Tastiera...virtuale

[TheAlbatross]

Ragazzi, certe volte rimango basito a leggere quello che scrivete. Per carità, mai avuta la pretesa di essere un genio al PC, ma leggendo voi, mi rendo conto di quanto sia ignorante in materia. Cmq, sintetizzando, da quello che ha scritto Albatross, i KL non sono "solo" KL ma autentici virus bastardi che non danneggiano solo la macchina, ma prelevano dati sensibili e li reindirizzano su siti malevoli, che possono prendere il controllo del tuo pc quando e come vogliono, gestirlo ecc...per non parlare dell'uso dei dati sensibili. OK la domanda viene spontanea: quali software AV sono raccomandati per avere 1 chance in più di identificarli prima che facciano casini...possibilmente lavorando in background?
P.S.: il bello di questo sito è che da un argomento che appare banale si impara sempre qualcosa di nuovo. E' cosa rara, e di questo Vi ringrazio.

Ciao. Per esperienza personale ti consiglio MalwareBytes tra i "gratuiti". Coi RAT rileva perlomeno le chiavi di registro strane. Lo fa perché il crypter in realtà è fatto apposta per eludere la protezione dell'antivirus a runtime, ma non ad analisi attente. Ne va di conseguenza che se il trojan/malware generico è qualcosa di "noto" e solo il crypter ha algoritmo non pubblico venga rilevato nel 95% dei casi anche da MB.
Per quanto riguarda gli altri antivirus ho esperienza solo con Avira, AVG2013 sia in free che su licenza e MSEssential ... Partiamo da Avira. KL normale con diverse funzioni, nel mio caso, è stato rilevato a runtime ... AVG lo identifica come "sospetto" ma non lo blocca, ti chiede se vuoi "procedere" all'avvio dell'applicazione (dunque se non sei molto newbie se ti bindano un file *.bat o *.exe a qualcosa dovresti accorgertene, e anche se spooferano (in gergo) l'estensione del file... MSEssential non si è accorto di nulla. Peccato perché lo ritenevo affidabile. Comunque lo uso ancora, tanto so che non c'è nessuno che abbia tali interessi nei mie confronti in modo così specifico :) ... Ricordati sempre che il miglior antivirus resta l'utente ... Di AVG devo aggiungere una cosa.
Prima ho parlato di un software personale finito a girare su una delle loro VM.
Allora. Il file è sempre "lo stesso", in diverse versioni e con stub diverso. Liscio ... Per liscio intendo che non era criptato, bindato o simili. Dopo circa 9 ore mi son trovato la screen sulla mail (che non posto per ovvi motivi, anche perché siamo su un forum pubblico, anche se non ho commesso nessun reato, non è reato creare un malware, ed è pieno di guide su internet, ma in ogni caso negherei la veridicità di ogni riga che sto scrivendo qui, anche se iscrivendomi sul forum ho accettato le sue condizioni di contratto senza alcuna riserva :) ... ). Il giorno dopo, al successivo aggiornamento di AVG, questo ha rilevato tutto, l'ha bloccato a startup, killato il processo e i vari modi per la "permanence" in automatico (cosa che di solito MWBytes faceva solo dopo un riavvio completo del PC). Il che significa che quel "server.exe" era stato aggiunto in database. Compilando un altro server diverso era comunque FUD ad AVG ma sarebbe successa la stessa cosa. Quindi direi buono anche AVG. Gli altri mi spiace non li ho provati.
Parlando di quello criptato invece, nel caso di un KL e non di un RAT che deposita un altro file su HD, il virus è rimasto FUD per parecchio tempo. Ma c'è un ma... Spesso a seconda dell'algoritmo di criptazione succede che il virus non funziona più o perde alcune delle se funzionalità. Il che implica che vadano sempre testati prima. E testarli prima è un rischio, dato che diventerebbero UNFUD dopo poco. Il modo migliore è testarli in VM su siti di scansioni online che non raccolgono dati ( ce ne son diversi... totalscanner ecc.).
Credo sia più o meno tutto quello che so. So anche che ho visto in giro crypter con funzioni apposite per bypassare Comodo, Avira, MWBytes ecc. oltre che bloccare il raggiungimento di pagine web di scansioni online, ad esempio...

Ciao. PS: non buttarti in ste robe eh xD. Per me sono una passione perché le "studio" pure. Ma fare reverse engineering a volte è divertente :D ...

[Metaller62]

Ti ringrazio Albatross, sei stato esaustivo. Difatti io ho AVG in contemporanea con MWbytes, lo ho trovato il binomio migliore. Certo che a leggere quello che hai scritto, c'é poco da stare allegri; è come quando fatta la legge, si è già trovato il modo di aggirarla! Cmq non intendo buttarmi in queste cose, sono "vecchio", mi mancano le basi e, soprattutto, il tempo. Il mio lavoro mi costringe ad un aggiornamento continuo, e mi diletto a leggere ciò che voi "giovani" scrivete, sperando che un domani lo applichiate per migliorare la nostra società, il nostro mondo e l'ambiente che ci circonda. OK, basta retorica. Voglio solo dirti che la veridicità di quanto da te postato é stata recepita anche a livello di legislazione, con l'introduzione nella normativa penale dei c.d. "reati informatici", nella cui casistica sono ricomprese anche le fattispecie da te menzionate. Non credo, però, sia sufficiente a fermare la brutta abitudine di intromettersi nel privato altrui e di danneggiarlo, che sembra diventato uno sporto assai diffuso!La mia domanda originaria era dovuta al fatto che un mio collega ha beccato un rootkit bastardo che gli ha devastato il pc. In pratica, per non allungare il brodo,lo ha dovuto portare da un tecnico che è stato costretto alla formattazione a basso livello, cancellando tutti i docs contenuti. Un mese dopo, gli arriva la lettera di una finanziaria che gli confermava l'accensione di un finanziamento (ovviamente mai sottoscritto) per 8.000 euro. Il resto lo potete immaginare. Grazie delle risposte

[TheAlbatross]

Mi spiace per il tuo amico. Ma quello che ha beccato lui è molto più di un KL. Per chiedere finanziarie servono tanti dati sensibili. Era un rat. Anche ammettendo di fare un controllo al PC (ah. Ricorda di fargli formattare le chiavette USB e gli HD portatili in uso prima di utilizzarli nuovamente ... ) dal registro eventi potresti riuscire a capire come e magari da cosa lo ha preso. Ma per logica e senza prove. Ora ti spiego perché: i software seri si poggiano su server di hosting dati stranieri che rilasciano i dati degli utenti solo per reati estremamente gravi. Perché in realtà per usare un RAT servirebbe un contatto p2p tra PC delle vittime e PC dell utilizzatore. Ma attraverso questo sistema l'user fa il forwarding delle porte del suo router solo per ricevere e sendare i dati al server che farà da tramite. Rende tutto meno fluido ma molto più sicuro per chi usa quel software per scopi "illeciti" ... Ciao.

[Metaller62]

Scusa l'ignoranza, mi puoi dire cos'é un RAT e qual'é la differenza con i Trojan ed i Rootkit? Poi una seconda domanda:ho capito il contatto peer 2 peer, ma per fare il port forwarding da remoto, non si dovrebbe avere il controllo totale del PC?
P.S.: allora un vecchio Maxtor lo ha buttato via, perchè il virus lo ha praticamente devastato (cmq era vecchio). L'HD ext da 1 tera, invece, lo ha dovuto formattare totalmente perchè era compromesso. Ora immaginati se ti capita una cosa simile a te, persona qualunque, che riversi su HD esterni tutto il tuo lavoro e lo perdi in un attimo!

[TheAlbatross]

Ciao. Un RAT è un remote administration tool. Nulla di illegale di per se. Lo diventa quando la parte server di un file compilato ad hoc che ha queste funzioni che lo rendono tale viene attivata sul pc di una vittima a sua insaputa.
Genericamente un rootkit è semplicemente un software che permette di avere accesso alla "root" del sistema, alla radice, ossia ottenerne i privilegi completi di amministrazione.
Un trojan è un RAT più o meno. Ma... Dico più o meno. Ti spiego. Un trojan di per se per essere definito tale dev'essere un server file compilato di un RAT o di un programma che ha funzionalità tipiche di un RAT, quali keylogger e password recovery, che però è stato "mascherato" da qualcos'altro o fatto passare per un software che ha certe funzioni ma che in realtà di nascosto ne svolge delle altre ...

Ciao.

[Metaller62]

Ho capito, in pratica é la testa di ponte creata da un malintenzionato per prendere il controllo del mio pc da remoto, senza che io me ne renda conto, e succhiarmi i dati come una sanguisuga. E magari, anzi, di sicuro, se e quando me ne accorgo, é troppo tardi.