ) di svolgere le funzioni ( comode a volte ) che hanno integrate.

Ma per tutti gli altri file di opzioni ( vedi norton, mcafee, zonealarm e molti, molti altri ) c'è poco da fare, bisogna scrivere un programma specifico...una utility che ne monitorizzi i cambiamenti. Infatti mettere questi file coem sola lettura o nascosti non basta e/o crea problemi al programma che, necessariamente, li utilizza.

E più che rimediare ad ogni falla del S.O. o del Browser, io sto cercando metodologie di esecuzione che potrebbero venir sfruttate...metodologie che attaccano e sfruttano opzioni lasciate incustodite o mal difese...

Vedi, ora come ora con un eseguibile ( chiamiamolo patch.exe ) sovrascrivo l' exclude.dat del norton e le opzioni di ZoneAlarm. Ora ( come terza operazioen compiuta da patch.exe ) eseguo ed installo un trojan ( che non viene riconosciuto perchè il norton, come scritto nel nuovo exclude.dat, lo ignora nelle scansioni ( sempre se diamo per scontato che il trojan sia presente nelle firme dell' av ) ). Il trojan è installato, ha tutti i diritti di connessione e non viene scansito dal norton. E tutto questo senza toccare il registro...( ipotizziamo che il trojan non si autoesegua all'avvio ma che sia solo momentaneo....anche se, mi pare, per bypassare un programmino tipo starupmonutor e non toccare il registro, è semplicemente possibile piazzarlo in esecuzione automatica...eh si, è una cosa un po alla buona, ma non ho ancora studiato le difese di startupmonitor)

Insomma, con un eseguibile da 390 kb ( formati dal trojan e dai codici da sovrascrivere o iniettare nei file delle opzioni ) è possibile , con questo effetto "domino" abbattere tutti quei programmi ( di difesa ) con opzioni esterne ed installare o eseguire codice. La cosa è preoccupante...

Ora vedo come e se è possibile aggirare StartupMonitor, spero di no anche perchè il creatore di sto programmino è troooooppo forte !! :D

E cmq, tu ( o chiunque sia interessato ) cosa consigli per monitorare il registro ? Quale soft impedisce di modificarlo ?

:arrow: Intanto aspetto nuovi metodi di esecuzione di file all'avvio o a evento prestabilito ( ancora hehe )
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi kadosh » 29/04/02 18:10

Semplicemente regolando ad hoc le autorizzazioni NTFS del sistema, sono lo strumento più potente che esiste, al dispetto di qualsiasi software di terze parti. Controlli i permessi d'accesso al regedit, attivi l'auditing dei cambiamenti e delle polizze inerenti, e nessuno, nemmeno il S.O. potrà intervenire sul regedit senza che tu lo venga a sapere. Il tutto apparirà in un bel file di log creato appositamente.
Per questo ti dico, basta poco, Windows sembra un colabrodo...ma solo perchè non tutti sanno come andrebbe settato. Ovviamente parlo della NT family :D
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi Argony » 29/04/02 18:45

Tutto quello che c'è su questo forum è molto interessante e tu BianConiglio non sentirti solo, ma forse gli altri come me non riescono a collegarsi tutti i giorni e così la cosa precede a rilento (sono i problemi dei forum).

A proposito dell'agent di ICQ la cosa è sempre interessante, ma resta sempre il problema di far eseguire per la prima volta un eseguibile a colui che lo riceve !!!
Inoltre io l'agent di ICQ non l'ho attivo e quindi non funzionerebbe se mi aggiungo chiavi nel registro, anche se probabilmente molti invece lo tengono attivo (forse perchè non sanno disattivarlo ;) )

Sarebbe interessante procedere con discussioni per l'auto esecuzione di un allegato (sono ancora molti quelli che usano IE5) ma credo di aver posto questa domanda in un altro messaggio initolato (allegati MIME).

Io di altri metodi di autoesecuzione per ora non ne conosco, anzi ne ho appresi di nuovi da BianConiglio, ma se ne verrò a conoscenza ...

Ciaooo
Argony
Utente Junior
 
Post: 37
Iscritto il: 07/10/01 01:00

Postdi BianConiglio » 29/04/02 19:05

E per il 9x ? E' di questo che mi sto occupando.....In fondo quelo che mi preme è di creare un qualcosa per migliorare la sicurezza di chi meno se ne intende....e la famiglia nt non è diffusissima tra gli inesperti.

Dimmi, potresti essere più specifico o reindirizzarmi verso qualche tutorial per le autorizzazioni NTFS del sistema ? Te ne sarei grato....

Per quanto riguarda startupmonitor...per eluderlo basta che l'eseguibile ( il solito patch ) cancelli la chiave "Run StartupMonitor" e scriva un eseguibile ( in sostanza sè stesso senza la prima parte ) che si comporta come il patch.exe descritto nel post di prima all'interno della semplice C:\WINDOWS\Menu Avvio\Programmi\Esecuzione Automatica ( che non viene controllata da startupmonitor che è ancora in memoria ).
In questo modo, al prossimo riavvio, startup non verrà caricato in memoria, ma verrà eseguito in automatico l'eseguibile creato la sessione precedente. Si eseguirà quindi tutto quello descritto nel mio post di prima...

Fatto e testato.


X Argony

Grazie :)... Per quanto riguarda il netdetect di ICQ c'è sempre la possibilità di inserire la chiave con il link nel registro. Cmq hai ragione, ma ricordo che io sto qui a strimpellarmi e cercar di gestire ogni possibile eventualità....e secondo un mio personale sondaggio ( eh si, rompo pure i cocomes alla gente in icq con le mie domandine ) , su 100 utenti 63 avevano l' agent nella lista dello startup..e guarda caso erano i meno preparati a livello informatico ( almeno quelli che hanno risposto ad altre mie domande hehe ).

Il "problema" di far eseguire il primo eseguibile ( che poi genererà un effetto domino ) non è un problema, ma una fortuna....
Il problema semmai sarà del lamerazzo. E ci tengo a precisare che io sto raccogliendo e pensando, come una formichin alaboriosa, metodi ed idee riguardo l'esecuzione e l'abbbattimento di difese di sistemi 9x ( su nt ammetto di non aver testato NULLA )

Appunto perchè sono ancora in molti ad utilizzare IE5.5 ed il relativo outlook, software antivirus datato e senza firewall, non mi sembra il caso di essere ancora più specifici nel trattare l'argomento dell'autoesecuzione durante l'anteprima, dato anche il fatto che l'exploit è già fin troppo diffuso, chiaro e utilizzato. :evil: A volte è l'ignoranza degli utenti che si ripercuote contro di loro come un boomerang ! azzarola !

Cmq se ho tempo ti rispondo nel topic che hai aperto..è il tempo che mi manca....

Vedremo, ciauzz

:arrow: Intanto aspetto nuovi metodi di esecuzione di file all'avvio o a evento prestabilito
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi kadosh » 29/04/02 23:48

Per la famiglia 9x ma anche per NT che non usano NTFS ma FAT il problema è un altro, limitare l'uso del regedit ad applicazioni di sistema che non siano indirizzate all'uso su Web e quindi all'interscambio di dati.
Purtroppo ancora molta gente usa sistemi Win 95/98/98 SE/ME ma fortunatamente non sono i professionisti e quindi non hanno dati vitali, però ammetto che è cmq un bel problema il non sapere quali esecutivi entrino in azione nel proprio PC e soprattutto per quale motivo; non essendo però esperti di PC gli si può solo dare aiuto per un danno successivo, prevenirli da eventuali problemi è più arduo, non credi?

Per quanto riguarda il Tutorial, c'è quello che ho scritto nella sezione Security del sito ma riguarda solo Win2k, anche se è facilmente allargabile il discorso a tutta la famiglia NT. Se vuoi altro bè, devi leggerti la maggior parte dei bollettini MS in lingua originale, i più aggiornati e dai quali puoi trarre tutte le info del caso. Io mi sono certificato con la MS, ho studiato ed ora mi trovo ad insegnare sicurezza e non solo, e a volte solo l'esperienza può aiutarti.....non tutto è scritto nei libri :D
E molto l'ho imparato smanettando e osservando altri o ancora leggendo qua e là sulla Rete... 8)
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi BianConiglio » 30/04/02 00:06

:lol: Thanx a lot....ora me lo leggo e appena ho tempo smanetto su microsoft..( come al solito )..

Hai competamente ragione, sui libri c'è parte della teoria....la restante e la pratica sono tutt'altra cosa....

Però non considero gli utenti di Win95/98 se/me dei malati terminali che si tirano la zappa sui loro stessi piedi ( come ho letto in un altro forum ).
Aiutarli nella prevenzione è sicuramente arduo, ma penso ( almeno per me ) gratificante ed in qualche caso produttivo....

Senti, hai detto che insegni e sei pure certificato ms....non ti vengono in mente altre metodologie di esecuzione di eseguibili all'avvio del sistema ??
Io proprio non riesco a trovarne altri....e morire se qualcuno tra i miei amici mi stia aiutando..non ce ne sono altri dicono..
Non ci credo.

Bè, scrivo 2 righe nell'altro post e vado a letto.....

Ciao a tutti :P
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

OT

Postdi oplero » 30/04/02 14:42

questione win 95/98/ecc.. non nt insomma: io credo che se uno non ha esigenze particolari (non lo deve insomma usare per lavoro) la soluzione 98SE sia la migliore e sia anche inevitabile, visto che certamente win2k da molti + problemi di compatibilità... è già + masochistico secondo me usare 95 o il ME che trovo veramente pessimi... io per primo cmq tengo sia win 2k che win 98 (il primo per lo sviluppo - vedi visual studio .net e affini) e il secondo per l'ormai sempre + ridotto tempo libero..
sto finendo sempre + OT, lo so, ma permettetemi di dire che xp lo ritengo alla stregua del me, cioè una discreta "cagata" (ops, si può dire discreta?) :-)
oplero
Utente Junior
 
Post: 35
Iscritto il: 23/12/01 01:00

Postdi BianConiglio » 30/04/02 17:10

Se stiamo qui a decidere quale sia il so migliore facciamo notte e non concludiamo nulla. Quello che penso è che ci siano diverse famiglie di so all'interno delle quali c'è naturalmente una o più pecore nere.....

Ogni famiglia è preferita da uno o da un altro gruppo e target d'utenti che, per forza di cose ( necessità di lavoro, personali, studio e manipolazione monopolistica del mercato ) hanno optato per una o l'altra famiglia e l' uno o l'altro so.

Cmq sitamo perdendo il filo del discorso.......trovare metodologie di esecuzione di eseguibili ad evenento prestabilito o avvio del sistema.....il che non ha ancora prodotto frutti :( , non ne ho imparati di nuovi.....
AIUTATEMI !!

PS: sto scrivendo un tutorial per il webmaster a proposito dell'esecuzione di files all'avvio di sistema.....ora devo aggiungerci i "rimedi" ( alcuni non sono immediati ) e qualche opinione....versa sera cercherò di postarli ( i rimedi ) nel forum, in modo che possiate "testare" la comprensibilità del linguaggio ....fatemi sapere :)

Ciauzz......buona navigata a tutti :)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi BianConiglio » 30/04/02 18:16

Ciao..rieccomi.....

Ho un dubbio che forse kadosh o altri potranno sciogliemri e una risposta da dare ad una delle mail che mi sono arrivate..la posto in pubblico perchè magari qualcun altro ci aveva pensato....

DanielFizz m'ha scritto proponendo come "metodo di esecuzione ad evento prestabilito" la possibilità di utilizzare un opzione ampliamente utilizzata dei più noti software di download ( DAP, GetRight, Go!Zilla )...cioè quela di scansire con un antivirus il file appena scaricato, dichiarando al programma quale sia l'eseguibile ( dell' av ) da utilizzare.

Io personalmente ci avevo già pensato ed avevo anche sviluppato il tutto...ma non lo ritengo un metodo "pericoloso"..Per quanto avevo scartato l'idea..

Mi si chiede in quale file siano descritti l'eseguibile dell'antivirus da eseguire e i parametri da settare.

Nel caso di DAP non è un file, bensì una chiave di registro.

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\AntiVirusEXE

Penso che non sarà difficile per gli utenti che utilizzano altro soft identificare chiavi "equivalenti" o files di opzioni ( magari persino dei *.dat )

Inserendo un link ad un eseguibile "malefico" questo verrebbe eseguito ogni qualvolta l'utente finisca di scaricare un qualsiasi file.

Pro ( per il lamerazzo del caxxo ) :

- Esecuzione dell'eseguibile


Contro :

- Facile individuazione da parte dell'utente ( che si insospettirà SE era uso utilizzare la scansione ( ammeno che il file non lanci pure quello ) e SE dà un occhio alle opzioni ( ma quest' ultima cosa vale pure per ICQ ) )

- Non sempre, quando si scarica un file ( e quindi si esegue l'eseguibile impostato ), si è collegati al web. E'possibile esser in una rete locale, visitare un sito off-line ecc....L'eventualità di un trojan, quindi, è remota.

Ci sono molti altri "Contro" che non sto qui ad elencare....


Cmq buona intuizione :)



Per quanto riguarda il mio dubbio.....

Mi dicono di un bug di win che è presente sin dal 95..
Ogni volta che il so si avvia, win cerca EXPLORER.EXE prima in C:\ e POI in C:\WINDOWS.
Purtroppo ho bruciato l'alimentatore del PC su cui faccio prove e, per oggi, non posso testare la veridicità o meno di questa teoria ( anche se ammetto che in alcuni link l'ho trovata )
Secondo te, Kadosh ( o chiunque altro lo sappia ), è possibile piazzare in C:\ un bel EXPLORER.EXE malefico che lanci e metta in memoria non solo sè stesso, ma anche il "normale" EXPLORER.EXE ?
Potrebbe ciò creare problemi a livello di shell ?
E se quanto detto dovesse funzionare, si potrebbe ovviare a ciò inserendo il link esatto di EXPLORER.EXE direttamente nel SYSTEM.INI ( vedete punto 8 del mio post sull'autoesecuzione ) o non è possibile farlo per motivi "tecnici" ? :evil: CAZZAROLA Quanto mi rode non poter provare ora ! :evil:

Se qualcuno mi risponde bene, sennò domani provo :) Anzi nooo domani è festa...negozi chiusi..ci proverò dopodomani...

Fatemi avere notizie perchè son molto curioso....

Ciao e grazie per l'attenzione !
Ultima modifica di BianConiglio su 01/05/02 14:29, modificato 1 volte in totale.
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi BianConiglio » 30/04/02 19:26

Rileggendo i post che ho inserito oggi ( i 2 sopra ) mi sono caduti i cocomes perterra...

Alla fine...basta che sniffi la posizione ( l'esistenza ) di un dato eseguibile all'interno , chessò, dell'esecuzione automatica e che io faccia eseguire all'utente ( al quale ho sniffato la posizione dell'eseguibile ) un mio file che sovrascriva il file di cui ho la posizione e di cui conosco l' esistenza con un altro contenente un trojan e l'eseguibie sniffato ( in modo da non destare preoccupazioni nell'utente )....

In questo modo verrà eseguito all'avvio l'eseguibile e il trojan.

Fatto e testato.

Bene o male questo giochetto lo si può fare con qualsiasi programma purchè si sappia che l'utente lo utilizzi ( sto trattando il caso trojan per il quale è necessaria la connessione a dinternet ).

"Per essere sicuri" è necessario sovrascrivere un file che sia presente nell'esecuzione automatica, ma altra "soluzione", un po più azzardata, è quella di sovrascrivere exe che con molta probabilità verranno avviati dall'utente stesso la maggior parte delle volte che si colleghi ( vedi ICQ.exe )

A questo punto boo....l'ipotesi non è remota, ma necessita un'"appostazione" da parte del lamerazzo e lo sfruttamento di alcuni bug di IE ( o alcuni stratagemmi più macchinosi ) per sniffare dati riguardanti files sulla macchina della vittima.....

Se la mettiamo da questo punto di vista.....è un pasticcio, ma siccome non sono pessimista nè allarmista....dico solo AMEN.

Questa metodologia, comunque, non è molto rischiosa , dato che si dovrebbero sovrascrivere eseguibili che il più delle volte sono di modeste-grandi dimensioni...In medio stat virtus...il chè è difficile da fare senza destare preoccupazione..quindi, no problem ( non troppi problem hehe )
( Ricordate che, di solito, i virus non superano le poche decine di Kb, i torjan le centinaia... )

Mi rendo conto di dire, certe volte, cose un po' al limite del fattibile( eh si, il mio cervello si diverte a contorcersi ), ma assicuro che le provo prima di postarle ( per quello che oggi riesco a provare su sto pc.... senza il mio pc cavia mi sento perso !! )

Ciao e buona navigazione ancora !
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Metodi di AUTOESECUZIONE ALL'AVVIO":

Suono di avvio
Autore: danny
Forum: Sistemi Operativi Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 35 ospiti