Giuseppe Arcidiacono Blog


Blog Diario Virtuale
Gallerie

Accedi alle gallerie!
Links
Statistiche
  • Views Home Page: 201.808
  • Views Posts: 606.104
  • Views Gallerie: 2.502
  • n° Posts: 192
  • n° Commenti: 84
Categorie
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Dai vecchi Virus ai nuovi Trojan. Il Controllo Remoto

Perchè i virus non infettano più altri file? Che fine hanno fatto i virus di una volta?
Infettavano i file eseguibili accodandogli qualche byte, questo gli garantiva di attivarsi tutte le volte che un file infetto veniva lanciato e di replicarsi più velocemente.
Miravano a due obiettivi: diffondersi rapidamente e creare guai alla macchina infetta (= perdita di dati).

Questa tipologia di virus, oggi, non è più una minaccia! "Agli strozzini non serve un uomo morto".
Documenti cancellati e Sistema Operativo irrecuperabile non portano profitto. Una macchina sotto controllo, invece, può fornire informazioni utili e può essere sfruttata in qualsiasi momento per lanciare altri attacchi (= botnet).
Gli obiettivi sono sempre due, ma qualcosa è cambiato: proliferare attraverso qualsiasi mezzo e controllare la macchina a distanza (= Trojan/Worm)

Il Controllo Remoto ha il suo tallone di Achille.

Per poter ricevere ordini è necessario accedere a una determinata porta. Questo comporta qualche problema: qualsiasi firewall è in grado di monitorare le porte e chiudere i battenti in faccia al primo intruso che tenti di mettersi in ascolto. Zone Alarm ad esempio svolge un ottimo lavoro.

E se in futuro i trojan sfruttassero gli instant messaging come canale di ascolto?

Fin ora abbiamo assistito a casi di Trojan/Worm che scelgono la via degli IM per proliferare velocemente ma non per ricevere istruzioni.

Ora immaginate il lavoro di uno sniffer tcp programmato in modo da intercettare determinati pacchetti, leggere le istruzioni e agire di conseguenza. Ecco cosa potrebbe accadere:

Esempio (Gtalk packet)

<message from="mittente@gmail.com" to="destinatario@gmail.com" type="chat"><body>*You entered:* istruzione in chiaro </body></message>

Il trojan potrà facilmente intercettare il messaggio "istruzione in chiaro", chi comunica è il client Gtalk per il quale è già stata settata una regola dal firewall.

Se consideriamo il fatto che i più popolari client di messaggistica istantanea: Windows Live Messenger, Yahoo! Messenger e Google Talk comunicano attraverso pacchetti - non codificati - tcp, il trojan più banale potrebbe essere tranquillamente istruito a distanza - da uno dei client appena citati - senza destare sospetti.


Ciao

Categoria: Malware
venerdì, 16 mar 2007 Ore. 00.31
Calendario
maggio 2024
lmmgvsd
293012345
6789101112
13141516171819
20212223242526
272829303112
3456789
Ora e Data
Archivio Posts
Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006
Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003