Goner/ Win32.piorio exploit

Il problema di sicurezza che ha reso pericoloso il worm Goner era già noto. Ecco la cronaca della questione raccontata da un bug hunter, Paolo Iorio

Roma - Spett.le Redazione di Punto Informatico, in relazione all'epidemia su scala mondiale causata dal virus Goner, vorrei porre in risalto alcuni problemi di progettazione degli antivirus da me rilevati.

In particolare, abbiamo assistito a tale infezione in data 4 Dicembre 2001, mentre il mio appello alle case antivirus era partito già diversi giorni prima (nelle date 25 e 27 Novembre su vari newsgroup con il titolo: Antivirus Bug) e rimasto tutt'oggi in parte senza risposta.

Il problema da me riscontrato riguarda la disabilitazione degli antivirus da parte di un qualsiasi codice maligno, senza che l'utente sia avvisato (come di norma avviene mediante un apposito messaggio) e resti sprotetto dal controllo real-time del disco e della memoria rimanendo di fatto in balia dei virus, anche di quelli più banali.
Tale problema di sicurezza che affligge AVP-Kaspersky, F-Prot, McAfee, PANDA in ambiente Win9x era stato da me rilevato e reso pubblico per fare in modo che le diverse case produttrici di antivirus interessate ponessero prontamente una soluzione.

Con il virus Goner abbiamo visto utilizzare una tecnica "retrovirus" consistente in un semplice process killing di eventuali antivirus/firewall presenti sul sistema, per ottenerne il completo controllo e la libertà d'agire totale.

Proprio l'utilizzo della tecnica retrovirus era oggetto delle mie segnalazioni e soprattutto quando per ottenere tale sprotezione del sistema bastano poche righe di codice che il problema si fa ancora più grave.

Ho riscontrato, infatti, che malgrado i numerosi anni di esperienza dei produttori di antivirus, bastasse ingannare i vari prodotti facendo credere loro che il computer fosse in fase di spegnimento ed ottenerne la disabilitazione.

E' opportuno segnalare, però, che con questa tecnica non effettuo un semplice process killing (come viene fatto da Goner) e ciò mi permette di ingannare un antivirus come PANDA che non confina la sua protezione unicamente all'eseguibile, ma si avvale di un VxD (statico) che ne permette un funzionamento costante, anche se il processo.exe dovesse essere chiuso. Di sicuro questa maniera di chiudere gli antivirus è più sofisticata e pericolosa nonchè inedita, e costituisce un vero e proprio bug visto che altri antivirus come Norton e InoculateIT ne sono immuni.

La mia utility è un semplice exploit che dimostra come fare tutto questo ed è presente in rete fin dal 25 Novembre 2001 all'indirizzo http://piorio.supereva.it/whatsec.htm.

Ciò però non ha destato molte preoccupazioni da parte delle diverse aziende produttrici e soltanto AVP-Kaspersky si é reso conto del pericolo di una simile vulnerabilità rimediando quanto prima (in data 30 novembre ne vengo a conoscenza): è disponibile nell'update settimanale di AVP il supporto a quello da loro battezzato "Trojan.Win32.Piorio", si tratta ovviamente del mio exploit.

Naturalmente la mia è solo una utility di testing, visto che l'utente è avvisato delle operazioni che sta effettuando, malgrado la dicitura Trojan adottata da Kaspersky che può far pensare a ben altro.

Che dire, dunque?

La risposta di alcuni distributori italiani è stata alquanto ironica, il problema comunque continua a persistere e se tecniche più semplici (come il mero process killing) già adottate da Goner hanno provocato tutti questi danni, spero che venga posto rimedio al problema (più grave) da me segnalato, quanto prima possibile.

Cordiali Saluti,
Paolo Iorio
TAG: sicurezza
25 Commenti alla Notizia Goner/ Win32.piorio exploit
Ordina
  • Nella mia societa viene usato un antivirus corporate, talvolta alla mattina quando mi loggo parte assorbendo il 98% della cpu, piu volte (lavoro con NT) ho cercato di terminare il processo (task manager) ma come e logico mi viene impedito e allura come si puo fare semplice tasto destro sul processo e invece di termina si sceglie debug quando appare il debug di visual studio si stoppa ed il gioco e fatto addio antivirus.
    da programma basta semplicemente usare le api per eseguire il debug dei processi.
    amici viratori l'ennesimo buco vi è stato rilevato usatelo.
    non+autenticato
  • Da sempre si è assistico negli ambienti di lavoro a creazioni da parte degli addetti di roccaforti da cui guardano con sdegno chiunque non ne faccia parte e chiunque segnali errori, imprecisioni e quant'altro.
    Ancora una volta questa forma di idiozia si è presentata. Quello che è grave, come in tutti i casi in cui si manifesta, è che, in questo le ditte produttitrici di antivirus (tranne l'AVP) si siano trincerate dietro la loro superiorità e non abbiano neanche analizzato il problema.

    Sappiamo tutti e lo sappiamo benissimo che i computer sono debolissimi dal punto di vista della sicurezza e che basta un semplice file bat a svicolare i complicatissimi controlli degli antivirus, ma non sapevamo, o meglio speravamo che non potesse succedere anche in questo campo che gente come programmatori non possa accettare critiche ma soprattutto suggerimenti.

    Ancora una volta si sono creati i baroni, ancora una volta c'è gente arrogante che cerca di rovinare il progresso.
    non+autenticato
  • > Ancora una volta si sono creati i baroni,
    > ancora una volta c'è gente arrogante che
    > cerca di rovinare il progresso.

    L'importante è esserne a conoscenza e non acquistare i prodotti di questi "baroni".
    Nel mio lavoro di consulenza che svolgo saltuariamente avrò un elemento da considerare in più.
    non+autenticato
  • Gli antivirus sono stati testati sotto Win98/SE ed il McAfee è l'ultima versione da me scaricata da internet (alla data di creazione exploit 25 Novembre 2001) pertanto prima di fare alcune affermazioni pregherei gli utenti di testarlo con cura, se tutto questo fosse una bufala AVP non avrebbe rilasciato patch.
    Rivolgetevi a Kaspersky che è una fonte più autorevole di me e non fate delle false affermazioni.
    Se ci sono dei "guastatori" in giro per la rete pagati da qualcuno è meglio che dosino le parole.
    Saluti,
    Paolo Iorio
    non+autenticato
  • McAfee 4.5.0 corporate non viene riconosciuto, su cosa ti basi per fare il check degli AV installati?
    non+autenticato
  • Però... è proprio vero che la madre degli imbecilli è sempre incinta...
    Mi sono stupito delle opinioni espresse riguardo a questo articolo. Ciò mostra che in giro ci sono ancora moltissimi lamer, una brutta razza.
    Strafottenti e sapienti, si permettono di criticare gente che, oltre a saperne più di loro, cerca di aiutare altre persone.

    UN GRAZIE A PAOLO IORIO, con l'augurio che questa feccia che lo critica e lo accusa di farsi pubblicità (a che pro? E' una critica imbecille) sparisca dalla faccia della terra.
    non+autenticato
  • Condivido pienamente il tuo pensiero LHD.

    Saluti Mario.

    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)