.png)
Una volta scaricato il programma,
apriamo Poison Ivy 2.3.2.exe.
Poison Ivy ci da la possibilità di creare server e client, per prima cosa bisogna creare un server.
Ecco alcuni screen della configurazione del server, che in questa prova chiameremo ViralBlog.
Non spiegherò come configurare il server, questo articolo non è una guida su come si usa Poison Ivy, ma una prova sulla semplicità di creare un trojan con tale programma.
Adesso ci vuole un client che si colleghi al server appena creato.
In questo caso sulla porta 3466, la stessa che abbiamo impostato sul server.
Ed ecco il client pronto a connettersi con il server ed eseguire operazioni.
Naturalmente non c'è nessun server in ascolto e quindi non avviene nessuna connessione.
Ma il server appena creato sarà immune agli antivirus?
Per scoprirlo userò un servizio online, www.virustotal.com, che permette di eseguire la scansione di un file con ben 40 antivirus diversi.
Ed ecco il risultato:
37 su 40 antivirus rilevano il trojan.
Solo tre antivirus non ritengono il file pericoloso.Da questa breve analisi si potrebbe dire che è inutile preoccuparsi di Poison Ivy, perchè tanto viene rilevato da quasi tutti gli antivirus più usati.
Invece non è così. Girando in rete si trovano dei programmi che permettono di rendere il malware creato immune agli antivirus. Ma funzionano?
Modificando il server appena creato con uno di questi tool si ottiene un file leggermente più "pesante" (10kb originale, 231kb modificato) e immune agli antivirus. Una volta modificato il file originale, cambiamo nome del file, cambiamo icona e rifacciamo il test.(ho omesso la procedura di modifica del server perchè ripeto questo articolo non è una guida sulla creazione di malware).
Ripetendo la scansione online tramite Virustotal si ottiene il seguente risultato:
Molto preoccupante direi. Solo un terzo riconosce il malware come tale.
Anche antivirus molto blasonati non lo rilevano più come minaccia.
Attenzione questo non indica una maggiore affidabilità da parte di un AntiVirus piuttosto che da un altro. Attualmente, non esiste soluzione che offra certezza al 100% sull'identificazione di malware.
L'ottimo servizio gratuito Virustotal lo consiglio per controllare file sospetti, scaricati da internet o allegati alle mail. Basta osservare delle semplici regole per poter stare più tranquilli, aggiornare costantemente sistema operativo e software antimalware, non scaricare materiale da reti P2P e non visitare siti poco affidabili.
Nel prossimo articolo vedremo quali operazioni permette di effettuare il client di Poison Ivy e come rimuovere il server da un computer infetto.
Guarda il video su Poison Ivy.
Nessun commento:
Posta un commento