Re: Morte degli antivirus e dei Firewall

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2002 ml@sikurezza.org
Soggetto: Re: Morte degli antivirus e dei Firewall
Mittente: Sorrow The Prince
Data: 20 Feb 2002 12:28:48 -0000

ola NeMeS||y,
Saturday, February 16, 2002, 6:52:42 PM, you wrote:

Ny> Saluti a tutti,
Ny> ho acquistato ultimamente un giornale, ed un articolo, parlava della
Ny> possibilità di killare, sotto windows, gli antivirus con molta semplicità
Ny> utilizzando un API in particolare e tutto questo con poche righe di codice.
Ny> Le case produttrici di AV hanno ritenuto questo bug irrisorio... tranne AVP
Ny> che ha provveduto a rilasciare una patch. Per curiosità ho scritto due righe
Ny> di codice in VB utilizzando l'API in questione... il codice è il seguente :
Ny>...
Ny> Fatemi sapere cosa ne pensate..

IMHO non e' un problema di sicurezza...

discorso logico:

innanzi tutto se quel codice sta girando, vorra' dire che l'eventuale
attachment (parlo, a titolo di esempio, di email) ha gia' passato il
test da parte dell'antivirus, che non l'ha riconosciuto come "virus".

inoltre dovresti accorgerti che l'antivirus, o chi per esso, e' stato
chiuso e, pur non evitando un primo contagio, forse avresti il tempo
di prendere le adeguate contromisure...
ma soprattutto e' il primo punto che conta.

discorso tecnico:

il messaggio WM_CLOSE e' un messaggio considerato solo da quelle
applicazioni che hanno una windows procedure, quindi, una finestra.
se l'antivirus si installa come servizio, gia' le cose diventano
diverse...

e' semplice far si' che un processo ignori quel messaggio:
in questo caso non potrai chiudere l'applicazione in maniera standard,
ma cmq essa si chiudera' quando finisci la tua sessione o spegni la
macchina (infatti sono altri i messaggi, diversi da WM_CLOSE, che vengono
spediti alle applicazioni)... ma tutto dipende da queste ultime.
ma anche questi sono simulabili da parte di un eventuale
malintenzionato: tutti i messaggi di questo genere (ossia quelli
inviati a una window procedure) sono, in gergo unix ;),
intercettabili...

questo "problema-non-problema" viene risolto installando l'antivirus
come servizio, servizio che possa essere fermato soltanto dal sistema
e dall'amministratore (ovviamente si parla di os del tipo NT... win9x,
come gia' evidenziato, e' sempre e comunque aggirabile)...
quindi se normalmente usi il tuo sistema operativo *non* come
amministratore (procedura consigliabile), dovresti aver risolto il
problema.

ma , e ripeto, il vero cuore del discorso sta nella prima
proposizione: se quel codice malevolo sta girando, vuol dire che ha
gia' superato il check.

Ny> bye
Ny>  -NeM
cordiali saluti,
Francesco Picasso
http://francesco.netsigners.com


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- R: ISP e caller-ID, programmers
- Re: ISP e caller-ID - un poco OT ?, Ing. S. Centineo AMAP S.p.A.
- Morte degli antivirus e dei Firewall, NeMeS||y

Data:
- precedente: Re: Vuln in pforum (MySql), GiulioMaria Fontana
- successivo: AntiSpider, Esp
- indice

Argomento:
- precedente: Re: Morte degli antivirus e dei Firewall, Raistlinmage
- successivo: Re: ISP e caller-ID - un poco OT ?, BlueRaven
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005