Hacking yahoo

Veramente non si autoeseguono si autodiffondono al massimo ma sei tu che lo scarichi e ci clicchi due volte per aprirlo.

E' da tanto che i virus s sono evoluti con la possibilità d autoeseguirsi tanto che a volte nn t accorgi d niente fino a quando un bel giorno nn va + nulla

OLD
Perciò sapete come prendere un virus e decompilarlo senza infettarsi?????

Penso che incomincerò a fare l' hacker... Ma poi vedi che yahoo usa norton...

Be se yahoo usa norton allora puoi stare sicuro che la posta t arriverà piena d virus

[marcio]

E' da tanto che i virus s sono evoluti con la possibilità d autoeseguirsi tanto che a volte nn t accorgi d niente fino a quando un bel giorno nn va + nulla

lol è vero è da poco che ho win xp prima con win me li prendevo solo se cliccavo 2 volte sul file (mai preso in pratica)

Guarda che nn dipende dal sistema operativo in uso ma dal tipo d virus

No no no ragazzi non facciamo confusione

Un virus e' un software per cui se non lo eseguite non puo' partire.

I virus che "sembrano" autoeseguirsi semplicemente sfruttano delle falle nel vostro sistema operativo.

Facciamo un esempio cretino, vi mando una email con un allegato .wav:

se voi la leggete da web avrete la possibilita' di scaricare l'allegato e di ascoltarlo

se usate thunderbird l'allegato verra' scaricato (anche perche' in realta' e' semplicemente trascritto nel testo della mail) ma per eseguirlo dovrete prima estrarlo e poi lanciarlo

se usate outloook lo ascolterete automaticamente mentre leggete la mail.
Questo perche' quel gran genio di bill gates ha pensato che fosse una comoda funzionalita' aggiuntiva (peraltro mai richiesta) che gli allegati venissero estratti e lanciati senza che voi dobbiate cliccare da qualche parte.

Alcuni virus si installano sul vostro sistema usando gli activex di Internet Explorer.

Quante volte vi si e' aperta una finestra navigando e voi avete cliccato si' senza leggere? Fate il conto e poi confrontatelo con i virus che vi siete presi. Scoprirete che le due cose sono direttamente proporzionali.

In quel caso e' un activex malevolo che installa il virus sul vostro pc, per cui potremmo dire che sono DUE programmi, non uno.

Sasser, infine, sfrutta un bug della sicurezza di windows e da quel che ricordo non si esegue automaticamente.

Funziona cosi':
- un computer infetto trova un altro computer in rete e capisce che non e' infetto
- gli invia una copia del virus che viene salvata sul computer vittima e verra' eseguita al primo riavvio
- attacca il servizio lsass sul windows del computer vittima per causare un riavvio

A quel punto durante il riavvio windows trovera' un nuovo programma da eseguire e lo eseguira'.

Come vedete non esistono virus che si autoeseguono.

Sks ma l'hai detto tu: ...e verrà eseguita al primo riavvio... attacca il servizio Isass... windows troverà un nuovo programma da eseguire e lo eseguirà... Il virus parte senza bisogno di input dell'utente

Si ma perché lo esegue windows.
Praticamente é come se si nettesse nell'esecuzione automatica...

Si, è qll'incirca qll che intendevo.
Nn t accorgi e parte da solo

CoD...sei sempre un grande :grin:

ecco alcuni virus ke mi sono capitati e ke nessuno a citato:

-morphine (formato dalla fusione di 2virus blaster e di un file eseguibilr di cui nn ricordo il nome)

-kernelbag: nessuno ke lo conosce.....nn so ki l'abbia inventato
-paginainiziale: virus caxxuto ke si installa, e quando di connetti di dirotta a un 899.... di un sito porno......il colmo è ke l'ho preso (panda l'ha fermato)su un sito con temi per xp!!!!

dei 3 citati i primi 2 mi hanno costretto a formattare mentre il terzo nn si è installato...panda l'ha eliminato appena è comparso :grin:

cmq conosco gente ke è capace di creare virus potenti (da passare norton e mcafee) usando gli java script: come fanno???

Napster

[marcio]

Veramente non c'è neanche bisogno del riavvio,si eseguono anche subito mentre sei online da quanto mi è capitato

Allora, visto che la discussione e' un po' cambiata ma e' entrata nel vivo, che ne dite di passare in rassegna anche il funzionamento di antivirus?

In principio gli antivirus erano programmi che cercavano all'interno di un file, un pezzo di codice ben preciso che sapevano essere quello del virus.

Funzionavano bene, ma ad un certo punto qualcosa e' cambiato. Sono nati i virus polimorfici.

Un virus polimorfico e' un virus che cambia forma ma e' sempre in grado di funzionare.

Come fa?

Semplicissimo: e' un virus formato da tre parti distinte: un sistema di cifratura/decifratura (e a volte anche di compressione), una chiave, il virus vero e proprio.

Ecco cosa accade quando il virus identifica un nuovo file da infettare (cioe' un file in cui copiarsi):
- crea una chiave casuale
- fa una copia di se stesso e la cifra con quella chiave
- la mette all'interno del file bersaglio
- mette prima di quel blocco il sistema di decifratura e la chiave da usare.

A questo punto se eseguirete il file bersaglio avvierete il decifratore che estrarra'-decifrera' il virus e lo mandera' in esecuzione.

Come fare per identificare questi virus che cambiano forma?

Prima di tutto si puo' cercare il sistema di decifrazione, che e' l'unico ad essere sempre uguale e di solito e' un programma preciso gratuitamente disponibile sulla rete.

Ma a volte questo non accade!

A volte i virus non cambiano forma cifrandosi, ma modificando alcune operazioni all'interno del loro codice.

Ad esempio aggiungendo comandi inutili come "aggiungi 100, togli 100" oppure "ripeti da 0 a 1000-niente-ripeti".

Il codice cambia ma non e' cifrato ed e' sempre eseguibile.

L'unico modo di capire se e' un virus e' eseguirlo, ed e' proprio quello che fanno gli antivirus moderni, con la ricerca EURISTICA.

In soldoni: si tratta di una sorta di statistica (vado a memoria potrei sbagliare)

Si parte dal presupposto che il file sia moderatamente sicuro.

L'antivirus crea una zona di memoria protetta in cui eseguire il file e lo manda in esecuzione osservandone il comportamento.
Per ogni operazione insensata aggiunge 2 punti, per ogni operazione sensata o che produce un output ne toglie alcuni (non so quanti).

Se i punti arrivano a 10 il programma e' un virus, se scendono a 0 e' sicuro.

Ecco quindi che anche un virus di cui non si conosce il codice (magari perche' e' uscito 10 minuti fa) potrebbe essere individuato ugualmente da un buon antivirus con ricerca euristica.

comunque non infettarsi è abbastanza semplice.
basta usare firefox e thunderbird e un buon firewall ed avere un buon senso di intuito e si campa tranquilli :winkOLD:

i primi due programmi sono progettati col cervello e non con i piedi e il terzo se uno lo sa usare bene è utilissimo anche per bloccare i vari processi di comunicazione con mamma microsoft :eyes:

Bene... detto tutto questo potete dirmi come posso decompilare un virus per vedere come è scritto??
E' possibile fare ciò che chiedo??
Come?

Decompilando un eseguibile non otterrai MAI un codice sorgente, questo ricordatelo!

Otterrai una serie di byte che hano un significato e ti verranno "spiegati" usando l'assembly, ad esempio (questo e' un pezzo di netsky.p):

Codice:

:0040504C ED                      in ax, dx
:0040504D AD                      lodsd
:0040504E FD                      std
:0040504F 7508                    jne 00405059
:00405051 FF15D4302230            call dword ptr [302230D4]
:00405057 0F842625008D            je 8D407583
:0040505D 85CC                    test esp, ecx
:0040505F FB                      sti
:00405060 FFFF                    BYTE  2 DUP(0ffh)

Osserva per esempio i comandi je e jne seguiti da un numero.

Quelle sono delle if (professionisti passatemi l'espressione) che stanno piu' o meno per:
je : se la condizione e' vera salta all'indirizzo xxxx
jne : se la condizione e' falsa salta all'indirizzo xxxx

Per chiarire vi faccio un esempio un po' off-topic (ma tanto ormai OLD)

Prendiamo un programma che per registrarsi ti chiede un numero di serie.

Prendiamolo scritto in vb che e' meglio

Lo decompiliamo con w32dasm e passiamo il file di dump al programma vbref, che ci indichera' in quale punto vengono usate le stringhe di testo.

Cerchiamo il testo della finestra di errore tipo: "hai inserito il codice sbagliato" e torniamo indietro di al salto precedente.

Se ad esempio troviamo un jne che punta alla parte di codice in cui viene disegnata la finestra di errore, potremmo supporre che quella e' la if che confronta il seriale inserito con quello del programma.

Che succederebbe se sotituissimo un je al jne lasciando invariato tutto il resto?

Ve lo dico io: tutti i numeri inseriti risulterebbero validi tranne quello corretto

Abbiamo appena craccato un programma.

Ovviamente con i virus e' quasi inutile. Spesso ci si limita a piccole porzioni di codice e le si studiano solamente.

[marcio]

Quelle sono delle if (professionisti passatemi l'espressione) che stanno piu' o meno per:
je : se la condizione e' vera salta all'indirizzo xxxx
jne : se la condizione e' falsa salta all'indirizzo xxxx

Intendi cosa vogliono dire?
je = jump if equal (salta in quella posizione sè è uguale)
jne = jump if not equal (salta se è diverso)

Edit: Lol mi sono accorto che anche tu hai fatto lo stesso esempio Cod :)

molte volte per craccare un file basta cambiare un je giusto in jne e inserendo per esempio il serial il programma fa il confronto con il serial corretto siccome noi abbiamo sostituito je con jne darà come valido un serial diverso da quello giusto mentre se inseriremo quello giusto il programma dirà "serial errato",spero di essermi spiegato :P