Ci si puo` ancora fidare degli antivirus?

Massimo Gravino
INFN - Sezione di Padova
6 Settembre 2006

Fino a poco tempo fa pensavo che un buon antivirus, costantemente aggiornato, fornisse su Windows una efficace protezione da virus e software affini. Il peggio che poteva capitare era che l'infezione colpisse il pc prima che l'antivirus si aggiornasse (evento considerato rarissimo), ma comunque entro un paio di giorni l'antivirus avrebbe segnalato l'infezione, consentendo di rimediare.

Invece mi sono accorto che ultimamente non e` piu` cosi` e che anzi e` molto probabile che un pc venga infettato senza che l'antivirus segnali nulla per mesi.

Quel che segue e` un breve riassunto di quanto ho trovato in rete sull'argomento e della situazione che ho trovato sui pc windows della nostra rete.

Evoluzione dei virus

Da tempo e` in corso una evoluzione dei virus che li rende molto piu` insidiosi:

  1. quando un virus riesce ad infettare la macchina, spesso poi scarica periodicamente da web altro malware, che nel tempo puo` variare, rendendo difficile caratterizzare l'infezione e conseguentemente la preparazione di tools per la "riparazione" del sistema
  2. spesso sulla macchina infetta vengono applicati dei veri e propri rootkit che modificano il sistema, rendendo invisibili i file e i processi del malware, e bloccano il funzionamento degli antivirus piu` noti [6]
  3. molti virus contengono programmi di keylogging o altro software adatto a rubare password o altre informazioni riservate (indirizzi e-mail, numeri di carte di credito, etc.) [4,5,6]
  4. il comportamento dei virus tende ad essere sempre piu` discreto; diversamente dal passato il virus tende a non farsi notare, ne` dall'utente ne` dal traffico di rete.
  5. molti virus fanno uso della crittografia per ostacolarne l'analisi [7,8]
  6. molti virus mutano continuamente ogni volta che si replicano, utilizzando routine che riscrivono lo stesso programma ogni volta in modo diverso (virus polimorfici), in modo da renderne difficile l'identificazione da parte degli antivirus [2,3,8]
  7. chi scrive virus, li testa sui piu` diffusi antivirus per assicurarsi che riescano ad eluderne i controlli.[14,15]

Il risultato di tutto cio` e` che gli antivirus non riconoscono buona parte (c'e` chi dice l'80%) del malware in circolazione. [9,14,15,16,17]

Situazione a Padova

Nella Sezione di Padova abbiamo un dominio Windows (gestito da un server Samba che si appoggia ad un database LDAP) con circa 200 host (i portatili non fanno parte del dominio). Sulla maggior parte dei client (sia quelli in dominio che quelli fuori dominio) utilizziamo ancora il Norton Antivirus di Symantec. In questi giorni abbiamo in programma di effettuare il passaggio a Sophos sulla maggior parte dei client.

Poco piu` di un mese fa, per caso abbiamo scoperto su alcuni pc un virus non riconosciuto dal Norton Antivirus. Da allora stiamo effettuando un controllo a tappeto su tutte le macchine con un altro antivirus (Kaspersky, trial version): il risultato e` che su almeno meta` delle macchine (35 sulle 65 testate finora) Kaspersky ha trovato malware di vario genere non riconosciuto da Norton.

Tramite il sito www.virustotal.com, che consente di inviare un file sospetto per farlo analizzare da 27 antivirus diversi, ho testato alcuni dei files trovati, ottenendo dei risultati abbastanza preoccupanti: nella maggioranza dei casi gli antivirus piu` noti non riconoscono il virus, e ci sono vari casi in cui solo 3 o 4 antivirus lo riconoscono.

Va notato che il mio campione e` costituito da files che vengono scovati da kaspersky e non da norton (eccetto un caso in cui avviene il contrario), per cui da questi dati non si puo` dedurre la migliore efficienza di un antivirus piuttosto che di un altro.

E` anche interessante notare le differenze tra 81F.tmp e 81F.tmp.1mese che sono i risultati riguardanti lo stesso file sottomesso il 9/8/2006 e il 1/9/2006: gran parte degli antivirus a distanza di 1 mese continuano a non riconoscere quel file come virus.

In tutta questa storia, in Italia abbiamo anche qualche problema in piu`: infatti sembra che molti siti web italiani dei generi piu` vari (agriturismi, scuole medie, salute, etc.) contengano pagine modificate, in cui e` stata inserita una riga che richiama un javascript remoto che serve poi per installare malware vari dal sito gromozon.com, sfruttando vari bug di windows. [9,10,11]

Controllando il traffico web sul router ho notato moltissime connessioni verso il netblock 195.225.176.x - 195.225.177.x (gestito da un provider ukraino) che corrispondono alla navigazione su siti web italiani manomessi. [12,18]

Contromisure

Per cercare di arginare il fenomeno abbiamo deciso di attuare le seguenti contromisure:

  1. scansione di tutte le macchine del dominio windows con un altro antivirus (kaspersky). Abbiamo in progetto di acquistare alcune licenze di kaspersky e di effettuare scan periodici delle macchine, se possibile via rete
  2. installazione centralizzata degli aggiornamenti di Windows, Firefox e Thunderbird su tutte le macchine del dominio: infatti molti virus riescono a fare danni sfruttando bug del sistema operativo o del software. Abbiamo verificato ad esempio che, in un sistema patchato, il virus scaricato da gromozon.com riesce ad installarsi completamente solo con la collaborazione di un utente che abbia privilegi di amministratore. Se invece il sistema non ha le patch, l'installazione e` automatica e completamente trasparente per l'utente
  3. blocco sul router dei pacchetti in uscita verso la porta 80 degli IP 85.255.114.158, 195.225.176.x, 195.225.177.x
    Il primo e` un host di advertising (js.gbeb.cc) da cui i siti web manomessi caricano un javascript che poi richiama il malware da siti del netblock 195.225.176.x - 195.225.177.x (provider ukraino "Netcast" su cui ci sono i siti che distribuiscono il malware, come gromozon.com, xearl.com, beehappyy.biz,... ) [10,12,18]
  4. avviso a tutti gli utenti, per informarli della situazione e consigliargli di:
  5. reinstallazione di tutte le macchine che risultano infette da virus che hanno girato con privilegi di amministratore (ad esempio macchine in cui si siano trovati virus nelle directory di sistema scrivibili solo dall'amministratore)

Riferimenti

  1. http://en.wikipedia.org/wiki/Computer_virus
  2. http://en.wikipedia.org/wiki/Polymorphic_engine
  3. http://www.cknow.com/vtutor/PolymorphicViruses.html
  4. http://www.viruslist.com/en/analysis?pubid=167244347"
  5. http://www.viruslist.com/en/weblog?calendar=2006-03
  6. http://www.mwti.net/Microworld_press/This_New_Virus_is_a_Trojan_Keylogger_and_Rootkit_Rolled_into_One.asp
  7. http://www.securityfocus.com/infocus/1865
  8. http://www.securityfocus.com/infocus/1866
  9. http://cut-thecrap.blogspot.com/2006/06/is-av-industry-failing.html
  10. http://cut-thecrap.blogspot.com/2006/05/what-to-donet.html
  11. http://www.hwupgrade.it/news/sicurezza/gromozon-parassita-che-ama-il-tricolore_18390.html
  12. http://www.wilderssecurity.com/showthread.php?t=136452
  13. http://forums.whirlpool.net.au/forum-replies-archive.cfm/573101.html
  14. http://www.zdnet.com.au/blogs/securifythis/soa/Why_popular_antivirus_apps_do_not_work_/0,139033343,139264249,00.htm
  15. http://www.zdnet.com.au/news/security/soa/Eighty_percent_of_new_malware_defeats_antivirus/0,130061744,139263949,00.htm
  16. http://www.zdnet.com.au/news/security/soa/Antivirus_software_is_being_defeated_/0,130061744,139257227,00.htm
  17. http://www.hiptechblog.com/2006/08/04/why-popular-antivirus-apps-fail-to-catch-8-out-of-10-virus/
  18. http://isc.sans.org/diary.php?storyid=974
  19. http://www.virustotal.com/