MultiLayered Network Security

Voglio annunciarvi che è uscito il secondo whitepaper del progetto NetSecurity & Security Systems. In questo nuovo paper si parlerà dell’approccio logico / teorico alle tecniche di Multilayered Network Security; per il resto non voglio anticiparvi niente e preferisco che scoprite tutti i dettagli leggendo attentamente il PDF.

Il paper è scaricabile dall’apposita sezione apposita del blog che trovate qui

Finora coloro che l’hanno letto hanno dato un feedback positivo; spero che anche tutti voi visitatori siate dello stesso parere o che possiate aiutarmi a migliorare la qualità del suddetto argomento eventualmente.Ovviamente ogni consiglio, dubbio e domanda sono leciti e ben accetti. Sono qui a vostra disposizione come sempre

Colgo l’occasione per augurarvi un buon week end

Ciauz

Windows TCP/IP Stack Hardening

Mi sembra doveroso ribadire, dopo aver spesso dato risposta in giro sui vari forum, che un metodo per proteggere il proprio pc sia proprio l’irrobustimento del sistema stesso e quindi anche delle varie aree che lo caratterizzano e che sono esposte a pericoli e bugs
Proprio in quest’ottica ci viene in aiuto l’hardening, ovvero l’insieme di tutte quelle procedure di irrobustimento di un sistema operativo,  che comprende anche l’hardening dello stack TCP/IP  che spesso viene lasciato configurato di default esponendo comunque la nostra macchina a pericoli e insidie.

Lo stack TCP/IP è il responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP). Se necessario, questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.

Sostanzialmente tutte le applicazioni che fanno uso di Internet e tutte le applicazioni tradizionali che si riferiscono a LAN utilizzano IP, benché teoricamente siano possibili altre soluzioni.
Il protocollo IP è per impostazione predefinita privo di protezione. Tuttavia con l’uso e la configurazione di vari parametri nel registro di Windows è possibile aumentare il livello di protezione della rete da attacchi di tipo Denial of Service, inclusi attacchi SYS, ICMP e SNMP. Le chiavi del Registro di sistema possono essere configurate per:

- Attivare la protezione dagli attacchi di tipo SYN quando viene rilevato un attacco
- Impostare valori limite utilizzati per determinare ciò che costituisce un attacco.

Alcune chiavi e valori cui si fa riferimento in questa procedura potrebbero non essere disponibili per impostazione predefinita, in questi casi è necessario creare chiavi, valori e dati valore.

Gli interventi che ci apprestiamo a compiere potrebbero essere, se non eseguiti nel modo corretto, dannosi, per cui è importantissimo, prima di compiere qualunque azione sul registro, premunirsi di farne una copia completa.

Iniziamo : Entriamo in regedit e posizioniamoci alla seguente chiave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters

Valore: EnableDeadGWDetect – Valore consigliato: 0 [Valori validi: 0 (disabilitato), 1 (abilitato)]

1 : se si imposta EnableDeadGWDetect su 1, il protocollo TCP può rilevare i gateway inattivi. Quando il rilevamento dei gateway inattivi è abilitato, TCP può chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup possono essere definiti nella sezione Avanzate della finestra di dialogo di configurazione del protocollo TCP/IP tramite lo strumento Rete nel Pannello di controllo.

0 : è consigliabile impostare il valore di EnableDeadGWDetect su 0, in caso contrario un eventuale attacco potrebbe obbligare il server a cambiare gateway imponendogli di passare a un gateway indesiderato.

Valore: SynAttackProtect – Valore consigliato: 1 [Valori validi: 0 - 2]
Questo valore del Registro di sistema fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura, le risposte di connessione scadono più rapidamente durante un attacco SYN (un tipo di attacco “Denial of Service”).

I seguenti parametri possono essere utilizzati con questo valore del Registro di sistema:
- 0 (valore predefinito): nessuna protezione dagli attacchi SYN
- 1: impostare SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN.

Questo parametro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Se si imposta SynAttackProtect su 1, il timeout delle risposte di connessione è più veloce qualora il sistema rilevi un attacco SYN in corso. Per determinare se è in corso un attacco, Windows utilizza i valori seguenti:
- TcpMaxPortsExhausted
- TCPMaxHalfOpen
- TCPMaxHalfOpenRetried

Nome valore: TcpMaxPortsExhausted – Valore consigliato: 0 [Valori validi: 0 - 65535]
specifica il limite di richieste di connessione TCP che deve essere superato prima di attivare la protezione dagli attacchi SYN.

Nome valore: TcpMaxHalfOpen – Valore consigliato: 64 [Valori validi: 100 - 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxHalfOpenRetried – Valore consigliato: 400 [Valori validi: 80 - 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD per cui è stata inviata almeno una ritrasmissione. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxConnectResponseRetransmissions – Valore consigliato: 2 [Valori validi: 0 - 255]
controlla il numero di ritrasmissioni di un SYN-ACK prima di annullare il tentativo di risposta a una richiesta SYN.

Nome valore: TcpMaxDataRetransmissions – Valore consigliato: 3 [Valori validi: 0 - 65535]
specifica il numero di volte in cui TCP ritrasmetterà un singolo segmento di dati (non di connessione) prima di annullare la connessione

Nome valore: EnablePMTUDiscovery – Valore consigliato: 1 [Valori validi: 0, 1]
se questo valore è impostato su 1 (valore predefinito), il protocollo TCP deve individuare l’unità massima di trasmissione o il pacchetto con la dimensione maggiore nel percorso di un host remoto. Un pirata informatico può forzare la frammentazione del pacchetto e quindi sovraccaricare lo stack. Specificando il valore 0, verrà imposta la MTU di 576 byte per le connessioni da host non inclusi nella subnet locale.

Nome valore: KeepAliveTime – Valore consigliato: 300000 [Valori validi: 80 - 4294967295]
specifica la frequenza con cui il protocollo TCP tenta di verificare se una connessione inattiva è ancora intatta inviando un pacchetto keep-alive

Nome valore: NoNameReleaseOnDemand – Valore consigliato: 1 [Valori validi: 0, 1]
specifica che il computer non deve rivelare il nome NetBIOS quando riceve una richiesta di rilascio dei nomi.

Nome Valore: DisableIPSourceRouting – Valore consigliato: 1 [Valori validi: 0, 1, 2]
disattiva l’origine routing IP, che consente a un mittente di determinare la route che un datagramma deve seguire attraverso la rete.

Nome Valore: EnableFragmentChecking – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
impedisce allo stack IP di accettare pacchetti frammentati

Nome Valore: EnableMulticastForwarding – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
il servizio di routing si basa su questo parametro per determinare se i pacchetti multicst IP debbano essere inoltrati o meno. Questo parametro viene creato dal servizio Routing e accesso remoto.

Nome Valore: IPEnableRouter – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
l’impostazione di questo parametro su 1 (true) consente al sistema di inoltrare i pacchetti IP alle reti a cui è connesso.

Nome Valore: EnableAddrMaskReply – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
questo parametro stabilisce se il computer deve rispondere a una richiesta di maschera indirizzo ICMP.

Ora rechiamoci alla chiave:

HKLM\System\CurrentControlSet\Services\AFD\Parameters

Nome Valore: EnableICMPRedirect – Valore consigliato: 0 [Valori validi: 0, 1]
se si modifica questo valore su 0, viene impedita la creazione di route host dispendiose in seguito alla ricezione di un pacchetto di reindirizzamento ICMP.

Nome Valore: EnableDynamicBacklog – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
specifica che la funzionalità AFD.SYS dovrà gestire un numero elevato di connessioni SYN_RCVD in modo efficace.

Nome valore: MinimumDynamicBacklog – Valore consigliato: 0 [Valori validi: 0 - 4294967295]
specifica il numero minimo di connessioni disponibili consentito per un endpoint in ascolto. Se il numero di connessioni disponibili risulta inferiore a questo valore, viene inserito un thread nella coda per creare altre connessioni disponibili.

Nome valore: MaximumDynamicBacklog – Valore consigliato: 20 [Valori validi: 0 - 4294967295]
specifica il numero totale delle connessioni disponibili e di quelle in stato SYN_RCVD.

Nome valore: DynamicBacklogGrowthDelta – Valore consigliato: 0 [Valori validi: 0 - 4294967295]
quando sono necessarie altre connessioni, specifica il numero di connessioni disponibili che devono essere create.

Articolo formatted by:  PIANETAPC.IT

[RECENSIONE] LE SCANSIONI ONLINE

Molto spesso sentiamo parlare di virus, trojan, dialer, spyware e quant’altro; e quindi dopo aver creato un’apposita raccolta di programmi per ripulire il proprio PC, che potete scaricare da RBT – 4.
voglio donare ai più pigroni i link alle migliori scansioni online che permettono la rimozione della maggior parte del nocivo attivo sul proprio PC.

Le scansioni online che vi segnalo qui sotto le ho messe in ordine gerarchico per semplicità. per richiesta di configurazione e sopratutto per capacità di rilevamento e la capacità di rimuovere il contenuto trovato.

SCANSIONI A 360 GRADI

PANDA – TOTAL SCAN : Sicuramente la migliore scansione online per semplicità, accuratezza e capacità di rilevamento. Attenzione perchè rimuove tutto a parte gli spyware che dovrete preoccuparvi di rimuovere da soli manualmente dopo aver letto il report finale.

PANDA NANO SCAN : Sicuramente gemella della precedente, solo che scarica un pattern minore di definizioni e quindi effettua una pulizia meno accurata ma più veloce per quanto riguarda sistemi non compromessi. Le opzioni sono indetiche a quella descritta sopra.

ROOTKIT

PANDA ACTIVE SHIELD SCAN : Sicuramente lo stesso motore della TotalScan che rileva tutto, o quasi; ma che tuttavia non rimuove moltissimo. Semplice ed accurata lascia però scapito all’utente finale di andare a rimuovere il contenuto attivo residente nel sistema. Ottima per chi fosse alla ricerca di Rootkit e basta, perchè purtroppo come già detto rileva moltissimo però lascia all’utente il compito di rimuovere ciò che viene rilevato.
TREND-MICRO ROOTKIT BUSTER : Ottima. Da provare per rimuovere rootkit maligni usati da componenti attivi. Tiene testa molto bene al motore ActiveShield Panda appena descritto.

ANTIVIRUS

BITDEFENDER SCAN ONLINE : Sicuramente una delle migliori perchè ha un’alta capacità di rilevamento, riesce ad aprire anche i punti di ripritsino e sopratutto permette l’interazione con l’utente finale nel caso la prima operazione preliminare non vada a buon fine. Contro virus, e trojan è una delle migliori se non la migliore perchè permette la configurazione della scansione online e sopratutto perchè riesce ad isolare tutto ciò che rileva di infetto.
TREND-MICRO HOUSE CALL : Sicuramente rappresenta un’ottima spiaggia con i suoi pattern fornitissimi e molto ricchi di definizioni e firme virali. Permette anche il test della sicurezza del proprio Sistema andando a testare noti exploit o bug segnalati cronologicamente da Microsoft. Anche questo scan permette l’interazione con l’utente finale e soprattutto si occupa egregiamente con trojan e worm peccando però su malware e spyware. Da provare sicuramente anche se è pesante visto che usa un proprio kernel di scansione in Java.

ANTI – MALWARE & SPYWARE

A – SQUARED SCANNER : Ottima. Il nuovo kernel di scansione lanciato da A-Squared la mette in condizione di essere invidaita da tutti gli altri concorrenti. Da maggio 2007 A-Squared si piazza al primo ed assoluto posto della classifica come anti-malware e anti-spyware. Ha una capacità di rilevamento ottima, rimuove tutto ciò che trova e soprattutto non richiede nessuna configurazione. L’unica pecca è la lentezza scansione, che però non si fa rimpiangere vista l’accurattezzae i risultati che ottiene.
EWIDO SCAN ONLINE : Sicuramente uno degli ottimo anti-spyware in commercio come software. Come scansione online non risparmia mai delle sorprese e fa ad hoc il suo dovere, anche se ha molto da invidiare al kernel A-Squared che resta per il momento superiore in tutti i sensi tranne che in velocità.
EWIDO MICRO : Idem a il precedente della lista, solo che questo link vi porta al download del piccolo eseguibile che scarica le definizioni nella cartella Temp di Windows ed esegue la scansione online in maniera stand-alone dopo aver scaricato tutte le definizioni che potremmo rimuovere con un semplice programmino come ATF-Cleaner(vedi Clean-Suite nell’apposita sezione Security Toolz) o CCleaner.

SCANSIONI SINGOLI FILES SOSPETTI

CLAMWIN : Ottima scansione che si appoggia sul motore free e ben fornito di ClamWin che è molto conosciuto a livello sistemistico e in ambito Open-Source. Contiene grandissime definizioni e quindi permette di trovare tantissime informazioni sui virus, o su singoli files sospetti segnalati da altri prodotti antivirus. Ottima per capire come veramente ragione e si comporta quel determinato files sospetto.
VIRUS TOTAL : Altro ottimo motore che permette l’analisi dei files sospetti e di ricavarne il più grande numero di informazioni. Da provare!
NORMAN-SANDBOX LIVE : Ottimo motore che conta su un livello euristico più elevato e su meno definizioni rispetto ai due precedenti appena descritti. Insomma….Da provare se otteniamo scarne informazioni dalle due precedenti singole scansioni.

Ricordo che però queste scansioni online andrebbero fatte dopo aver fatto le operazioni preliminari, che descriverò in un prossimo articolo , e dopo aver usato i tools che ho messo nella Clean-Suite citata all’inizio di questo post.

Ciauz Ciauz

GUIDA ALLA RIMOZIONE DEL VIRUS MY-PHOTO ALBUM LIVE MESSENGER

In questo tutorial voglio indicarvi la procedura corretta per rimuovere il virus/malware MY PHOTO che dal 10 Giugno 2007 sta imperversando in MSN diffondendosi tramite Windows Live Messenger. Questo virus vi viene inviato dai vostri contatti conosciuti, e vi invita ad accettare un file .zip chiamato My_Photo.zip oppure my_photoAlbum.zip che una volta scaricato va a modificare il registro di configurazione di windows e ad installare quattro moduli DLL(Librerie dinamiche di Windows tradotto in italiano per chi non lo sapesse!!). Viste alcune segnalazioni e richieste di aiuto ora vi indico come rimuovere questo stupidssimo malware che scoccia e basta la vita dei poveri MSN users…..

Prima di illustrarvi come rimuoverlo voglio mostrarvi i risultati delle scansioni antivirus contro questo malware, che purtroppo imperversa ancora distanza di mesi grazie ad una sotto-valutazione da parte delle stesse software house che producono gli antivirus e gli anti-malware.

Come ben potete notare dalla foto il malware viene rilevato da pochissimi antivirus; pertanto se volete optare per un antivirus free e buono restate su Antivir Personal Edition, che anche se è free si conferma ancora in ottime posizioni alla pari con gli antivirus a pagamento.

Tornando a noi, per rimuovere il malware Andate su Start e poi se Esegui e digitate regedit e date Invio.
A questo punto siete dentro all’editor del registro di configurazione del vostro Windows. Ora nel menu a sinistra scorrete l’albero gerarchico e cercate le chiavi che vi indichiamo di seguito…

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}

[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

Quando le avete trovate rimuovetele definitivamente. Ora siamo già a buon punto perchè abbiamo inbitio il caricamento all’avvio del malware e quindi ci resta solo da rimuovere i file maligni creati in fase di installazione dallo stesso…..

Andate su Risorse del Computer(per semplificarvi la vita ) e nella cartella Windows fate un cerca inserendo come termini di ricerca questi files:

Photo album.zip
rdfhost.dll rdihost.dll rdshost.dll

Selezionateli e rimuoveteli.

Se non doveste riuscire a rimuoverli è perchè essi sono ancora in uso dal sistema e quindi vi consiglio di cancellarli dalla modalità provvisoria che potete sfruttare riavviando il vostro PC, e continuando a schiacciare F8 appena il vostro computer si sta avviando fino a quando non vi comparirà una schermata a fondo nero che vi chiederà come avviare il vostro PC (e quindi li scegliete modalità provvisoria).

In alternativa vi rendo disponibile il download di un nostro piccolo file .bat che rimuove in automatico i files e alcuni elementi insediati dal malware di cui stiamo parlando.

DOWNLOAD SCRIPT

Se questo file vi restituisse un errore è perchè non riesce ad accedere ai file che deve rimuovere perchè sono in esecuzione.

Quindi apritelo con il blocco note(Click con tasto destro del mouse sul file .bat, scegliete apri con blocco note) e copiate il suo contenuto ed incollatelo nell’autoexec.bat accedendo a quest’ultimo file dalla riga di comando(start – esegui) scrivendo in quest’ultima il comando sysedit.

In alternativa potete scaricare il fix direttamente da

DOWNLOAD TOOL

Spero di esservi stato di aiuto, ma soprattutto di essere stato chiaro ed esaustivo anche stavolta…..

P:S> Questo malware resta tuttavia un’applicazione nociva un pò datata ma che non è stata inserita nei database da parte di tutte le case produttrici di antivirus. In poche parole consiglio a chi ha Avast(pessimo antivirus FreeEdition), o a chi avesse McAFee o Norton di disinstallarli e installare antivirus a pagamento evoluti come Kaspersky, BitDefender o Nod32, oppure di optare per l’ottima soluzione free edition Antivir 7; che aggiornato è pure veloce e molto preciso nelle scansioni e nei rilevamenti. In ogni caso chi avesse quest’ultimi antivirus non è soggetto all’infezione anche se riceve il malware perchè viene rilevato se è aggiornato a dopo il primo Aprile 2007…..Quindi rifiutate prodotti come Norton, Avast e McAfee perchè siete esposti e a 360 non solo a questo stupido malware!!!!

P:P:S> Questa guida la pubblicai ancora un anno fa ma spero sia ancora valida nel caso qualche visitatore sia ancora infetto o abbia ancora problemi con questo vecchio virus.

[TUTORIAL] GUIDA ALL’HARDENING DI INTERNET EXPLORER

Salve ragazzi, voglio condividere anche qui sul forum la mia guida che ho redatto circa un anno fa, e che ho già postato sul blog di RBT-4 sull’hardening di Internet Explorer su piattaforma Windows.

La guida è un pò immensa e pertanto mi limiterò a linkare il mio PDF(visto che non me lo fa allegare),che potrete scaricare per leggere in maniera integrale comodamente sul vostro computer.

Premetto che questa guida l’ho testata personalmente su sette computer e visitando circa 130 siti tra porno, warez e di gioco d’azzardo e il fido IE ha risposto egregiamente.

Pertanto ve ne consiglio la lettura, non solo per know-out personale, ma anche per capire come hardenizzare un browser perchè potete arrangiare questa guida anche per altri browser; anche se ovviamente dal punto di vista pratico i procedimenti pratici saranno leggermente diversi.

Spero vi piaccia come è piaciuta moltissimo a tanti users che l’hanno scaricata(più di 2000 download).

Spero possa esservi utile e di vostro gradimento.

DOWNLOAD GUIDA

[IPTABLES] BLINDIAMO IL NOSTRO FIREWALL

Salve ragazzi, sfogliando i miei appunti ho risistemato alcune regole di firewalling IPTABLES che ho implementato sul mio firewall hardware.

Spero possano servire a qualcuno di voi che vuole cimentarsi in cose simili, o anche solamente per proteggere la propria LAN da alcuni tipi di attacchi conosciuti che sfruttano le RFC della suite di protocolli TCP/IP.
#ANTI – PORT SCANNER

iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp –tcp-flags ALL SYN,ACK -j DROP

ANTI – PING OF DEAD

iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT

ANTI – SYN FLOOD E DOS

iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT

Spero possano tornare utili a qualcuno di voi. Ciauz Ciauz

[IPTABLES] Mettiamo il Turbo alla nostra navigazione Internet

Ciao ragazzi, sempre questa notte durante le operazioni di routine di manuntenzione al mio firewall hardware, ho potuto constatare che sempre tramite le potenti iptables possiamo mettere il turbo pure alla nostra navigazione HTTP lavorando sul TOS dei pacchetti.

Per fare questo, così come vi ho mostrato con le operazioni nell’altro topic sul DNS, possiamo tramite la tabella mangle modificare i pacchetti e fare delle operazioni specifiche come l’ottimizzazione dei tempi….

Per fare questo con il protocollo HTTP dobbiamo inserire queste tre stringhe che vi espongo così come le ho settate sul mio firewall hardware dove hanno dato ottimi risultati.

iptables -t mangle -A OUTPUT -p tcp -j TOS –sport 80 –set-tos 0×08

iptables -t mangle -A PREROUTING -p tcp –dport 80 -j TOS –set-tos 0×08

iptables -t mangle -A OUTPUT -p tcp -j TOS –sport 80 –set-tos 0×10

Spero possano esservi utili, magari anche in un prossimo futuro…….Poi potete sempre sperimentare delle modifiche andando a lavorare sul TOS e vedere cosa succede..

[IPTABLES] METTIAMO IL TURBO AL NAME RESOLVING

Ciao ragazzi, cercando di finire di sistemare il mio firewall hardware ho potuto sperimentare come sia possibile, sempre tramite il potente strumento iptables, velocizzare le procedure DNS, ovvero le procedure di Risoluzione dei nomi DNS in indirizzi IP

Le stringhe iptbales che permettono questo, sono le suguenti che vi “regalo” e che io sul mio firewall hardware ho settato come qui sotto:

iptables -t mangle -A OUTPUT -p udp –dport 53 -j TOS –set-tos 0×08
iptables -t mangle -A PREROUTING -p udp –dport 53 -j TOS –set-tos 0×10

Spero possano esservi utili e soprattutto di ausilio per velocizzare le procedure DNS della vostra LAN o dei vostri PC Linux.

Rimuovere Definitivamente Malware DAN.COM Windows Live Messenger

Ripropongo questa mia procedura per rimuovere definitivamente il malware DAN.COM che ai primi mesi nel 2008 ha infettato e disturbato moltissimi utenti che dopo l’infezione non riuscivaNO più ad usare Messenger nella maggior parte dei casi.

Questa procedura la misi giù durante il punto clou del numero di infezioni, e che postai all’epoca QUI e che ripropongo qui perchè l’articolo era mio e lo scrissi io.

Finora i commenti sono stati solo positivi perchè hanno risolto tutti con questo metodo; fatemi sapere se avete problemi.

///// INIZIO ARTICOLO ORIGINALE \\\\\

Questo paper può essere considerato come integrazione, o anche come sostituzione, del precedente articolo sulla rimozione del malware DAN.COM che imperversa nei circuiti hotmail e Live Messenger da circa un mese abbondante e che era stato segnalato sulla rete proprio da il nostro / – ThE_RaV[3]N – \ in anteprima poche ore dopo la sua prima capillare diffusione.

Avendo riscontrato che molti users avevano problemi a seguire la procedura precedente di ThE_RaV[3]N abbiamo cercato, lui per primo, di trovare un altro metodo più veloce e sicuro per essere sicuri di averlo rimosso. Questo nuovo metodo che vi illustreremo nel corso di questa guida è un metodo basato però su un tool poco conosciuto ma potentissimo : Avenger.

Premettiamo che questo tool è pericolosissimo perché se non si ha confidenza con lo scripting e con i suoi comandi possiamo veramente rovinare il nostro Sistema Operativo o renderlo inutilizzabile/instabile. Premesso ciò noi di RBT – 4 non ci assumiamo nessuna responsabilità sull’uso che farete di questa tutorial e sui possibili danni arrecati che potete fare.

Per rimuovere il famoso malware scaricate HJK da qui, e dopo averlo scaricato installatelo ed esegui telo. Quando lo avrete aperto cliccate sul pulsante Scan e quando avrà finito lo scan e avrete il report di tutte le chiavi di registro del vostro Windows Selezionate(cioè marcate con il simbolo ticket all’interno della casellina in fianco ad ogni voce) tutte le voci 04 o comunque riferite al famoso file services.exe che parte dall’altrettanto famoso percorso già citato più volte:

C:\Documents and Settings\<VostroNomeUtente>\impost~1\temp\services.exe.

Fixate tutte quelle voci(cliccando sul tasto fixed di HJK dopo averle selezionate) procedete pure ad aprire il tool Avenger che potete scaricare direttamente dal sito dell’autore da qui.

Una volta lanciato Avenger selezionate l’opzione Input Script Manually, e nella finestra dove dovrete inserire lo script di input inserite quanto vi riportiamo di seguito:

Files to delete:
C:\WINDOWS\lwsys32.exe
C:\WINDOWS\whsyst32.exe
C:\WINDOWS\System32\intel32.exe
C:\Documents and Settings\nome_utente\Impostazioni locali\Temp\Services.exe

Confermiamo lo script e chiudiamo Avenger.

Fatto questo riavviamo il PC permettendo così ad Avenger di applicare le modifiche che gli abbiamo detto di fare.

Ora la capacità di far eseguire i comandi a livello di kernel da parte di Avenger ci permetterà di poter rimuovere quei fastidiosi files in uso dal malware e lavorare tranquilli senza dover sopportare le fastidiose finestre di Live Messenger che si aprono da sole a ripetizione bloccando il nostro lavoro.

///// FINE ARTICOLO ORIGINALE \\\\\

Spero sia chiaro l’articolo di testa che venne pubblicato sul blog della community RBT – 4. In caso di problemi io sono qui

[RECENSIONE] BitDefender 2008 – SoftWin alla riscossa

Salve a tutti ragazzi, voglio quest’oggi pubblicare qui su RBT – 4 la recensione dell’antivirus BitDefender 2008 che finirà su alcune teste di serie tra qualche giorno quando avrò finito di metterla bene per estesa.

Voglio premettere che innanzitutto a livello di Server Appliance, ma anche a livello di Client Appliance, sono sempre stato affezionato e fan sfegatato dei prodotti SoftWin; anche se mi ero ritrovato a preferire Avira Antivir a BitDefender da un anno e mezzo a questa parte a causa dell’inaridimento dell’engine euristico che aveva sempre messo al primo posto BitDefender rispetto agli altri concorrenti.

Tuttavia dopo i test odierni posso veramente dire che tanti altri antivirus acclamati come ottimi e migliori di tutti( vero r0b0? ) come NOD32, Avira Antivir, GDATA ecc ecc hanno solo che da copiare da questo stupendo prodotto che ha sfornato SoftWin per questa annata che sembra essere l’annata della rivincita SoftWin.

Entrando nel vivo della recensione vediamo come ci si presenta dopo l’installazione il prodotto

Come ben potete vedere dallo screen soprastante si può notare subito che il prodotto si presenta con quattro grandi Appliance, e tutte in un’ottima interfaccia grafica nuova e discreta e che permette anche agli utenti meno pratici di destreggiarsi nella configurazione del prodotto in modo più che sufficiente.

Entriamo un pò più nel dettaglio e vediamo cosa ci offre questo ottimo Antivirus

Nel secondo screen possiamo notare che la configurazione dell’interfaccia di protezione virus può essere configurata come i livelli di Internet Explorer, e ciò per livelli preimpostati, oppure essere settata in modo avanzato come ho deciso di mostrarvi nella foto in particolare. Tramite il menu avanzato è possibile settare lo scan degli MBR dei dischi fissi, la scansioni degli archivi, delle condivisioni di rete, e le policies di fronte a files sospetti oppure infetti.

Ottima risulta anche la funzione per impostare la dimensione massima dei files da scansionare nel caso volessimo imporre dei limiti sulle dimensioni dei files che riteniamo pericolosi. Ovviamente queste configurazioni le possiamo proteggere da password per sicurezza contro alcuni tipi di malware o trojan scritti da auto-didatti che puntano al killing dei processi di sicurezza residenti conosciuti e che vanno per la maggiore. Da notare come la funzione di password protection non sia invasiva, ma anzi che permette di mostrare i menu contestuali e di accedere ai pannelli avanzati solo immettendo la password di protezione settata in precedenza.

Ora direi che possiamo entrare nelle chicce di gala inserite da SoftWin e che rendono questo prodotto superiore alla concorrenza Eset NOD32 e Avira Antivir….procediamo!

Sicuramente una delle tante novità è che BitDefender si schiera con la contro-informazione di sicurezza che in poche testate o prodotti portano avanti; e cioè la sicurezza dal contenuto attivo. Come ben tutti voi sapete, o dovreste sapere se vi definite appassionati della sicurezza, è che il blocco o il filtering dello scripting host, dei contenuti attivi e dei componenti dinamici è alla base della protezione durante la navigazione internet; ed infatti la SoftWin ha puntato anche su questo, integrando funzioni come :

Identity Protection, Cookies Protection, Script Protection, Anti-Pishing Protection & Registry Protection

Come ben potete capire se masticate un pò di inglese questi moduli residenti si occupano della prevenzione dal Furto d’Identità, dai cookies traccianti, dagli script attivi http e dall’esecuzione attiva di procedure strane sul cuore di Windows cioè il registro di configurazione. Guardiamo lo screen sottostante per farci un’idea…

Io per esempio ho deciso di sottolineare i controlli manuali sul furto d’identità che risulta abbastanza nuovo su gli antivirus, e la protezione da script attivi che esso integra. Guardiamo gli screen seguenti

Come ben potete notare in questa appliance possiamo decidere a quali domini bloccare oppure concedere gli script; e in questa categoria rientrano gli script VBS, JS e affini che sono quelli più diffusi su siti dialers e di redirect a siti porno o pishing per esempio. Interessante poi risulta anche la funzione di protezione del registro che ho testato subito eseguendo alcuni script di sincronizzazione utente post-login per una rete a dominio e devo dire che il motore di engine di SoftWin ha fatto il suo dovere aprendo un pop-up di richiesta su come comportarsi con questa applicazione come potretete vedere nello screen sottostante(1 attempt blocked)

Di particolare interesse cè anche la funzione di anti-pishing che permette ad BitDefender di collegarsi al Database centrale per verificare se un sito che visitiamo è un sito di pishing oppure no, anche se in questa appliance ce una piccola dimenticanza e cioè che questa funzione è disponibile solo per Internet Explorer visto che è basata su controlli ActiveX che altri browser come Firefox o Opera non supportano.

Al di là di questa bellissima funzione che però grava di questa piccola pecca sicuramente non possiamo sminuire il prodotto che integra anche altri assi nella manica che più avanti scopriremo.
Voglio puntare il dito su una nuova funzione in particolare; quella per la prevenzione dal furto di identità. Guardiamo lo screen

Questa funzione permette di creare regole personalizzate, e di catalogarle in base al loro fine, cioè se sono mirate alla protezione di numeri di carta di credito, indirizzi email, account vari, dati di accesso o quant’altro. Una volta scelto il fine di questa regola possiamo impostare le azioni, e in particolare se vogliamo appoggiarci a tutti e due i motori di engine di appoggio per la protezione aggiuntiva e cioè : HTTP & EMAIL SCANNING.
I controlli sul traffico http sono fatti anche sul traffico https, mentre quelli sulla posta vengono effettuati sia per la posta INBOUND che OUTBOUND sia per comunicazioni in chiaro che per connessioni cifrate come quelle previste per account di posta GMAIL. Per queste tipologie di protocolli Internet, che possono mettere a rischio di diffusione insaputa dell’utente i suoi dati sensibili, il motore di engine si incarica di fare un match delle parole, dei numeri o quant’altro (specificato nelle regole) che possono contenere informazioni sensibili che non devono essere spedite e/o “divulgate” tramite il canale EMAIL o HTTP.

In questo modo BitDefender ci garantisce una protezione, anche se primitiva, anche su protocolli che spesso vengono ignorati e che possono essere usati da attacker per lo stealing di informazioni personali tramite trojan o malware.
Sicuramente questa funzione non è ancora ad uno stato evoluto ma devo dire che mi ha dato dei responsi positivi ed utili, specie sull’analisi del trafico http e smtp. Sicuramente già dalla prossima release queste caratteristiche saranno sicuramente parte evoluta e portante di questo antivirus che ne vuole fare parte integrante a tutti gli effetti del suo motore.

Interessante risulta anche la velocità e lo scarso conflitto del motore di aggiornamento tramite un server proxy locale, che BitDefender tollera alla grande in questa release.
Infatti, a differenza di Antivir o NOD32 che risultano lenti e ridondanti nell’aggiornamento tramite un proxy come il mio che richiede l’uscita solo su un’unica porta tramite autenticazione, BitDefender sembra procedere agli aggiornamenti in modo tranquillo e disinvolto senza porre alcuni tipo di problematica.
Anche questa piccola cosa però sotolinea come questo prodotto si proponga come un prodotto scalare e adattabile a molte realtà aziendali che implementano infrastrutture IT un pò articolate per ovvi motivi di sicurezza aziendale.

Per concludere questa recensione voglio mostrarvi la parte più interessante di questo prodotto, e che sicuramente vi lascerà un pò di stucco vedendo quante funzioni e appliance integra; il task-manager di Windows. Notiamo lo screen sottostante

Tramite uno snap del registro di configurazione e dei processi possiamo notare che i quattro processi residenti di BitDefender sono : vsserv.exe, livesrv.exe,xcommsvr.exe e bdagent.exe. In totale questo processi, come potete ben notare dal mio task-manager occupano in totale cinque megabyte di RAM circa, quindi niente se paragonati ad tantissimi altri antivirus che occupano più di RAM e che implementano meno funzioni al suo interno. Ovviamente se lanciamo una scansione la RAM occupata aumenterà ma questo come è normale che sia, e che sicuramente ci fa capire come però id default e in resident-mode come sia comunque stato puntato il dito sulla performance da parte di SoftWin rispetto alle precedenti versioni che erano pesantissime e lente.

Detto questo voglio ricordare che BitDefender si è sempre distinto per il suo motore di scansione euristico, uno dei migliori che esista ancora al mondo e che le altre software house ancora non sono riuscite a copiare in tutto per tutto; pertanto anche la protezione per virus non ancora inclusi nella definizioni virali risulta sempre di fascia media garantendo così un medio grado di protezione sempre anche se non lo abbiamo fatto aggiornare per qualche giorno.

Insomma che dire, se volete scoprire meglio le sue funzioni, come configurarlo e come esso si comporta non vi resta altro che provarlo visto che il costo di una licenza è anche abbastanza basso rispetto agli anni precedenti. Sicuramente da beta-tester che da anni testa prodotti di sicurezza lato client posso confermarvi che ne vale la pena, e che se siete un pò maniaci sicuramente vi innamorerete di questo prodotto.