Notizia Successiva
Driver & Driver
Prefazione
----------

La nuova versione di WhatSecurity vuole essere un ulteriore contributo per
dimostrare la vulnerabilità degli antivirus.
La prima versione di tale utility è stata classificata dalle maggiori aziende
produttrici di Antivirus come un programma malevolo sotto il nome di:
"WIN32.PIORIO Backdoor"

Le soluzioni progettuali degli antivirus, però non sono cambiate affatto!
Non soltanto questa nuova versione è praticamente identica alla precedente,
fatta eccezione per il supporto al Norton Antivirus 2002, quanto è ancora
utilizzabile per lo spegnimento automatico degli antivirus!

Norton Antivirus 2002 riconosce con successo la vecchia versione, ma con la nuova
per alcuni minimi cambiamenti non viene più fermata nella sua esecuzione!

Un ulteriore prova anche della leggerezza nel come vengano realizzate le procedure
di creazione firme!


Cos'è WhatSecurity2?
------------

WhatSecurity 2 è un'utility per lo "spegnimento" dei più noti antivirus presenti
sul mercato.
Tale tecnica nota anche con il nome di Retro-virus, (con la valenza di attacco
nei confronti dei prodotti antivirus) è stata messa a punto per dimostrare la
vulnerabilità dei vari prodotti a tale tipo di attacco dannosissimo, poichè un
qualunque creatore di virus avrebbe l'opportunità di togliere le protezioni ai
computer e successivamente attaccare gli utenti.

WHATSECURITY2 non è però un programma maligno, ma soltanto a scopo dimostrativo.
I diversi antivirus supportati, se presenti, vengono disattivati.

L'utility NON E' DANNOSA, è un semplice test che dimostra delle vulnerabilità.



Come funziona?
-------------

La tecnica retrovirus da me utilizzata è del tutto innovativa.
Ai vari antivirus viene segnalato il falso spegnimento del computer, per far sì
che le protezioni vengano disabilitate.

I vari software antivirus sono molto ingenui e malgrado si avvalgano di protezioni
sofisticate non si accorgono della veridicità di tale messaggio, spegnendosi senza
neanche avvisare l'utente.

Vorrei fare alcune distinzioni trai diversi tipi di antivirus, alcuni di essi sono
soggetti a spegnimento facendo uso delle semplici API di Windows come TerminateProcess
ma la mia utility non adotta tale strataggemma di process killing.

PANDA Antivirus (la cui protezione real-time sotto Win9x è affidata ad un VxD statico)
non può essere spento da un semplice process-killing, poichè il driver VxD continua
a funzionare, ecco dunque entrare in gioco la mia tecnica.

Per Norton Antivirus 2002 la tecnica utilizzata è invece semplice e molto preoccupante.
Norton funziona come un "service" di Windows e può essere abilitato e disabilitato
molto facilmente, avendo però i diritti di Amministratore (in Windows XP Home tutti gli
utenti sono Amministratori...)


Antivirus "supportati"
-----------------

I test sono stati effettuati sotto Windows 98 SE e Windows XP.
Le differenze di funzionamento degli antivirus sotto piattaforma 9x e NT/2000/XP sono
da considerarsi differenti per ciò che riguarda l'implementazione dello scanning realtime.
Tuttavia molti utenti mi hanno segnalato il funzionamento dell'utility con i vari Antivirus
in tutte le situazioni possibili, solo in qualche caso ci sono state stranezze come con
l'antivirus McAfee, non riconosciuto nella versione Corporate.
Tutto questo è però da imputarsi unicamente alla maniera di ricerca degli antivirus, che
viene effettuata in maniera tale da essere sicuri che quel determinato processo sia
davvero un antivirus oppure no.
Un esempio: Goner ed altri virus cercavano processi in memoria associando per esempio AVP
con il nome del noto antivirus.
****
WHATSECURITY opera in maniera diversa, anche cambiando il nome agli eseguibili il risultato
rimane inalterato, l'utili NON VIENE INGANNATA.
****


AVP Kaspersky
F-Prot F-Secure
McAfee McAfee
PANDA PANDA Software
NORTON Symantec Corp.

Pagina di riferimento

tnx l'archiviatore NB: le informazioni sopra esposte sono copiate dal txt allegato con l'eseguibile.
3 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate