P2P assaltato con il Social Engineering

di Rosario Marcianò - Come accade che nelle reti dello sharing vengano fatti circolare file e applicativi frutto sì di pirateria ma anche di felloneria informatica. Una provocatoria radiografia del malware P2P

Roma - Il fenomeno del file sharing (P2P), così tanto dibattuto in questo periodo, non ha bisogno di ulteriori discernimenti da parte mia. In questo articolo, mi preme invece affrontare il problema dal lato della sicurezza, senza addentrarmi più di tanto nell'ambito più a cuore ai produttori di opere coperte da copyright. È mia intenzione invece mettere in rilievo quelli che sono gli aspetti potenzialmente negativi nell'uso di programmi peer to peer, dal lato utente. Quest'ultimo è spesso convinto di avere la situazione sotto controllo, ma al contrario, essendo egli alla ricerca di software "a scrocco" e facendo uso disinvolto di tali strumenti, cade vittima del suo stesso male.

Gli italiani, inutile dirlo, sono tra i maggiori utilizzatori al mondo di software illegale, a cominciare dal sistema operativo. Questo loro ormai consolidato modus vivendi ha però, in migliaia di casi, un risvolto ironicamente distruttivo, visto che, sulle loro macchine girano worm e cavalli di troia di vario genere, attivati proprio tramite l'uso intensivo e sconsiderato di programmi quali Kazaa, Emule, ShareAza, LimeWire... soltanto per citarne alcuni. Quanti di questi utilizzatori ha la consapevolezza di avere il sistema infetto? Pochi, a giudicare dalla diffusione dei worm p2p.

Sfruttando il debole dell'utente che non vuole tirar fuori un solo euro per godersi il suo software preferito, un pugno di bontemponi (non potrei chiamarli altrimenti, visto che non è responsabilità loro se molti utenti cascano così facilmente nelle loro trappole) hanno realizzato un gran numero di eseguibili camuffati da distribuire nelle catene del file sharing. Questi files hanno al loro interno una sorta di attivatore che, una volta lanciato l'eseguibile, installa sulla macchina vittima, una serie componenti malevoli di vario tipo. Solitamente si tratta di programmi minuscoli, ma eccezionalmente ben congegnati, che fanno del sistema colpito una stazione di "comunicazione e attacco", testa di ponte per aggressioni informatiche verso l'esterno, senza che l'ignaro utente (permettetemi di chiamarlo "utonto") si accorga di nulla.
Il sistema, come si evince dal titolo di questo articolo, sfrutta il social enginering (ingegneria sociale) ovvero far leva sulle debolezze dell'utente. Cosa desidera ottenere, solitamente, colui che usa il programma di file sharing? Software, che di norma è a pagamento, GRATIS! Bene... allora diamoglielo! Ecco quindi che il trucco è di una semplicità disarmante ma gli effetti sono disastrosi, visto che sulle reti peer to peer girano oramai milioni di file esca, pronti per essere scaricati!

Ma c'è di più: molte copie degli stessi programmi adottati per il P2P, sono state ricompilate e redistribuite attraverso i canali P2P e contengono modifiche sostanziali, atte ad aumentare l'effetto propagazione dell'epidemia.

In che modo si estrinseca l'attacco?
Come accennavo, i metodi sono essenzialmente due:
- a) disseminare i canali P2P di programmi esca, dai nomi statisticamente molto ricercati (es. Steganos Internet Anonym Pro 7.1.1.zip, Mass Downloader 3.1 Build 599.zip, Norton WinDoctor 2005.zip, Acronis Disk Director Suite v9.0.537.zip, UltraISO 7.5.1.965.zip, My DVD Maker 1.0.zip, Nero Burning ROM 6.6.0.14 Reloaded.zip, Jasc Paint Shop Pro 9.01.zip ecc.);
- b) distribuire pacchetti ricompilati degli stessi programmi utilizzati per il file sharing.

Il primo passo consiste nell'installazione e nell'utilizzo del software di peer to peer. Allorquando l'utente farà una ricerca ed incapperà in uno dei falsi software regolari distribuiti sulla rete di sharing e, una volta scaricato uno di essi, lo eseguirà senza verificarne il peso in kb, che dovrebbe essere congruo al tipo di file "regolare" sottoposto a ricerca, scatterà la trappola. Una volta eseguito, infatti, il malware tenterà subito di instaurare una connessione con un indirizzo IP specifico (si faccia riferimento all'esempio riportato in fondo alla pagina). Nel caso si utilizzi il firewall di Windows XP, questo non avvertirà del tentativo di accesso dal PC alla rete Internet, in quanto il traffico in tale direzione non viene controllato. Inutile dire che, l'utilizzo di tale deficitario strumento non dà alcuna sicurezza, per cui... la prima difesa sarà subito superata dal worm o dal trojan, senza problemi.

Da questo momento, il computer dello sprovveduto utente è sotto il pieno controllo del writer che ha realizzato il worm. Il file di installazione genera un ermetico codice di errore e si autotermina, mentre l'utente, deluso, si avvede solo che il suo software preferito, che avrebbe voluto utilizzare senza tirar furi un centesimo, non è stato installato. "Che seccatura", penserà... "Magari sarò più fortunato provando a fare un'altra ricerca".

Il successivo passo, ad opera del piccolo installer, concerne nella registrazione delle chiavi di registro che attiveranno tutte le componenti del worm (o trojan horse che sia) ad ogni avvio del PC.

Attualmente gira una versione evoluta del worm "W32.Alcra.A", appositamente progettato per girare sulle reti di peer to peer. Il worm, ancora non identificato dalla maggior parte degli antivirus (al momento in cui scrivo), si chiama "WIN32.P2P-WORM.ALCAN.A". Esso esegue una serie di operazioni.

- 1) Si collega all'indirizzo IP 66.250.110.206;
- 2) Scarica una serie di componenti aggiuntive, dopodiché scrive su disco un innumerevole quantitativo (più di 270 Mb) di files con estensione zip, in una cartella nascosta (nei casi esaminati la directory è: "C:\Documents and Settings\Windows User\Complete"), ma la stessa cartella può essere anche nel percorso di sharing del programma di P2P (es: C:\Programmi\Kazaa\MyShared\Complete");
- 3) Crea una directory nascosta e relativi eseguibili in "C:\Programmi\winupdates\winupdates.exe", nonchè correlate chiavi di registro in "HKLM\Software\Microsoft\Windows\RUN".
- 4) Copia un certo numero di files con estensione.com, noché alcune librerie dll, nella cartella "System32".

Il primo segnale che ci indica che qualche cosa non va, visto che per il resto il sistema continua apparentemente a funzionare regolarmente, è il mancato avvio del task manager, sia attraverso i comandi CTRL+ALT+CANC, sia se proviamo a lanciare direttamente l'eseguibile taskmgr.exe da Start / Esegui (in questo modo il programmatore tenta di impedire l'identificazione e la terminazione dei processi estranei al sistema). Infatti, se facciamo caso, tra gli altri, notiamo che nella directory "C:\Windows\System32\" fa la sua bella comparsa un eseguibile DOS dal nome chiarificatorio: taskkill.com. Inoltre, il software termina i processi relativi a Microsoft Antispyware beta, mentre l'ultima release di Lavasoft Ad-Aware, resta, almeno per ora, immune all'attacco.

Il worm "WIN32.P2P-WORM.ALCAN.A" ha due finalità:

a) Infestare la rete peer to peer (infatti i 270 mb di files.zip con i nomi dei programmi più diffusi appariranno, alla bisogna, nella lista di ricerca, sia nostra che di altri collegati in file sharing);

b) Comunicare a ignoti dati sensibili (passwords e login di accesso, numeri di carte di credito, indirizzi e.mail, preferenze di navigazione, screenshots del desktop ecc.), estrapolati dal computer zombie.

La cosa che salta subito all'occhio, e che quindi deve insospettire (ma quanti ci fanno caso, visti i risultati?), consiste nel fatto che i programmi esca hanno tutti lo stesso peso: 851 kb.

Nel caso del worm "WIN32.P2P-WORM.ALCAN.A", l'attacco pare provenire dal Belgio, infatti all'indirizzo IP 62.179.105.8, fa capo un provider di quel paese. Si deduce che il virus writer possa essere un loro abbonato.

Rosario Marcianò
Fast Service Informatica
TAG: p2p
192 Commenti alla Notizia P2P assaltato con il Social Engineering
Ordina
  • Giusto una precisazione... taskkill.com è presente in QUALSIASI installazione di Windows XP. Il sig. Marcianò, invece di sbanderare cotanta presunta cultura informatica (dall'altezza della quale scaturiscono quelli che lui definisce "gigabyte di watt" o addirittura "gigaBITES di watt") dovrebbe almeno verificare la provenienza dei file lui addita come nocivi. Giusto un piccolo test: installare una versione legale di Windows XP su 2 macchine e, subito dopo l'installazione (senza installare nient'altro prima) andare a vedere in windows\system32 se il file esiste. Ops... Che sorpresa, vero sig. Marcianò?
    non+autenticato
  • - Scritto da: Michel
    > Giusto una precisazione... taskkill.com è
    > presente in QUALSIASI installazione di Windows
    > XP. Il sig. Marcianò, invece di sbanderare
    > cotanta presunta cultura informatica
    > (dall'altezza della quale scaturiscono quelli che
    > lui definisce "gigabyte di watt" o addirittura
    > "gigaBITES di watt") dovrebbe almeno verificare
    > la provenienza dei file lui addita come nocivi.
    > Giusto un piccolo test: installare una versione
    > legale di Windows XP su 2 macchine e, subito dopo
    > l'installazione (senza installare nient'altro
    > prima) andare a vedere in windows\system32 se il
    > file esiste. Ops... Che sorpresa, vero sig.
    > Marcianò?

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

       GRANDE !!!

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    krane
    22528
  • Se vuoi farti quattro risate:

    http://acarsterminator.freehost10.com/Straker_prof...

    Giusto una piccola annotazione: non faccio parte di nessun gruppo di debunker (acarsterminator è collegato a tali gruppi, tra cui c'è anche Paolo Attivissimo, probabilmente l'avrai già sentito nominare). Personalmente i debunker non mi stanno molto simpatici, o almeno quelli che trattano chi ne sa di meno in materie tecniche o scientifiche con arroganza, però per gente come Marcianò ben venga il loro lavoro.

    Trovo che il passaggio del suo "curriculum" dove parla di presunte nuovissime e segretissime tecnologie per separare i dati di lavoro da Windows sia delizioso ahuahuahauhauahuahuahu A bocca aperta
    non+autenticato
  • Errata corrige, il file si chiama taskkill.exe (dannata fretta...)
    Ad ogni modo penso che la forma del curriculum e dell'articolo scritti dal sig. Marcianò facciano comunque capire lo stato delle sue conoscenze informatiche
    non+autenticato
  • ...te sei propio un'accher nato!!

    Altro che scie Comiche te avessi avuto un futuro nell'NVIO
    non+autenticato
  • Purtroppo ho letto solo ora l'articolo. Mi schiero con il sig. Rosario e vi dirò il perchè.
    Innanzitutto premetto di non essere assolutamente un espertone informatico, ho 24 anni e da 8 anni uso il PC, mai seguito corsi specializzati, imparato tutto con il mio amico google e qualche guida di html, c, java e poco altro. Vi dico la mia perchè questo bel worm mi capitò un annetto fa circa (anche un anno e mezzo). Non so' come (di sicuro con WinMx), preso dalla frenesìa di trovare il crack per nonsoqualeprogramma.exe, non utilizzando alcun antivirus (Pc con mezzo banchettino di Ram e processore pentium 3, troppo lento pe rutilizzare un autoprotect della symantec), inavvertitamente devo aver cliccato su qualche file infetto.
    Me ne accorsi dopo qualche ora... con un pc così scadente, e che conoscevo a memoria, sapevo ogni minimo rumore a cosa corrispondeva. Trovai una cartella condivisa su WinMx che non avevo impostato io. C'erano all'incirca 650 file.exe con i nomi descritti dal sig. Rosario (aggiungo GtaViceCity.exe A bocca aperta).
    Bè... nel giro di 10 min, e senza l'ausilio di antivirus, riuscii a togliere il worm. Per questo trovo utile quanto scritto su P.I. qualche giorno fa.
    Penso che tutti gli attacchi ricevuti siano stati fatti da chi non ha avuto a che fare con questo worm (anche perchè non penso si sia diffuso parecchio).
    Altri attacchi per il curriculum? Ma vergognatevi...
    Altri attacchi perchè avete avvertito una "minaccia" per il P2P? Bè... non nascondo che questa cosa si poteva avvertire. Ma credo nella buona fede dell'autore. Penso che conoscesso P.I. e sapesse a cosa sarebbe andato incontro alzando un polverone contro il P2P.
    Io e il P2P siamo una cosa sola. Mai venduto un CD ad un solo centesimo. Se scarico l'album del Festivalbar è perchè comunque in assenza del P2P non andrei a spenderli 40 euro. Quindi non faccio nemmeno un danno alla SIAE ma mi auto-istruisco. Se domani mi scarico 4 film, per lo Stato creo un danno di 80 euro (20 euro a dvd), perchè considerano che andrei a comprarmeli... tsè.
    Vi dico questo in quanto ero uno dei gestori di un server di chat, usato però nell'opennap (winMx/Lopster/ecc ecc), e come molti di voi sapranno sono venuti a portarci via i computer e tutti i supporti informatici (evviva l'Italia) e siamo denunciati di associazione a delinquere, sui giornali gira una disinformazione assurda, per non parlare dei telegiornali il giorno in cui hanno dato la notizia (gang, pirati informatici, malavitosi). Scusate questo O.T. ma almeno si è capito cos'è per me il P2P.
    Intanto ieri hanno rilasciato il rumeno che investi (un anno fa) un botto di persone a 130km/h ad un matrimonio e ne uccise 2 (o una(?)), aveva appena fumato di tutto e in macchina un po' di lattine di birra (evviva l'Italia).
    non+autenticato
  • Mi permetta Signor Ross, di rammentarle che il suddetto uomo di neanderthal era già frutto di migliaia di anni di evoluzione. I signori che l'hanno attaccata in maniera così accalorata, sono gli stessi che non solo utilizzano il peer to peer ( e non entro nel merito della legalità o meno ) in maniera sconsiderata, ma probabilmente sono gli stessi che simulano colpi di frusta, non emettono scontrini, o pagano tasse universitarie ridotte al minimo perchè agricoltori, salvo poi permettersi pc da migliaia di euro; che oltretutto non sanno nemmeno usare, e criticano in maniera spocchiosa chi ogni tanto apre loro gli occhi. Mi permetta quindi signor Ross di definirli trilobiti, picchiare selvaggiamente su una tastiera è già uno stato evolutivo troppo avanzato.

    Grazie per quello che ci scrive.

  • wyxyx è il fratello di rosario marcianò basta guardare il suo account su blogger per vedere che collaborano sugli stessi blog che spacciano la falsa teoria delle scie chimiche, loro occupazione attuale. Ovviamente l'informatica non era il campo giusto: non sono ammessi i fuffari.

    - Scritto da: wyxyx
    > Mi permetta Signor Ross, di rammentarle che il
    > suddetto uomo di neanderthal era già frutto di
    > migliaia di anni di evoluzione. I signori che
    > l'hanno attaccata in maniera così accalorata,
    > sono gli stessi che non solo utilizzano il peer
    > to peer ( e non entro nel merito della legalità o
    > meno ) in maniera sconsiderata, ma probabilmente
    > sono gli stessi che simulano colpi di frusta, non
    > emettono scontrini, o pagano tasse universitarie
    > ridotte al minimo perchè agricoltori, salvo poi
    > permettersi pc da migliaia di euro; che
    > oltretutto non sanno nemmeno usare, e criticano
    > in maniera spocchiosa chi ogni tanto apre loro
    > gli occhi. Mi permetta quindi signor Ross di
    > definirli trilobiti, picchiare selvaggiamente su
    > una tastiera è già uno stato evolutivo troppo
    > avanzato.
    >
    > Grazie per quello che ci scrive.
    >
    non+autenticato
  • Ma per favore....evitiamo di inquinare questo bellissimo sito da queste inutili notizie, per favore!
    Ovvio che se uno scarica " xxx britney spears.exe" si becca un virus, per favore ragazzi siamo tutti adulti e vaccinati.
    E' LOGICO che per esempio PAINT SHOP PRO non ha 50Kb nel SETUP.EXE, mi sembra logico.
    Ovvio che se uno, come dicevo prima, apre "Setup.exe" da 50Kb e si becca un virus, deve buttare via il pc perche' troppo stupido per usarlo.
    Un minino di cognizione ci deve essere, e' come se per strada attraverso senza guardare ne a destra ne a sinistra....son cose che si devono sapere....per favore...
    La conoscienza e' potere....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 38 discussioni)