Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Scienza
  2. Scienze della salute
  3. Malattie infettive

Codice malizioso - Dipartimento di Informatica

Codice malizioso
Codice “malizioso”
¾Dopo una violazione del sistema, un intruso
potrebbe installare del codice per
¾ sottrarre dati riservati
¾ muovere attacchi verso altre macchine
Barbara Masucci
¾Tale codice può anche sostituire comandi di sistema
Dipartimento di Informatica ed Applicazioni
¾ Sostituzione di sendmail con una nuova versione che
memorizza in un file i messaggi inviati dall’utente
¾ Sostituzione di ls con una nuova versione che non
visualizza il file creato dal sendmail fasullo
Università di Salerno
[email protected]
http://www.dia.unisa.it/professori/masucci
Barbara Masucci - DIA – Università di Salerno
Codice “malizioso”
Il termine “Virus”
¾David Gerrold, 1972
¾Altro metodo per l’installazione o esecuzione
di software malizioso su una macchina
¾ Nel libro “When Harlie Was One” viene descritto un
programma chiamato virus creato da uno scienziato pazzo
¾ Il computer infettato provava a contattare un altro
computer via telefono
¾ Entrava in quel sistema e lo infettava con una sua copia
¾ Si infiltrava nel software di sistema e lo rallentava fino a
renderlo inutilizzabile
¾ indurre un utente/amministratore a scaricarlo
dalla rete ed eseguirlo (anche inconsapevolmente)
¾Un’applicazione tipica di questo approccio sono
i Virus
¾ Antivirus Vaccine creato dall’inventore a scopo di lucro
¾ Programmi che penetrano in un programma ospite
modificandolo, per riprodursi e danneggiare dati
e/o programmi
Barbara Masucci - DIA – Università di Salerno
1
¾Fred Cohen
¾ Il primo a definire in modo formale il concetto di virus
¾ "... a program that can infect other programs by modifing
them to include a possibly evolved copy of itself "
2
Barbara Masucci - DIA – Università di Salerno
3
Ciclo di vita di un virus
Ciclo di vita di un virus
¾Attivazione
¾Creazione
¾ Al verificarsi delle condizioni previste il virus viene attivato
¾ Fase in cui lo sviluppatore progetta, programma e diffonde
il virus
¾Propagazione
¾ Il virus propaga l'infezione, riproducendosi e infettando sia
file nella stessa macchina che altri sistemi (tramite scambio
di dischi, connessioni via modem o collegamenti in rete)
¾Incubazione
¾ Il virus controlla che il file o il sistema da infettare sia
libero da infezioni
¾Riconoscimento
¾Infezione
¾ Viene individuata la stringa di riconoscimento del virus
¾ Se l'infezione non è attiva sullo stesso sistema, allora il
virus infetta il file e di conseguenza il sistema
¾Estirpazione
¾ Il virus viene eliminato dal sistema mediante un antivirus
Barbara Masucci - DIA – Università di Salerno
4
Virus: Classificazione
Barbara Masucci - DIA – Università di Salerno
5
Virus: Classificazione
o Dannosi
o Innocui
o Possono causare problemi alle normali operazioni del
computer
o Non alterano le operazioni del computer
o Il risultato della loro propagazione comporta solo una
diminuzione dello spazio libero sul disco
o Cancellazione di alcune parti dei file
o Molto dannosi
o Non dannosi
o Provocano danni difficilmente recuperabili
o La loro influenza si manifesta solo con una
diminuzione dello spazio libero sul disco, col mostrare
grafici, suoni o altri effetti multimediali
o Distruzione dei programmi
o Cancellazione di informazioni vitali per il sistema
o Formattazione di porzioni del disco
Barbara Masucci - DIA – Università di Salerno
6
Barbara Masucci - DIA – Università di Salerno
7
Virus e simili
Cavallo di Troia
¾Cavallo di Troia
Kevin Mitnich, 1986
¾ Programma apparentemente legale che contiene
istruzioni che realizzano funzioni non richieste
dell’utente (anche dannose)
¾ Progettò un cavallo di Troia che infettò
¾ Nove università
¾ Quindici compagnie della Silicon Valley
¾ Nove siti Arpanet
¾ Tre laboratori governativi
¾ Etc…
¾Worm
¾ Programma che si ricopia su reti di computer sfruttando
bug del sistema operativo
¾ Non necessita di un programma portatore
¾ Il virus sostituiva il programma di accesso alla rete con
una sua copia modificata
¾Virus
¾ Porzioni di codice autoreplicante
¾ Boot virus, macrovirus, etc…
Barbara Masucci - DIA – Università di Salerno
¾ Restituiva al suo autore login e password dell'utente che si
stava identificando in quell'istante
8
Worm
9
Boot Virus
¾Votati principalmente alla diffusione
¾Infettano il Boot Sector di un floppy o il
Master Boot Record degli hard disk
¾ Danneggiamento o sottrazione di dati
¾ Rallentano fino a bloccare il computer ospite
¾ Possono intasare una rete locale con le loro “spore”
¾ MBR copiato su un altro settore del disco
¾ Virus copiato nell’MBR
¾ Se più grande del settore sono usati altri settori
marcati BAD
¾ Alcuni esempi
¾ Il worm di Morris (novembre 1988)
¾ Code Red (luglio 2001), Nimda (settembre 2001)
¾ SQL Slammer (gennaio 2003), SoBig (agosto 2003),
MsBlaster (agosto 2003)
¾ Sasser (aprile 2004), Gaobot (aprile 2004)
Barbara Masucci - DIA – Università di Salerno
Barbara Masucci - DIA – Università di Salerno
¾Boot da disco infetto
¾ Viene letto il Boot Sector (contente il virus), copiato
in memoria ed eseguito
¾ Virus setta i vettori di interrupt
¾ Carica il vero Boot sector e gli trasferisce il
controllo
10
Barbara Masucci - DIA – Università di Salerno
11
Macrovirus
Melissa
¾Virus scritti come macro di applicazioni utente
¾Individuato nel marzo del 1999
¾ Macro: insieme di istruzioni usate per automatizzare
compiti
¾ In tre giorni, 100000 computer infettati
¾ Un sito ricevette 32000 copie di Melissa via email in
soli 45 minuti…
¾Possono essere eseguiti all’atto dell’apertura di
un documento
¾Nato per:
¾Esempi: Melissa e I Love You
¾ Replicarsi sotto Office97
¾ Infettare i documenti Word 97 e successive versioni
¾ Spedire sue copie attraverso messaggi di posta
elettronica usando Microsoft Outlook
¾ Scritti in VBS
¾ Si trasmettono via E-Mail
¾ Accedono e modificano il file registro di Windows
Barbara Masucci - DIA – Università di Salerno
12
Melissa: diffusione
13
Come funziona Melissa
L'allegato, una volta aperto, svolge due azioni:
¾Arriva come allegato di una email
¾ Oggetto: "Important message from (mittente)...".
¾ Body: “Here is that document you asked for…don’t
show anyone else”
¾ list.doc, documento Word, che contiene il macrovirus
Melissa
Barbara Masucci - DIA – Università di Salerno
Barbara Masucci - DIA – Università di Salerno
14
¾Diffusione
¾ Spedisce il documento infetto ai primi 50 indirizzi nella
rubrica
¾Infezione
¾ Disabilita la finestra di avvertimento per lo stato delle
macro e la protezione macro di Word
¾ Si mostra quando il valore della data corrisponde al valore
dell'ora
Barbara Masucci - DIA – Università di Salerno
15
Come funziona Melissa
I Love You
Il mese di Maggio del 2000 è stato segnato dalla comparsa del
virus "I Love You“
¾Supponiamo che l'infezione sia avvenuta alle ore 8:08 a.m.
¾Se l'8 agosto successivo si scrive un documento Word…
¾In pochi giorni, oltre 50 milioni di
computer infettati
¾Danni provocati: oltre 10 milioni
di dollari
Barbara Masucci - DIA – Università di Salerno
16
Barbara Masucci - DIA – Università di Salerno
I Love You: diffusione
Come funziona I Love You
¾Arriva tramite una e-mail contenente un file con
estensione VBS come allegato (il virus)
¾Si propaga tramite e-mail, inviando messaggi infetti
da computer dove è stato precedentemente eseguito
¾Il messaggio originale è il seguente:
¾Usa Microsoft Outlook per spedire se stesso a tutti
gli indirizzi contenuti nella rubrica
¾ The Subject: ILOVEYOU
Message test: kindly check the attached
LOVELETTER coming from me.
Attached file name: LOVE-LETTER-FORYOU.TXT.vbs
Barbara Masucci - DIA – Università di Salerno
17
¾Quando viene eseguito
¾
¾
¾
¾
18
Si spedisce via email
Si installa nel sistema
Sviluppa azioni distruttive
Scarica ed installa un cavallo di troia
Barbara Masucci - DIA – Università di Salerno
19
Come funziona I Love You
Come funziona I Love You
Il virus cerca nelle sottodirectory di tutti i
drive i file con estensione:
¾I Love You modifica l'URL della pagina iniziale
del browser
¾Il nuovo URL punta ad un sito Web contenente il
cavallo di troia WIN-BUGSFIX.EXE
¾Al prossimo riavvio del browser, il virus scarica
il cavallo di troia
¾Al prossimo riavvio di Windows, il cavallo di
troia prende il controllo del sistema
¾ VBS, VBE, JS, JSE, CSS, WSH, SCT e HTA
¾ Crea un nuovo file con nome originale ed estensione VBS
cancellando quello precedente
¾ JPG e JPEG
¾ Esegue le stesse operazioni precedenti ma aggiunge
l'estensione VBS al nome completo di ciascun file
¾ MP3
¾ Si ricopia nella directory system di Windows con il
nome di WINFAT32.EXE
¾ Rimette come pagina iniziale una pagina bianca
(about:blank)
Barbara Masucci - DIA – Università di Salerno
¾ Nasconde i file originali e crea nuovi file contenenti il suo
codice ma con estensione VBS aggiunto al nome completo di
tutti i file
20
Difendersi dai macrovirus
¾ Nelle applicazioni Office, controllare che sia
selezionata la voce Macro virus protection
Barbara Masucci - DIA – Università di Salerno
Barbara Masucci - DIA – Università di Salerno
21
Difendersi dai macrovirus
¾ Aprendo un documento contenente macro possiamo
scegliere se attivare o disattivare le macro incluse
22
Barbara Masucci - DIA – Università di Salerno
23
Difendersi dai macrovirus
¾ Se non si è certi dello scopo o della funzione di tali
macro, si consiglia di disattivarle sempre
¾ In questo modo si impedirà l'esecuzione dei virus
macro rendendoli innocui
¾ Il virus viene attivato solo se
¾ si apre il documento allegato e si sceglie di attivare le macro
¾ la protezione da virus macro è disattivata
Barbara Masucci - DIA – Università di Salerno
24
Difendersi dai virus
¾Utilizzare/installare software solo se di
provenienza fidata
¾Microsoft e Sun hanno proposto alcuni sistemi per
la certificazione (mediante firma digitale)
dell’affidabilità di ActiveX ed Applet
¾Molti Anti Virus possono verificare la presenza di
file infetti anche quando questi sono giunti sul
sistema come allegati di posta elettronica
Barbara Masucci - DIA – Università di Salerno
25
Documenti correlati
Scarica ora il file - MedicoCompetente.it
Scarica ora il file - MedicoCompetente.it
VIC Virus Infection Cycle, il gioco del ciclo d`infezione virale
VIC Virus Infection Cycle, il gioco del ciclo d`infezione virale
figure supplementari 6 - biomol.it
figure supplementari 6 - biomol.it
attenzione: virus
attenzione: virus
Ricerca di virus respiratori
Ricerca di virus respiratori
TU2_sample_translations
TU2_sample_translations
I virus circolano anche tramite Facebook Messanger
I virus circolano anche tramite Facebook Messanger
Document
Document
Disquisizioni sull`amore
Disquisizioni sull`amore
5. MEDICINA: Un terzo popolazione mondiale colpito da epatite
5. MEDICINA: Un terzo popolazione mondiale colpito da epatite
Il Virus
Il Virus
Mollusco contagioso (un caso clinico e una riflessione) Malattia
Mollusco contagioso (un caso clinico e una riflessione) Malattia
Scarica