logo

Tag Archive for virus

La protezione di un PC e l’update

 

Recentemente ho installo ad un amico 4 computer in rete (LAN/Wireless), tre con Windows Vista ed uno con Windows XP SP1. Dovendo adeguare la rete al D.L. 196 era necessario buttare giù un D.P.S. con indicati i mezzi hardware e software a protezione dei dati, nonch’è la valutazione dei rischi.

Per cominciare installo sui tre computer con Windows Vista:

– un programma per cifrare i dati su hard disk (dimensione chiave 256-bit),

– un programma automatico di backup per salvare i dati sia su hard disk che su DVD (protetti da password),

– Antivirus,

– Firewall (configuro le porte limitandole a quelle strettamente necessarie),

– creo più account, uno per amministrare il computer da utilizzare esclusivamente per tale attività ed altri User con accesso limitato,

– e per finire aggiorno il software.

Il computer su cui è installato Windows Xp è naturalmente l’anello debole della catena, o meglio della rete, sul quale installo solo un antivirus del tipo “internet security” All in one .

Volendo testare la sicurezza della rete scelgo naturalmente l’XP come vittima.

Sul MAC trovo un vecchio programmino e decido di provarlo subito, lancio l’applicazione e dopo 20 secondi il computer Vittima si spegne, capisco subito che il suo proprietario non è un appassionato degli aggiornamenti e pertanto continuo nella mia opera.

Avvio con un programma la scansione delle porte e mi segno quelle aperte, poi da questa lista verifico il protocollo ed il protocollo di applicazione tipo:

Porta Protocollo Protocollo di applicazione Nome servizio di sistema
443 TCP HTTPS Servizio Pubblicazione sul Web
443 TCP HTTPS SharePoint Portal Server
443 TCP RPC su HTTPS Exchange Server 2003
445 TCP SMB Servizio fax
445 TCP SMB Spooler di stampa
445 TCP SMB Server

Fatto questo avvio Metasploit ed incomincio a testare i vari Exploit e PAYLOAD sulle porte in ascolto, non tutti gli Exploit funzionano ma alcuni mi consentono di acquisire il totale controllo della macchina.

Verificata la vulnerabilità aggiorno subito il software con SP2, poi ricomincio con l’attacco e riscontro che i bug che Metaploit sfruttava sono stati corretti. Installo un bel firewall robusto ed il computer è pronto.

Metasploit è un programma utile per testare la sicurezza dei computer di qualunque piattaforma (Windows, MAC, Linux ecc…) e va impiegato solo per tale finalità.

Per quanto riguarda la sicurezza ricordo solo alcune cose banali che spesso, per pigrizia o quant’altro, non vengono mai fatte:

– aggiornare il software appena esce un upgrate,

– abilitare ed utilizzare l’account User,

– cifrare i dati (lo so è noioso),

– usare un firewall.

in quanto, quando nei film si vede che un adolescente riesce ad  entrare in un computer in 5 minuti non è una finzione, è la realtà.

Virus/Malaware Knight.exe

Oggi al lavoro  mi passano una innocua chiavetta USB, la inserisco….e dopo un pò noto sulla barra una simpatica icona, la clicco ed il suo fiero creatore si presenta “Ariful Islam”. Per fortuna l’applicazione Knigth.exe non reca danni al PC, ha solo la prerogativa di diffondersi infettando qualunque chiavetta USB inserita nel computer untore (qualcuno lamenta problemi con le proiezione di Power Point)

Sulla Pen Drive vengono installati due file : Knight.exe a autorun.inf , per epurarla basta abilitare la visualizzazione dei file nascosti e cancellarli (conviene disabilitare l’autorun e poi eliminarli da dos…..e sì il vecchio dos che torna sempre utile).

Per il computer:

– terminare al task manager l’applicazione knight.exe e cancellare l’esecutivo sotto c:\windows\knight.exe – disinstallare  la relativa applicazione dal pannello di controllo

–  da   “esegui” digitare “regedit” e, senza fare danni, sfogliare le seguenti cartelle:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”, cancellare la riga che contiene il file incriminato.

Tutto qui.

Un consiglio, ogni tanto dall’editor di registro comtrollate la cartella “run” e, se notate qualche nome strano (composto ad esempio da numeri e lettere), fatevi un giro nella rete per verificare che non si tratti di un virus  annidato nel PC. Per concludere, apprezzo sempre di più il mio MacBook (come direbbe G. Clooney: no Windows, no virus, no troian), buona navigazione e se potete fatela in modalità Stealth.  p.s. (AVG non rileva niente )

Dimenticavo, sotto la cartella WINDOWS/Prefecht si annidano due innocui files con estensione .pf (del tipo knight.xxxx.pf), cancellateli. Per info i files .PF contengono istruzioni per il caricamento di tutte le risorse di cui l’applicazione (in questo caso Knight) ha bisogno per avviarsi.

Se cercate un programma che automaticamente rimuove il virus, andate qui