28 Ottobre 2007 

Come da oggetto, non sapendo cosa fare mi son messo a fare un pò di giochini con tutte ste cosine. Son partito anzitutto dal semplice Exe Crypter (creato così tanto per gioco esenza pretese particolari) all'indirizzo http://pasotech.altervista.org/delphi/articolo97.htm . Poi mi son detto: "scarichiamoci qualche virus, criptiamolo con sto Exe Crypter e poi facciamo un bella verifica con i principali antivirus in gircolazione per vedere come reagiacono di fronte al "Prima" e di fronte al "Dopo". La maggiorparte degli antivirus fornisce la possibilità di valutare la presenza di file dannosi (o potenzialmente tali) sul proprio computer, semplicemente collegandosi al loro sito e selezioanndo il link che porta alla pagina dedicata all' Online Scanning; si tratta quasi sempre di un controllo ActiveX (e quindi di un programma che andrà a girare sul proprio sistema): selezionando il link, Internet Explorer ci dirà che si è in procinto di scaricare ed installare un ActiveX ed ovviamente ci chiederà conferma. Chiaramente questo ActiveX (o più in generale il programmino che ci viene dato da scaricare dal sito del produttore di Antivirus) prenderà in input una cartella e ne scansionerà i file in essa contenuti (o alternativamente eseguirà lo scan su tutto il file system); potrà anche controllare i processi in esecuzione e verificare magari che 1 o più di essi corrisponde ad un virus o altro. Tuttavia una delle potenzialità di un Antivirus è la detection in real time di materiale malevolo ossia parte un processo o si verificano modifiche al file system o al registro e l'anitivirus deve rilevarle all'istante e comunicare poi il da farsi in caso di identificazione di qualcosa di malevolo. Quindi lo scanner è solo una parte di un sistema Antivirus. Con lo scanner io posso far eseguire un'analisi di una o più cartelle (o di tutto il file system) e anche del registro e dei processi in esecuzione ma non ho appunto la segnalazione in tempo reale che un virus sta tentando di installarsi. E quasi tutte le case produttrici di antivirus forniscono gratuitamente il servizio di scanning. Tuttavia spesso e volentieri non si conoscono tutte le case produttrici di Antivirus oppure quelle più famose che son sulla bocca di tutti magari forniscono un prodotto che è notevolemente surclassato da altre aziende più in penombra. Oltretutto è anche un bella rottura di scatole, una volta che si è raccolto una ventina o più di nomi di antivirus, procedere allo Scannning on line per ognuno di essi. Se uno però ha un obiettivo ben preciso ossia ha messo l'occhio su un eseguibile e quell'eseguibile non gli piace allora può inviarlo ad uno dei servizi on line di scansione file. In pratica c'è ci ha pensato bene di fornire un servizio online semplice semplice da usare che consiste in questo: c'è un file che non ti va proprio giù, inviacelo (semplice upload dalla pagina web: selezione del file ed invio premendo il pulsante upload). Una volta giunto a destinazione, il file verrà automaticamente passato al vaglio della maggiorparte degli antivirus a disposizione sul mercato: in pratica chi fornisce questo servizio web, ha a disposizione gli Antivirus presenti sul mercato (o in ogni caso la maggiorparte) e fa analizzare in automatico il file inviato ad ognuno di essi. L'output è un report che definisce il rsultato dell'analisi fatta da ogni antivirus a disposizione. Così ho deciso di scaricarmi un virus (prelevandolo da uno dei principali database online) e sottoporlo all'analisi di uno o più di questi servizi; poi l'ho cripato usando il mio semplice Exe Crypter ed ho inviato il virus criptato per vedere come veniva interpretato.

Partiamo dicendo che per il momento conosco i seguenti 3 servizi online di analisi:

VirusTotal

http://virusscan.jotti.org/

virscan

Ho fatto le prove col primo (VirusTotal) così tanto per cominciare

Ahh dimenticavo ... il virus: sono andato sul database online seguente

VX Chaos File Server

ed ho downloadato il file

Trojan.DownLoader.5992.rar

Si traatta di un virus che in pratica, una volta andato in esecuzione scarica dal web un altro eseguibile che poi fa lo sporco lavoro. Questo tipo di virus vengono comunemente raccolti sotto la categoria Trojan Web Downloader o robe del genere. Primo di tutto raccomando a chiunque se lo scarichi, di rinominare l'eseguibile cambiando ad esempio l'estensione da .exe a .ex1 così per evitare di farci un doppio click inavertitamente e mandarlo quindi in esecuzione. L'ho criptato col mio Exe Crypter ed ho inviato le 2 versioni (quella originale e quella criptata) a VirusTotal.

Versione originale del virus 

Come si può notare, vengono retituite anche alcune informazioni sul .exe come ad esempio il fatto che sia stato compresso o/e criptato con alcuni dei programmi conosciuti: ad esempio nel nostro caso il virus è paccato con PECompact. Behh, facendo riferimento al riconoscimento del virus, sembra proprio che il crypting lo renda non identificato (l'unica eccezione la solleva VBA32 che però non identifica il virus in questione ma segnala che il comportamento del .exe in questione è molto simile a quello del virus identificato nel proprio database come Backdoor.XiaoBird.7). C'è anche da dire che, qualora venga identificato un .exe come potenzialmente dannoso, non è detto che lo sia effettivamente: gli antivirus infatti quando analizzano un file prima ne confrontano l'hash (MD5 e/o SHA1 in genere) con gli hash dei virus conosciuti presenti nel proprio database ma poi analizza anche determinate caratteristiche del file per vedere se ha una conformazione che ricorda quella di altri virus conosciuti: ad esempio vengono chiamate determinate api win32 con determinati valori dei parametri in un determinato ordine proprio come fa il virus tal dei tali ed allora te lo segnalo. Poi è discrezione tua eliminarlo o meno in quanto non è detto che quell'eseguibile sia lì per far danno, si sà semplicemente che ha un meccansimo di funzionamento che in certe sue parti ricorda quello di un altro virus.

A questo punto avrei potuto uploadare i 2 file agli altri 2 servizi online, solo che volevo testare un altro servizio online che tratta sempre lo stesso argomento ma si differenzia dai precedenti. Si tratta del servizio fornito sul sito della Norman Sandbox e più precisamente all' indirizzo

http://www.norman.com/microsites/nsic/Submit/en-us

In pratica si invia il .exe famigerato: una volta giunto a destinazione verrà messo in coda e quando arriverà il suo turno verrà eseguito all'interno della Norman Sandobx che catturerà tutte le principali operazioni eseguite del .exe in questione e dall'eventuale albero di processi che andrà a agenerare: ad esempio modifiche al file system oppure al registry ma anche cose un pò più complesse tipo la creazione di oggetti del kernel come ad esempio oggetti Mutex, etc... Quindi una bella analisi del comportamento del nostro .exe: tale analisi, una volta portata a termine (roba di pochissimo tempo) ti verrà inviata via email all'indirizzo specificato nella maschera di upload.

Questi i risultati sulla Norman Sandbox

Virus originale

Trojan.DownLoader.5692.exe : Not detected by Sandbox (Signature: W32/Dluca.ES)

 [ DetectionInfo ]
   * Sandbox name: NO_MALWARE
   * Signature name: W32/Dluca.ES
   * Compressed: YES

 [ General information ]
   * Decompressing PEC2.
   * **Locates window "Msdmxm [class MSDMXM]" on desktop.
   * **Locates window "Msdmxm [class NULL]" on desktop.
   * File length:        39936 bytes.
   * MD5 hash: 9f8b418b2bb12213722db4a63e026214.

 [ Changes to filesystem ]
   * Deletes file C:\WINDOWS\TEMP\delwbi.tmp.
   * Creates directory windows.

 [ Changes to registry ]
   * Creates key "HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
                                             \F7EE4E3689C2DCF4A531C20954D158C1936D9A3C".
   * Sets value "Blob"=" " in key "HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
                                                    \F7EE4E3689C2DCF4A531C20954D158C1936D9A3C".
   * Creates key "HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
                                             \1567DAAB1377FE3552D2F6F2A2FA80200135EDA5".
   * Sets value "Blob"=" " in key "HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
                                             \1567DAAB1377FE3552D2F6F2A2FA80200135EDA5".
   * Creates key "HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
                                             \F705E9D8DAA72DF53D068BF60B551EA3103D51D7".
   * Sets value "Blob"=" " in key "HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
                                             \F705E9D8DAA72DF53D068BF60B551EA3103D51D7".
   * Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Msdmxm".
   * Creates key "HKCU\Software\Msdmxm".

 [ Network services ]
   * Looks for an Internet connection.

 [ Process/window information ]
   * Creates a mutex vmx38Fg45.
   * Creates a mutex ms1qsysa.

Questo è invece il risultato col Virus Criptato

XXX1919.exe : Not detected by Sandbox (Signature: NO_VIRUS)

 [ DetectionInfo ]
   * Sandbox name: NO_MALWARE
   * Signature name: NO_VIRUS
   * Compressed: NO

 [ General information ]
   * File length:        76800 bytes.
   * MD5 hash: 2942bee818980e17cf0fe0eca15f4236.

Anche in questo caso si può vedere che l'EXE Crypter ha fatto il suo sporco lavoro

Poi m'è venuto in mente che esiste anche la fantastica Sandboxie ed ho deciso di scaricarmi l'ultima versione

http://www.sandboxie.com/

L'ho installata ed ho lanciato il virus nella sanbox ed ho verificato il comportamento già preannunciato dalla Norman Sandbox. Tutte le modifiche al file system ed al registry che vengono generate dall'albero di processi a partire dal processo che ho inizialmente deciso di runnare in Sandboxie vengono salvate di default nella Cartella
<profilo utente>\Dati applicazioni\Sandbox (ma tale impostazione può ovviamente essere modificata). Non sto qui a dilungarmi sul significato del contenuto di tale cartella perchè basta navigarci dentro ed è intuitivo al massimo. Per ulteriori informazioni su Sandboxie rimando alla sua semplice documentazione online.