1 / 27

IL VIRUS STEALTH NELLE SUE VARIE FORME (TSR, MBR, File Infector)

IL VIRUS STEALTH NELLE SUE VARIE FORME (TSR, MBR, File Infector). di Carlo Ferrero. SOMMARIO:. Definizione di virus stealth Perché sono nati e qual’è il loro scopo Le caratteristiche del virus stealth Il primo virus stealth Virus TSR Virus MBR Virus File Infector

drake
Download Presentation

IL VIRUS STEALTH NELLE SUE VARIE FORME (TSR, MBR, File Infector)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IL VIRUS STEALTHNELLE SUE VARIE FORME(TSR, MBR, File Infector) di Carlo Ferrero

  2. SOMMARIO: • Definizione di virus stealth • Perché sono nati e qual’è il loro scopo • Le caratteristiche del virus stealth • Il primo virus stealth • Virus TSR • Virus MBR • Virus File Infector • Come smascherarli e sconfiggerli

  3. Definizione di Virus Stealth • La parola “Stealth” discende dal famoso F117 (1981). • Si tratta di una tecnica adoperata da diversi tipi di virus che consente al virus di rendersi invisibile ai controlli facendo apparire tutto normale. • Quando il virus risiede in memoria può effettuare una disinfezione “on-the-fly” dei programmi che ha infettato manipolando le funzioni base del DOS o modificare nella FAT la voce corrispondente a un file infetto (size hiding)

  4. Definizione di Virus Stealth La tecnica stealth è propria di diverse tipologie di virus: • Virus TSR • Virus MBR • Virus File Infector • Virus Polimorfi • Virus di Macro (es: Niki:it ->nasconde le modifiche apportate a Word).

  5. Definizione di Virus Stealth Per eludere un anti-virus lo stealth può agire in due modi: • Il virus stealth disabilita un eventuale anti-virus residente in memoria: ciò è possibile poiché questa è un’operazione lecita che gli stessi anti-virus fanno. Infatti, un programma anti-virus che ha un modulo di prevenzione residente in memoria, deve poter richiedere a questo modulo la sua disattivazione temporanea quando viene lanciato dall’utente in modo da non avere conflitti. Quando la scansione termina il programma riattiva il modulo residente. • Il virus va alla ricerca di eventuali anti-virus residenti e se ve ne sono evita di partire (diventa latente), aspettando di entrare in azione quando non sono presenti questi “guardiani”.

  6. Perché sono nati Qual’ è il loro scopo • Gli anti-virus avevano sviluppato la tecnica CRC (Cycling Redundancy Check). • Essa permette di analizzare ogni file e, sul valore dei bytes che lo compongono, di generare una stringa in codice binario che viene memorizzata su disco. • Per ogni accesso al file si confronta il codice di controllo con quello memorizzato. • Tale tecnica ha delle contro-indicazioni.

  7. Perché sono nati Qual’ è il loro scopo Il virus stealth fa credere all’anti-virus che il file sia ancora allo stato originale intercettando i vettori di interrupt. Gli interrupt intercettati dagli stealth: • INT 01 - CPU-generated - SINGLE STEP; (80386+) - DEBUGGING EXCEPTIONS • INT 13 – DISK • INT 21 - DOS 1+ - Function Calls MS-DOS (fra cui open, close, delete, print)

  8. Le caratteristichedel virus stealth A seconda della natura del virus le tecniche usate per celare l’infezione sono: • MBR Stealth: il virus infetta l’MBR salvando l’originale da qualche parte e restituendolo in presenza di controlli. • SIZE HIDING: un virus infetta un file facendolo aumentare di lunghezza e durante un controllo restituitisce la lunghezza originale. • CLEAN ON-THE-FLY: il virus, attivo in memoria, intercetta le operazioni di lettura/scrittura e ripulisce il file. Poi lo re-infetta.

  9. Il primo virus stealth 1986: Brain, il primo virus documentato MS-DOS. • Infetta il settore di Boot del floppy. • Non ha codice dannoso: usato per cercare di comprendere la portata del fenomeno delle copie pirata. • Copia il contenuto del settore originale in una nuova locazione del disco grande 3 cluster, marcandoli come BAD nella FAT. • Si installa in memoria fra i 3KB e i 7KB di RAM. • Intercetta qualsiasi interrupt di acceso al floppy. • Modificava l’etichetta del floppy con “(c) Brain”.

  10. Virus TSRgeneralità • Dal momento che il contenuto della RAM viene perso ogni volta che si spegne il computer, i TSR (Terminate and Stay Resident ) devono: • Essere eseguiti dall’utente OPPURE • Bisogna indicarne l’esecuzione automatica negli appositi file di configurazione o di boot. • Il virus per determinare se una sua copia è già in memoria può: • Creare una nuova function call per un certo interrupt. • Scandire la memoria alla ricerca di una copia del suo codice. • Se non vi è già una copia del virus attiva in memoria allora si ritaglia uno spazio di memoria in cui si annida ed intercetta le system call per i suoi scopi.

  11. Virus TSRgeneralità • Quando un virus si installa residente in memoria, sostituisce uno o più vettori di interrupt con nuovi puntatori alle proprie routine. Esempio di system call: • 4Bh, caricamento di un programma in memoria; • 3Ch, creazione di un file; • 3Dh, apertura di un file; • 3Fh, chiusura di un file; • 43h, cambio attributi di un file; • 56h, ridenominazione di un file; Function call: INT 21h (gestione directory e dischi quali 11h, 12h, 4Eh, 4Fh).

  12. Virus MBR • La diffusione avviene generalmente quando si avvia un PC da un floppy infetto (anche vuoto->disco non di sistema). • Sposta l’MBR e, se il virus è più grande di 512 Byte, la seconda parte del suo codice in altri settori del disco, successivamente copia la prima parte di sé stesso nello spazio così liberato. • Segna come BAD i cluster occupati dal MBR e dalla sua seconda parte di codice. • Il codice virale viene eseguito automaticamente a ogni boot del sistema e viene attivato direttamente dal programma di avvio memorizzato nel BIOS. • Il virus MBR stealth al momento di una chiamata diretta alla lettura del MBR restituirà la versione originale salvata.

  13. Virus MBRavvio del sistema Quando il Bootstrap loader del sistema legge il contenuto del boot sector, il virus: • Copia in memoria le info lette e da loro il controllo. • Riduce a quantità di memoria libera. • Si copia nello spazio ottenuto. • Setta gli interrupt che gli sono necessari. • Esegue eventuali operazioni addizionali. • Carica in memoria il Boot sector originale e gli da il controllo.

  14. Virus MBR

  15. Esempio virus MBRStoned.Michelangelo.D • Virus scoperto nei primi mesi del 1991. La documentazione di Norton Antivirus riporta: “is a virus that infects the DOS boot sector on floppy disks and the master boot record (MBR) of the first hard drive (80h)”. • Se il sistema è stato infettato ed è riavviato il giorno 6 Marzo (compleanno dell’artista), il virus sovrascrive silenziosamente i primi 17 settori dei primi 256 cilindri dell’hard disk con dati casuali dalla memoria. All’inizio, nei giorni che precedettero tale data, questo virus fece molto scalpore tanto da scatenare la cosiddetta Michelangelo Madness. In realtà il crollo totale non si verificò mai poiché le contromisure adottate furono sufficienti.

  16. Virus File Infectorgeneralità • I File Infector si possono dividere Parasitic Viruses, Overwriting Viruses, Companion Viruses e Linking Viruses. Tutti i sopracitati tipi di virus possono utilizzare la tecnica Stealth, Encryption o Polymorphism. • I file infettati sono COM, EXE, SYS (device driver) e anche i DOC. • Si replicano ad ogni avvio del programma infetto. • Il virus parassita: preserva le funzioni del file ospite. Esso si differenzia dal virus che attacca il settore del boot in quanto si attacca a un programma e si replica attraverso altri programmi senza toccare il sistema operativo.

  17. Virus File InfectorCOM/EXE • Gli EXE al momento sono una delle famiglie infettive più diffuse al mondo. • Gli EXE possono contenere una quantità di codice addirittura superiore ai 64K. • Prima di infettare il file il virus deve stabilirne il formato o fidandosi della estensione (possibilità di errore) o analizzando l’header. • L’inserimento può avvenire in prepending, in appending o in mezzo. • Lo stealth usa di solito l’ultima strategia: il virus può inserirsi nella stack area o in una porzione di codice non utilizzata o spostando un pezzo di codice da un’altra parte.

  18. Virus File Infector Inserimento spostando un pezzo di codice:

  19. Esempi di virus File InfectorHare • Alias: HDEuthanasia, Krsna • Tipo: Stealth OS, Boot MBR, Boot Resident, COM/EXE –files • Origine: Slovenia • Anno: 1996 • Note: Hare e' un virus stealth residente con capacità antieuristiche e antidebug.

  20. Esempi di virus File InfectorHare • Infetta i file COM ed EXE, gli MBR degli Hard Disk ed i boot sector dei floppy. I file infettati sono marcati settando il campo dei secondi nell'ora di creazione a 34. • Quando un file infetto viene lanciato, il virus per prima cosa infetta l'MBR dell'Hard Disk. Quando la macchina viene riavviata il virus si installa in memoria dall'MBR e comincia ad infettare i floppy e i file EXE e COM. • Una volta residente, il virus occupa più di 9Kb di memoria. La dimensione dei file infetti cresce di circa 7-8Kb, a seconda del decriptatore polimorfico.

  21. Esempi di virus File InfectorHare • Hare e' in grado di infettare sotto Windows 95. Hare si attiva il 22 Agosto e il 22 Settembre all'accensione della macchina. • In quel momento mostra questo testo: "HDEuthanasia" by Demon Emperor: Hare Krsna, hare… • Dopodiche' il virus tenta di sovrascrivere l'Hard Disk e i drive A: e B: . Questa procedura produce un errore 'Disco non di sistema', ma il virus rimane residente dopo che il danno e' stato fatto (così può ancora replicarsi se un floppy di sistema viene inserito per far ripartire la macchina). • Fu probabilmente distribuito su internet, dato che presto si rilevarono casi anche in Canada, Inghilterra, Svizzera, Russia, e Olanda.

  22. Come smascherarlie sconfiggerli Il tallone d’ Achille di un virus Stealth è la fase di esecuzione: • quando un virus è latente su un disco può nascondersi, quando però è attivo e si trova nella memoria RAM, diventa visibile. • Gli Antivirus di ultima generazione non solo cercano di cogliere in fallo il virus Stealth quando questo è in memoria, ma riescono a rilevarlo anche in fase di latenza, quando è addormentato, con sofisticati strumenti di interrogazione. 

  23. Come smascherarli e sconfiggerlieliminare il virus MBR TSR • Avviare il sistema da un floppy pulito. Poi con FDISK/MBR sostituiremo l’MBR infetto e il virus non sarà più caricato all’avvio. • Se non disponiamo di un floppy bisogna individuare il punto in cui il virus ha salvato l’MBR originale: L’indirizzo di tale area può essere o in formato logico (numero del settore del disco logico, gestito dal DOS) o in formato assoluto (numero cilindro, testina e settore del disco fisico, gestito dal BIOS). Il valore dell’indirizzo è calcolato in modo diverso a seconda del metodo usato dal virus per conservarsi il settore originale.

  24. Come smascherarli e sconfiggerlieliminare il virus MBR TSR • I Boot virus sono soliti decrementare la quantità di memoria convenzionale visibile da DOS per inserirci la propria porzione TSR. • Si dovrà effettuare una scansione fra l’indirizzo del segmento della fine della memoria DOS e l’inizio del segmento della memoria video (A000h).

  25. FILE INFECTORprevenire e curare i danni • Evitare di scaricare eseguibili o altro da siti non ufficiali se poi questo non fosse possibile prima di eseguire qualsiasi programma scaricato verificare con un buon antivirus lo stato dello stesso. • Testare e curare i file eseguibili (COM, EXE, SYS) di tutte le directory, di tutti i driver e senza tenere conto degli attributi dei file (sola lettura, di sistema, nascosto). • Ripristinare gli attributi, la data e l’ora dei file.

  26. FILE INFECTORprevenire e curare i danni Attenzione a quando si cancellano dei file infetti: • Coi virus companion nessun problema. • In altri casi si possono anche danneggiare i file: Esempio: la cancellazione di un file infetto col virus “DIR II” ( Dir-2 virus is a memory resident, stealth, Master Boot Record (MBR)/Boot Sector infecting virus) provoca un malfunzionamento della FAT facendo comparire dei lost cluster su disco.

  27. Link di riferimento: • http://udsab.dia.unisa.it/ads.dir/corso-security/www/CORSO-9900/virus/minfezione.htm • http://programmofacile.web-gratis.net/virus/virdef.htm • http://www.itis-molinari.mi.it/documents/4ai/Pagine/Virus&antivirus.htm • http://www.marcedone.it/pipermail/condominio/2002-November/000277.html In formato PDF e PS informazioni varie sui vari tipi di virus e i modi in cui affrontarli: • http://udsab.dia.unisa.it/ads.dir/corso-security/www/CORSO-0102/Boot_virus.pdf • http://udsab.dia.unisa.it/ads.dir/corso-security/www/virus_9798.ps

More Related