Sicurezza informatica - malware

Nel capitolo precedente abbiamo trattato degli antivirus che ci hanno aiutato a proteggere i nostri sistemi, ma in questo capitolo tratteremo i malware, come rilevarli manualmente, quali sono le loro forme, quali sono le loro estensioni di file, segni di un computer infetto, ecc. importante da trattare perché i tassi di infezione delle aziende e dei personal computer sono troppo alti al giorno d'oggi.

Sono programmi di autoreplicazione che riproducono i propri codici legandosi ad altri codici eseguibili. Operano senza il permesso o la conoscenza degli utenti del computer. Virus o malware, come nella vita reale, nei computer contaminano altri file sani.

Tuttavia, dobbiamo ricordare che i virus infettano macchine esterne solo con l'assistenza di un utente di computer. Questi possono accadere facendo clic su un file allegato a un'e-mail di una persona sconosciuta, collegando un USB senza eseguire la scansione, aprendo URL non sicuri per questo motivo. In qualità di amministratori di sistema dobbiamo rimuovere le autorizzazioni di amministratore degli utenti in questi computer. Classifichiamo i malware in tre tipi:

• Trojan e rootkit
• Viruses
• Worms

Caratteristiche di un virus

Di seguito sono riportate un paio di caratteristiche di qualsiasi virus che infetta i nostri computer.

• Risiedono nella memoria di un computer e si attivano mentre il programma collegato inizia a funzionare.

  For example - Si attaccano in generale al explorer.exe nel sistema operativo Windows perché è il processo in esecuzione tutto il tempo, quindi dovresti essere cauto quando questo processo inizia a consumare troppe capacità del tuo computer.

• Si modificano dopo la fase di infezione come codici sorgente, estensioni, nuovi file, ecc., Quindi è più difficile per un antivirus rilevarli.

• Cercano sempre di nascondersi nei sistemi operativi nei seguenti modi:

  • Si crittografa in simboli criptici e si decrittografa quando si replica o si esegue.

    For example - Puoi vederlo nell'immagine seguente per una migliore comprensione poiché nel mio computer ho trovato questo file.

Dopo aver trovato questo file, l'ho aperto con un editor di testo e come pensavo il testo non fosse comprensibile, come mostrato nella seguente schermata.

Dopo averlo trovato, l'ho provato su un decoder base64 e ho scoperto che si trattava di un file Virus.

Questo virus può causare quanto segue al tuo computer:

• Potrebbe eliminare dati importanti dal tuo computer per guadagnare spazio per i loro processi.

• Potrebbe evitare il rilevamento tramite il reindirizzamento dei dati del disco.

• Può eseguire attività innescando un evento con se stesso. Ad esempio, ciò accade quando in un computer infetto vengono visualizzate automaticamente sullo schermo tabelle popup ecc.

• Sono comuni in Windows e Mac OS perché questi sistemi operativi non hanno più autorizzazioni per i file e sono più distribuiti.

Processo di lavoro dei malware e come pulirlo

I malware si attaccano ai programmi e si trasmettono ad altri programmi facendo uso di alcuni eventi, hanno bisogno che questi eventi accadano perché non possono:

• Inizia da soli
• Si trasmettono utilizzando file non eseguibili
• Infetta altre reti o computer

Dalle conclusioni di cui sopra, dovremmo sapere che quando alcuni processi o servizi insoliti vengono eseguiti da soli, dovremmo indagare ulteriormente sulle loro relazioni con un possibile virus. Il processo di indagine è il seguente:

Per indagare su questi processi, inizia con l'uso dei seguenti strumenti:

• fport.exe
• pslist.exe
• handle.exe
• netstat.exe

Il Listdll.exe mostra tutti i file dll files in uso, mentre il netstat.exe con le sue variabili mostra tutti i processi in esecuzione con le rispettive porte.

Puoi vedere il seguente esempio su come ho mappato il processo dell'antivirus Kaspersky che ho usato insieme al comando netstat-ano per vedere i numeri di processo e task manager per vedere a quale processo appartiene questo numero.

Quindi dovremmo cercare qualsiasi modified, replaced or deleted files e il shared librariesdovrebbe anche essere controllato. In genere infettano i file di programma eseguibili con estensione simile.EXE, .DRV, .SYS, .COM, .BIN. I malware modificano l'estensione dei file originali, ad esempio: File.TXT in File.TXT.VBS.

Se sei un amministratore di sistema di un server web, dovresti essere a conoscenza di un'altra forma di malware chiamata webshell. Generalmente è in un'estensione .php ma con strani nomi di file e in una forma crittografata. Dovresti eliminarli nel caso in cui li rilevassi.

Dopodiché, dovremmo aggiornare il programma antivirus e ripetere la scansione del computer.

Rilevamento di un errore del computer da un'infezione da virus

In questa sezione tratteremo come rilevare un errore del computer o del sistema operativo da un virus perché a volte le persone e gli amministratori di sistema mescolano i sintomi.

I seguenti eventi molto probabilmente non sono causati da un malware:

• Errore durante l'avvio del sistema nella fase del BIOS, come il display della cella della batteria del BIOS, la visualizzazione dell'errore del timer.
• Errori hardware, come segnali acustici, masterizzazione RAM, HDD, ecc.
• Se un documento non si avvia normalmente come un file danneggiato, ma gli altri file possono essere aperti di conseguenza.
• La tastiera o il mouse non rispondono ai tuoi comandi, devi controllare i plug-in.
• Monitorare l'accensione e lo spegnimento troppo spesso, come il lampeggiamento o la vibrazione, questo è un guasto hardware.

D'altra parte, se hai i seguenti segni nel tuo sistema, dovresti verificare la presenza di malware.

• Il computer mostra un popup o tabelle di errori.

• Si blocca frequentemente.

• Rallenta quando si avvia un programma o un processo.

• Terze parti lamentano di ricevere l'invito sui social media o tramite e-mail da parte tua.

• Le modifiche alle estensioni dei file vengono visualizzate o i file vengono aggiunti al sistema senza il tuo consenso.

• Internet Explorer si blocca troppo spesso anche se la velocità di Internet è molto buona.

• Il tuo disco rigido è accessibile la maggior parte del tempo, come puoi vedere dalla luce LED sul case del tuo computer.

• I file del sistema operativo sono danneggiati o mancanti.

• Se il tuo computer consuma troppa larghezza di banda o risorse di rete, questo è il caso di un worm.

• Lo spazio su disco rigido è sempre occupato, anche quando non si esegue alcuna operazione, ad esempio l'installazione di un nuovo programma.

• I file e le dimensioni del programma cambiano rispetto alla versione originale.

Some Practical Recommendations to Avoid Viruses -

• Non aprire allegati di posta elettronica provenienti da persone sconosciute o da persone note che contengono testo sospetto.
• Non accettare inviti da persone sconosciute sui social media.
• Non aprire URL inviati da persone sconosciute o persone conosciute che sono in una forma strana.

Informazioni sul virus

Se hai trovato un virus ma vuoi approfondire la sua funzione. Ti consiglio di dare un'occhiata a questi database di virus, generalmente offerti dai fornitori di antivirus.

• Kaspersky Virus Database - (http://www.kaspersky.com/viruswatchlite?hour_offset=-1)

• F-Secure - (https://www.f-secure.com/en/web/labs_global/threat-descriptions)

• Symantec – Virus Encyclopedia - (https://www.symantec.com/security_response/landing/azlisting.jsp)