Ci si puo` ancora fidare degli antivirus?
Massimo Gravino
INFN - Sezione di Padova
6 Settembre 2006
Fino a poco tempo fa pensavo che un buon antivirus, costantemente
aggiornato, fornisse su Windows una efficace protezione da virus e
software affini. Il peggio che poteva capitare era che l'infezione
colpisse il pc prima che l'antivirus si aggiornasse (evento considerato
rarissimo), ma comunque entro un paio di giorni l'antivirus avrebbe
segnalato l'infezione, consentendo di rimediare.
Invece mi sono accorto che ultimamente non e` piu` cosi` e che anzi e`
molto probabile che un pc venga infettato senza che l'antivirus
segnali nulla per mesi.
Quel che segue e` un breve riassunto di quanto ho trovato in rete
sull'argomento e della situazione che ho trovato sui pc windows della
nostra rete.
Evoluzione dei virus
Da tempo e` in corso una evoluzione dei virus che li rende molto piu` insidiosi:
- quando un virus riesce ad infettare la macchina, spesso poi scarica
periodicamente da web altro malware, che nel tempo puo` variare,
rendendo difficile caratterizzare l'infezione e conseguentemente la
preparazione di tools per la "riparazione" del sistema
- spesso sulla macchina infetta vengono applicati dei veri e propri
rootkit che modificano il sistema, rendendo invisibili i file e
i processi del malware, e bloccano il funzionamento degli
antivirus piu` noti [6]
- molti virus contengono programmi di keylogging o altro software
adatto a rubare password o altre informazioni riservate (indirizzi
e-mail, numeri di carte di credito, etc.) [4,5,6]
- il comportamento dei virus tende ad essere sempre piu` discreto;
diversamente dal passato il virus tende a non farsi notare, ne`
dall'utente ne` dal traffico di rete.
- molti virus fanno uso della crittografia per ostacolarne l'analisi
[7,8]
- molti virus mutano continuamente ogni volta che si replicano,
utilizzando routine che riscrivono lo stesso programma ogni volta in
modo diverso (virus polimorfici), in modo da renderne difficile
l'identificazione da parte degli antivirus [2,3,8]
- chi scrive virus, li testa sui piu` diffusi antivirus per assicurarsi
che riescano ad eluderne i controlli.[14,15]
Il risultato di tutto cio` e` che gli antivirus non riconoscono buona
parte (c'e` chi dice l'80%) del malware in circolazione. [9,14,15,16,17]
Situazione a Padova
Nella Sezione di Padova abbiamo un dominio Windows (gestito da un server
Samba che si appoggia ad un database LDAP) con circa 200 host (i portatili
non fanno parte del dominio).
Sulla maggior parte dei client (sia quelli in dominio che quelli fuori dominio) utilizziamo ancora il Norton Antivirus di
Symantec. In questi giorni abbiamo in programma di effettuare il passaggio
a Sophos sulla maggior parte dei client.
Poco piu` di un mese fa, per caso abbiamo scoperto su alcuni pc un virus
non riconosciuto dal Norton Antivirus. Da allora stiamo effettuando un
controllo a tappeto su tutte le macchine con un altro antivirus
(Kaspersky, trial version): il risultato e` che su almeno meta` delle
macchine (35 sulle 65 testate finora) Kaspersky ha trovato malware di
vario genere non riconosciuto da Norton.
Tramite il sito www.virustotal.com, che consente di inviare un
file sospetto per farlo analizzare da 27 antivirus diversi, ho testato
alcuni dei files trovati, ottenendo dei risultati abbastanza preoccupanti:
nella maggioranza dei casi gli antivirus piu` noti non riconoscono il
virus, e ci sono vari casi in cui solo 3 o 4 antivirus lo riconoscono.
Va notato che il mio campione e` costituito da files che vengono scovati
da kaspersky e non da norton (eccetto un caso in cui avviene il
contrario), per cui da questi dati non si puo` dedurre la migliore
efficienza di un antivirus piuttosto che di un altro.
E` anche interessante notare le differenze tra
81F.tmp e 81F.tmp.1mese
che sono i risultati riguardanti lo stesso file sottomesso il 9/8/2006 e
il 1/9/2006: gran parte degli antivirus a distanza di 1 mese continuano a
non riconoscere quel file come virus.
In tutta questa storia, in Italia abbiamo anche qualche problema in piu`:
infatti sembra che molti siti web italiani dei generi piu` vari
(agriturismi, scuole medie, salute, etc.) contengano pagine modificate, in
cui e` stata inserita una riga che richiama un javascript remoto che serve
poi per installare malware vari dal sito gromozon.com, sfruttando vari bug
di windows. [9,10,11]
Controllando il traffico web sul router ho notato moltissime connessioni
verso il netblock 195.225.176.x - 195.225.177.x (gestito da un provider
ukraino) che corrispondono alla navigazione su siti web italiani
manomessi. [12,18]
Contromisure
Per cercare di arginare il fenomeno abbiamo deciso di attuare le seguenti
contromisure:
- scansione di tutte le macchine del dominio windows con un altro
antivirus (kaspersky). Abbiamo in progetto di acquistare alcune licenze
di kaspersky e di effettuare scan periodici delle macchine, se
possibile via rete
- installazione centralizzata degli aggiornamenti di Windows, Firefox e
Thunderbird su tutte le macchine del dominio: infatti molti virus
riescono a fare danni sfruttando bug del sistema operativo o del
software. Abbiamo verificato ad esempio che, in un sistema patchato, il
virus scaricato da gromozon.com riesce ad installarsi completamente
solo con la collaborazione di un utente che abbia privilegi di
amministratore. Se invece il sistema non ha le patch, l'installazione
e` automatica e completamente trasparente per l'utente
- blocco sul router dei pacchetti in uscita verso la porta 80 degli
IP 85.255.114.158, 195.225.176.x, 195.225.177.x
Il primo e` un host di advertising (js.gbeb.cc) da cui i siti web
manomessi caricano un javascript che poi richiama il malware da siti
del netblock 195.225.176.x - 195.225.177.x (provider ukraino "Netcast" su
cui ci sono i siti che distribuiscono il malware, come gromozon.com,
xearl.com, beehappyy.biz,... ) [10,12,18]
- avviso a tutti gli utenti, per informarli della situazione e
consigliargli di:
- non utilizzare il computer da utente amministratore se non per
svolgere le operazioni che richiedono i privilegi.
- non usare Internet Explorer se non per quei siti dove e`
indispensabile usarlo; non usare Outlook
- controllare che l'antivirus si aggiorni e, sui portatili, mantenere
aggiornato anche il sistema operativo
- evitare di scaricare o installare o eseguire sul computer software
non consigliato dal servizio calcolo
- non tenere sul computer dati riservati (password, numeri di carte di
credito, codici PIN bancomat, etc.) o almeno crittografarli, ed
evitare per quanto possibile di digitarli su pagine web
- reinstallazione di tutte le macchine che risultano infette da virus
che hanno girato con privilegi di amministratore (ad esempio macchine
in cui si siano trovati virus nelle directory di sistema scrivibili
solo dall'amministratore)
Riferimenti
- http://en.wikipedia.org/wiki/Computer_virus
- http://en.wikipedia.org/wiki/Polymorphic_engine
- http://www.cknow.com/vtutor/PolymorphicViruses.html
- http://www.viruslist.com/en/analysis?pubid=167244347"
- http://www.viruslist.com/en/weblog?calendar=2006-03
- http://www.mwti.net/Microworld_press/This_New_Virus_is_a_Trojan_Keylogger_and_Rootkit_Rolled_into_One.asp
- http://www.securityfocus.com/infocus/1865
- http://www.securityfocus.com/infocus/1866
- http://cut-thecrap.blogspot.com/2006/06/is-av-industry-failing.html
- http://cut-thecrap.blogspot.com/2006/05/what-to-donet.html
- http://www.hwupgrade.it/news/sicurezza/gromozon-parassita-che-ama-il-tricolore_18390.html
- http://www.wilderssecurity.com/showthread.php?t=136452
- http://forums.whirlpool.net.au/forum-replies-archive.cfm/573101.html
- http://www.zdnet.com.au/blogs/securifythis/soa/Why_popular_antivirus_apps_do_not_work_/0,139033343,139264249,00.htm
- http://www.zdnet.com.au/news/security/soa/Eighty_percent_of_new_malware_defeats_antivirus/0,130061744,139263949,00.htm
- http://www.zdnet.com.au/news/security/soa/Antivirus_software_is_being_defeated_/0,130061744,139257227,00.htm
- http://www.hiptechblog.com/2006/08/04/why-popular-antivirus-apps-fail-to-catch-8-out-of-10-virus/
- http://isc.sans.org/diary.php?storyid=974
- http://www.virustotal.com/