giovedì 14 maggio 2009

Comparativa tra 17 antivirus: chi vincerà?


Sentiamo sempre parlare di "miglior" antivirus. Scopriamo chi ha vinto la comparativa.




Av-comparatives, noto sito per le comparative sugli antivirus, ha eseguito il test su 17 diversi antivirus.

Gli antivirus sotto esame sono i seguenti:

• avast! Professional Edition 4.8.1335
• AVG Anti-Virus 8.0.234
• AVIRA AntiVir Premium 8.2.0.374
• BitDefender Anti-Virus 12.0.11.4
• Command Anti-Malware 5.0.8
• eScan Anti-Virus 10.0.946.341
• ESET NOD32 Antivirus 3.0.684.0
• F-Secure Anti-Virus 9.00.149
• G DATA AntiVirus 19.1.0.0
• Kaspersky Anti-Virus 8.0.0.506a
• Kingsoft AntiVirus 2008.11.6.63
• McAfee VirusScan Plus 13.3.117
• Microsoft Live OneCare 2.5.2900.20
• Norman Antivirus & Anti-Spyware 7.10.02
• Sophos Anti-Virus 7.6.4
• Symantec Norton Anti-Virus 16.2.0.7
• Trustport Antivirus 2.8.0.3011


Per eseguire il test sono stati usati 1.3 milioni di malware in circolazione negli ultimi 9 mesi.

Questi sono i risultati:

1. G DATA 99.8%
2. AVIRA 99.7%
3. McAfee2 99.1%
4. Symantec 98.7%
5. Avast 98.2%
6. BitDefender, eScan 98.0%
7. ESET 97.6%
8. Kaspersky, TrustPort 97.1%
9. F-Secure 93.4%
10. AVG 93.0%
11. Sophos 89.6%
12. Command 88.9%
13. Norman 87.8%
14. Microsoft 87.1%
15. Kingsoft 84.9%


Per maggiori informazioni sulla comparativa visitate
www.av-comparatives.org


F02 ZoneAlarm Antivirus


 Continua...
Pubblicato da Viral Blogger alle 5/14/2009 09:53:00 PM 1 commenti
Etichette: , , , , , , , , , ,

Poison Ivy (seconda parte)

Si, purtroppo è estremamente facile creare un trojan con Poison Ivy. Vediamo come.



Una volta scaricato il programma,


apriamo Poison Ivy 2.3.2.exe.


Poison Ivy ci da la possibilità di creare server e client, per prima cosa bisogna creare un server.


Ecco alcuni screen della configurazione del server, che in questa prova chiameremo ViralBlog.


Non spiegherò come configurare il server, questo articolo non è una guida su come si usa Poison Ivy, ma una prova sulla semplicità di creare un trojan con tale programma.



Adesso ci vuole un client che si colleghi al server appena creato.



In questo caso sulla porta 3466, la stessa che abbiamo impostato sul server.
Ed ecco il client pronto a connettersi con il server ed eseguire operazioni.


Naturalmente non c'è nessun server in ascolto e quindi non avviene nessuna connessione.

Ma il server appena creato sarà immune agli antivirus?
Per scoprirlo userò un servizio online, www.virustotal.com, che permette di eseguire la scansione di un file con ben 40 antivirus diversi.


Ed ecco il risultato:

37 su 40 antivirus rilevano il trojan.


Solo tre antivirus non ritengono il file pericoloso.

Da questa breve analisi si potrebbe dire che è inutile preoccuparsi di Poison Ivy, perchè tanto viene rilevato da quasi tutti gli antivirus più usati.
Invece non è così. Girando in rete si trovano dei programmi che permettono di rendere il malware creato immune agli antivirus. Ma funzionano?

Modificando il server appena creato con uno di questi tool si ottiene un file leggermente più "pesante" (10kb originale, 231kb modificato) e immune agli antivirus. Una volta modificato il file originale, cambiamo nome del file, cambiamo icona e rifacciamo il test.(ho omesso la procedura di modifica del server perchè ripeto questo articolo non è una guida sulla creazione di malware).

Ripetendo la scansione online tramite Virustotal si ottiene il seguente risultato:


Molto preoccupante direi. Solo un terzo riconosce il malware come tale.
Anche antivirus molto blasonati non lo rilevano più come minaccia.

Attenzione questo non indica una maggiore affidabilità da parte di un AntiVirus piuttosto che da un altro. Attualmente, non esiste soluzione che offra certezza al 100% sull'identificazione di malware.

L'ottimo servizio gratuito Virustotal lo consiglio per controllare file sospetti, scaricati da internet o allegati alle mail. Basta osservare delle semplici regole per poter stare più tranquilli, aggiornare costantemente sistema operativo e software antimalware, non scaricare materiale da reti P2P e non visitare siti poco affidabili.

Nel prossimo articolo vedremo quali operazioni permette di effettuare il client di Poison Ivy e come rimuovere il server da un computer infetto.

Guarda il video su Poison Ivy.

 Continua...
Pubblicato da Viral Blogger alle 5/14/2009 11:16:00 AM 0 commenti
Etichette: , , , , , , , , , ,

martedì 12 maggio 2009

TOP 10 Malware più diffusi.

Di seguito le varie TOP 10 dei malware più diffusi di recente.



Kaspersky














Symantec








BitDefender













McAfee












Trend Micro











ESET










K7 Computing














Virus Bulletin
Continua...
Pubblicato da Viral Blogger alle 5/12/2009 04:04:00 AM 0 commenti
Etichette: , , , , , , , , , ,

Il primo worm creato; MORRIS.


Il primo worm fu creato da uno studente del MIT (Massachussets Institute of Technology) Robert Tappan Morris, da cui prende il nome, nel 1988.

Il 2 novembre 1988 il worm Morris viene diffuso dal proprio creatore da un computer del MIT. Nel giro di pochissimo tempo si diffuse su tutta internet.
Nel periodo in questione i computer connessi ad internet erano pochissimi, Robert Morris creando questo worm voleva conoscere il numero esatto di computer connessi ad internet, infatti il worm si copiava automaticamente su ogni computer ed inviava un messaggio a tutti gli altri segnalando la propria presenza sulla rete.
Morris non aveva intenzione di danneggiare nessuno con il worm, ma essendo molto limitati i computer dell'epoca, il malware li rallentava e bloccava causando non pochi problemi.
Robert Morris fù processato e condannato a 3 anni di libertà vigilata, 400 ore di lavori socialmente utili e una multa di 10.000 USD.

Attualmente Robert Morris insegna al MIT.


 Continua...
Pubblicato da Viral Blogger alle 5/12/2009 03:00:00 AM 0 commenti
Etichette: , , , , , , , , , ,

I malware più pericolosi del passato fino ai giorni nostri.

Oggi avere un computer significa anche cercare di difenderlo dalle minacce che arrivano dalla rete.
Ecco in rassegna i malware più pericolosi e devastanti che hanno minacciato i nostri pc negli ultimi 20 anni.

- MORRIS
- CHERNOBYL
- MELISSA
- I LOVE YOU
- NIMDA
- CODE RED
- SOBIG
- BLASTER
- SOBER
- MYDOOM
- NETSKY
- SASSER
- CABIR
- SONY ROOTKIT
- STORM WORM

questi i più noti.

 Continua...
Pubblicato da Viral Blogger alle 5/12/2009 02:43:00 AM 0 commenti
Etichette: , , , , , , , , , ,

martedì 5 maggio 2009

Poison Ivy (prima parte)

Nella rete girano moltissimi video dove viene spiegato come utilizzare dei RAT o Trojan horse "preconfezionati", cioè pronti all'uso. In questo video viene spiegato l'utilizzo di Poison Ivy, con tanto di sito web dove prelevare il pacchetto. Ma è veramente così semplice?





 Continua...
Pubblicato da Viral Blogger alle 5/05/2009 11:50:00 PM 0 commenti
Etichette: , , , , , , , , , ,

lunedì 4 maggio 2009

Sondaggio

Da due giorni è partito il sondaggio per vedere quale antivirus è più usato.

Purtroppo sulla rete girano molte notizie del "miglior antivirus", che in realtà non esiste.
Tutti gli antivirus hanno pro e contro, nessuno è perfetto. Approfondirò questo argomento al più presto.

Nel frattempo sto preparando un articolo per descrivere il funzionamento dei trojan horse o RAT, tramite prove pratiche eseguite nei miei pc.

A presto ... Continua...
Pubblicato da Viral Blogger alle 5/04/2009 06:06:00 AM 0 commenti
Etichette: , , , , , , , , , ,

venerdì 1 maggio 2009

Definizione di malware.

Si parla spesso di malware, cerchiamo di capire cosa sono e come vengono definiti.


Malware:
Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno.
La diffusione di tali software risulta in continuo aumento. Si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti, e tali numeri sono destinati verosimilmente ad aumentare.

Si distinguono molte categorie di malware, ecco le più conosciute e le più diffuse.

Virus:
Un virus è un software che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di sé stesso, generalmente senza farsi rilevare dall'utente. I virus possono essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. Come regola generale si assume che un virus possa danneggiare direttamente solo il software della macchina che lo ospita, anche se esso può indirettamente provocare danni anche all'hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.

Worm:
Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. Il termine deriva da un romanzo di fantascienza degli anni 1970 di John Brunner: i ricercatori che stavano scrivendo uno dei primi studi sul calcolo distribuito notarono le somiglianze tra il proprio programma e quello descritto nel libro e ne adottarono il nome. Uno dei primi worm diffusi sulla rete fu Internet Worm, creato da Robert Morris, figlio di un alto dirigente della NSA il 2 novembre 1988, quando internet era ancora agli albori. Tale virus riuscì a colpire tra le 4000 e le 6000 macchine, si stima il 4-6% dei computer collegati a quel tempo in rete.

Trojan horse:
Un trojan o trojan horse (dall'inglese per Cavallo di Troia), è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.
In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall'attaccante per inviare istruzioni che il server esegue.

Backdoor:
Le backdoor in informatica sono paragonabili a porte di servizio (cioè le porte del retro) che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico.
Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario.

Keylogger:
Un keylogger è, nel campo dell'informatica, uno strumento in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer.
I keylogger software sono semplici programmi che rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad un computer remoto.

Spyware:
Uno spyware è un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata. I programmi per la raccolta di dati che vengono installati con il consenso dell'utente (anche se spesso negando il consenso non viene installato il programma) non sono propriamente spyware, sempre che sia ben chiaro all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga (purtroppo ciò avviene molto raramente).
In un senso più ampio, il termine spyware è spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l'installazione di dialer truffaldini per numeri a tariffazione speciale.

Rootkit:
Un rootkit è un programma software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utente o amministratore. Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all'interno del sistema operativo.
Se è vero che questa tecnologia è fondamentale per il buon funzionamento del sistema operativo, negli anni sono stati creati trojan e altri programmi maligni in grado di ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, s'è molto diffusa la pratica, tra i creatori di malware, di utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilità di occultarne i processi principali. Grazie all'alto livello di priorità con la quale sono in esecuzione, i rootkit sono molto difficili da rilevare e da rimuovere con i normali software Antivirus.

Questi sono i malware più conosciuti e diffusi. Continua...
Pubblicato da Viral Blogger alle 5/01/2009 10:49:00 AM 0 commenti
Etichette: , , , , , , , , , ,

Presentazioni ...

Questo blog nasce dalla voglia di condividere le conoscenze personali, acquisite negli anni, sulle varie minacce informatiche che girano in rete.


-----------------------

Buona lettura. Continua...
Pubblicato da Viral Blogger alle 5/01/2009 02:50:00 AM 0 commenti
Etichette: , , , , , , , , , ,
Iscriviti a: Post (Atom)