|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Tutti i contenuti di pc-vs-mac.com,
salvo ove diversamente specificato,
sono pubblicati secondo la licenza
d'uso Creative Commons.
|
|
|
| |
Virus per Windows Vista?
si, ma li avete Visti? |
|
|
| |
| |
Quando si parla di Windows c'è una strana tendenza: si sacrifica regolarmente l'informazione corretta a fronte dello scoop e del sensazionalismo. L'ultimo caso è quello recente della notizia dei primi virus per Windows Vista, usciti praticamente in contemporanea con la sua Beta 1.
Avete visto quante parole sono state spese in rete?
Bene, ora ditemi: in quanti hanno visto di cosa si tratta prima di parlare? A giudicare da articoli e commenti, molto ma molto pochi. Il sito su cui siete è qui per uno scopo preciso: fare informazione. Andiamo quindi a vedere questi fantastici 5 virus cosa sono e cosa fanno.
Anzitutto c'è da premettere che Microsoft sta realizzando per Vista una shell potente, che per alcuni versi assomiglia a quella dei sistemi *nix e che offre una tecnologia orientata ad oggetti. E, si sa, a strumenti potenti corrispondono più possibilità: tuttavia non sarà agevolato solo chi vuole impiegare bene le nuove opportunità, ma anche chi vorrà usarle male, scrivendo ad esempio malware. Prima di fare ulteriori considerazioni a riguardo, vediamo nel dettaglio i virus:
MSH Overwriter
The virus works like that:
- Getting all *.msh file entries in $name_array
- Searchs itself via the filelength
- Copy itself to every other *.msh file-name |
MSH Prepender
It works like that:
- Getting *.msh files in the current directory
- Searching itself in the files (via Virusstring in the second line)
- Reads the whole file's date
- Searchs for not infected *.msh files
- Writes the 23 viruslines into the file
- Writes the victim's content to the file |
MSH Appender
How does it work:
- Searching for *.msh files in the current directory
- Searching in every file for a line with the Virusname
- Get the name of the current infected file
- Get the content of that file
- Searchs in every file for a line with the Virusname to get not-infected files
- Write the original content to the file
- Write the 36 lines (which are at the end of the file) to the file |
MSH EPO
Summary of the code above:
- Searchs for *.msh files in the current directory
- Searchs in every file for the Virusstring
- Saves the name of the file and the position of the virus
- Searchs for *.* files in the current directory
- Adds the filelength of every file
- Searchs for a virusstring in every *.msh to get uninfected files
- Calculates a valueable random number with $rnd_num%$cont.Length
- Writes the first part of the victim to the victim
- Writes the virus to the victim
- Writes the last part of the victim to the victim |
BAT/CMD/MSH Cross Infector
Last code is a cross infector for every Windows Command Line. That means BAT-Files (Win95-98), CMD-Files (WinNT/Win00-WinXP) and MSH-Files (Windows Longhorn [and maybe Blackcomp???]). I've done it without intern code changing while runtime, but all in one code. That means the code for BAT files looks like that one from CMDs and that one from MSH. As you will see now, there were very big problems, as MSH has no more-line command (like /* */), it fails when an error occure (No On Error Resume Next), it checks the content of functions, even they are not executed ect. Anyway, somehow I did it, and you can see it now - but without summary at the end, as there is nothing more to explain, you just see the (already known) code and the Cross-Infection technique. |
Avete capito? In pratica sono dei file .msh (l'equivalente dei .bat per la MSH) che fanno cose molto banali, tanto che in una certa misura sono addirittura riproducibili con gli attuali strumenti (ad esempio esempi file BAT che cercano altri file batch per sovrascriverli con sè stesso ci sono e sono perfino più corti, come numero di righe, del virus in questione). Insomma, è palese che sono solo degli esempi dimostrativi di malware, che tuttavia non hanno nessuna possibilità di diffusione reale - come hanno avuto modo già di precisare le varie aziende che lavorano nell'ambito della sicurezza.
La diffusione che invece hanno ottenuto, e ha ottenuto l'autore, è quella sui media, proprio in virtù del sensazionalismo di basso profilo di cui parlavo all'inizio. Non serve avere esperienza nè competenza, basta un poco di logica: se un sistema ti mette in grado di fare una qualsiasi cosa, puoi impiegarla bene o male. In questa ottica è assolutamente normale ed ovvio che si possa scrivere del malware. L'elemento che dovrebbe suscitare sensazione è se caso la sua qualità, che in questo caso non va oltre al proof-of-concept e che quindi di fatto non rappresenta nient'altro che la dimostrazione di ciò che è già scontato - anche se purtroppo solo per pochi.
Per concludere vorrei girare la questione. MSH è una potente shell che verrà. Parliamo di quelle che ci sono, invece. I *nix hanno delle shell molto potenti, che di fatto consentono all'utente (ovviamente a quello smaliziato) di fare praticamente qualsiasi operazione senza sentire la mancanza dell'interfaccia grafica, anzi, spesso si preferisce la shell a questa. Bene, scrivere un virus che ad esempio esegue le stesse operazioni del primo (ma per gli altri vale lo stesso discorso, cambia solo il tempo che ci si impiega a realizzarlo) non penso porti via più di 30 secondi all'utente che si ricorda a memoria la sintassi dei tre comandi - tra i più usati - che servono. A tal proposito vi invito a leggere l'articolo "La questione virus come non l'avevate mai vista, e più precisamente la pagina 4, dove si citano per l'appunto le opportunità che offre un sistema *nix per scrivere eventuale malware - il quale preciso fin da subito rimarrebbe anche in questo caso solamente una dimostrazione concettuale senza nessuna ricaduta pratica, in quanto di fatto un'ipotetica infezione si esaurirebbe all'interno di una stessa macchina e non avrebbe modo di propagarsi - l'elemento fondamentale nonchè l'aspetto più complesso della questione virus. Scrivere mille mila virus di questo tipo è perfino banale (colgo l'occasione per ricordare che di differenze tecniche di fatto non ce ne sono in quanto di fatto il modello di privilegi di Vista sarà simile, anche nei default, a quello dei *nix), serve unicamente un minimo di creatività, perfino la capacità tecnica è un fattore di secondo piano. Ma non farebbe notizia: nel mondo *nix, come ho già avuto modo di dire, c'è una consapevolezza diversa rispetto al mondo Windows, e il giornalista che dovesse esaltare una notizia di un virus (che farei fatica a chiamare così) di questa natura - com'è successo in questo caso - verrebbe giustamente tacciato di incompetenza.
Proviamo a farlo accadere anche quando si parla di Windows...
|
|
|
|
|
|
| |
|
