Roma – Spett.le Redazione di Punto Informatico, in relazione all’epidemia su scala mondiale causata dal virus Goner, vorrei porre in risalto alcuni problemi di progettazione degli antivirus da me rilevati.
In particolare, abbiamo assistito a tale infezione in data 4 Dicembre 2001, mentre il mio appello alle case antivirus era partito già diversi giorni prima (nelle date 25 e 27 Novembre su vari newsgroup con il titolo: Antivirus Bug) e rimasto tutt’oggi in parte senza risposta.
Il problema da me riscontrato riguarda la disabilitazione degli antivirus da parte di un qualsiasi codice maligno, senza che l’utente sia avvisato (come di norma avviene mediante un apposito messaggio) e resti sprotetto dal controllo real-time del disco e della memoria rimanendo di fatto in balia dei virus, anche di quelli più banali.
Tale problema di sicurezza che affligge AVP-Kaspersky, F-Prot, McAfee, PANDA in ambiente Win9x era stato da me rilevato e reso pubblico per fare in modo che le diverse case produttrici di antivirus interessate ponessero prontamente una soluzione.
Con il virus Goner abbiamo visto utilizzare una tecnica “retrovirus” consistente in un semplice process killing di eventuali antivirus/firewall presenti sul sistema, per ottenerne il completo controllo e la libertà d’agire totale.
Proprio l’utilizzo della tecnica retrovirus era oggetto delle mie segnalazioni e soprattutto quando per ottenere tale sprotezione del sistema bastano poche righe di codice che il problema si fa ancora più grave.
Ho riscontrato, infatti, che malgrado i numerosi anni di esperienza dei produttori di antivirus, bastasse ingannare i vari prodotti facendo credere loro che il computer fosse in fase di spegnimento ed ottenerne la disabilitazione.
E’ opportuno segnalare, però, che con questa tecnica non effettuo un semplice process killing (come viene fatto da Goner) e ciò mi permette di ingannare un antivirus come PANDA che non confina la sua protezione unicamente all’eseguibile, ma si avvale di un VxD (statico) che ne permette un funzionamento costante, anche se il processo.exe dovesse essere chiuso. Di sicuro questa maniera di chiudere gli antivirus è più sofisticata e pericolosa nonchè inedita, e costituisce un vero e proprio bug visto che altri antivirus come Norton e InoculateIT ne sono immuni.
La mia utility è un semplice exploit che dimostra come fare tutto questo ed è presente in rete fin dal 25 Novembre 2001 all’indirizzo http://piorio.supereva.it/whatsec.htm .
Ciò però non ha destato molte preoccupazioni da parte delle diverse aziende produttrici e soltanto AVP-Kaspersky si é reso conto del pericolo di una simile vulnerabilità rimediando quanto prima (in data 30 novembre ne vengo a conoscenza): è disponibile nell’update settimanale di AVP il supporto a quello da loro battezzato “Trojan.Win32.Piorio”, si tratta ovviamente del mio exploit.
Naturalmente la mia è solo una utility di testing, visto che l’utente è avvisato delle operazioni che sta effettuando, malgrado la dicitura Trojan adottata da Kaspersky che può far pensare a ben altro.
Che dire, dunque?
La risposta di alcuni distributori italiani è stata alquanto ironica, il problema comunque continua a persistere e se tecniche più semplici (come il mero process killing) già adottate da Goner hanno provocato tutti questi danni, spero che venga posto rimedio al problema (più grave) da me segnalato, quanto prima possibile.
Cordiali Saluti,
Paolo Iorio