Un virus e' essenzialmente un programma in grado di produrre una copia di se stesso, e, soprattutto, contenente istruzioni capaci di arrecare danni al sistema nel quale viene eseguito. Esistono vari tipi di virus:
Virus di file
Sono virus che infettano i files eseguibili, come ad esempio quelli con estensione '.exe' oppure '.com'. Ogni eseguibile e' composto piu' o meno da tre parti: una parte di testata (header), una parte di dati, ed una parte contenente le istruzioni vere e proprie. La testata contiene un 'rimando' (una istruzione di 'salto') all' inizio del blocco di istruzioni. Il virus modifica questo 'rimando' in modo di farlo puntare alla fine del file, dove viene inserito un blocco di istruzioni dannose (il corpo del virus) e comunque, alla fine di tale blocco, 'rimanda' al punto di inizio del blocco di istruzioni originarie.
Gli antivirus sono dotati di un motore di scansione che rileva la presenza di questi 'rimandi' fittizi e la presenza di una 'stringa di identificazione', cioe' una sequenza di istruzioni caratteristica di un dato virus. A tale scopo posseggono un database contenente tutte le stringhe dei virus conosciuti. La conclusione ovvia e': per poter essere efficace, un antivirus deve avere un database aggiornato periodicamente. In caso contrario viene a mancare un presupposto essenziale che rende la sua azione quasi nulla.
Virus di boot
I sistemi operativi dei computers sono formati da un insieme di programmi solitamente residenti su disko. All' atto dell' avvio la macchina ricerca un' area del disko che contiene delle informazioni vitali del disko stesso (MBR Master Boot Record). Una volta letta quest' area, la machina e' in grado di riconoscere le caratteristiche del disko, come ad esempio il numero dei settori. Successivamente viene letto il record di avvio, che e' un' area che contiene le istruzioni per caricare il sistema operativo. Il sitema operativo puo' essere fatto partire dal disko fisso del computer, oppure da un floppy disk. In ogni caso la macchina va a leggere sempre il primo settore del disko, che, nel caso del disko fisso contiene l' MBR, e ne caso del floppy contiene direttamente il record di avvio.
Il virus agisce spostando il blocco di istruzioni necessarie all' avvio del sistema operativo (record di avvio) in una zona diversa del disko. Successivamente copia se stesso nella zona che precedentemente conteneva il record di avvio. L' ultima istruzione del virus sara' quella che rendera' nuovamente disponibile il vero record di avvio al sistema. In questo modo il virus (che e' un programma) viene attivato ad ogni avvio della macchina. Se si lascia un floppy disk nel PC spento, all' atto dell' accensione, la macchina ne rilevera' la presenza, e tentera' di caricare il sistema operativo dal floppy. Andra' cosi' a leggere il primo settore, che come sappiamo contiene il virus.
Virus companion
In ambiente MsDos, se nella stessa directory sono presenti 2 file con lo stesso nome, uno con l' estensione '.com', e l' altro con l' estensione '.exe', il sistema esegue sempre il file con estensione '.com' prima. I virus di tipo companion creano una copia di se stessi con lo stesso nome del file con estensione '.exe' da infettare. Ma con estensione '.com'! Quindi, se viene lanciato il file eseguibile 'pippo' (pippo.exe), il sistema utilizzera' il file pippo.com (che non esisteva originariamente in quanto si tratta del virus).
Questo tipo di virus non e' attivo in ambiente Windows 95, ma se viene eseguito all' interno di una finestra Dos, torna ad essere pericoloso!
Virus del file system
Qesto tipo di virus modifica la FAT (File Allocation Table) del sistema. La FAT contiene l' indice dei nomi e degli indirizzi dei files. Il virus la modifica in modo da essere eseguito prima del programma originale.
Virus di macro
Questa e' una delle ultime generazioni di virus. Utilizzano delle caratteristiche di certi programmi come Word o Excel. Questi programmi contengono un apposito linguaggio che puo' essere utilizzato per creare delle macro. Una macro non e' altro che un insieme di operazioni (come ad esempio l' apertura di un documento o il suo salvataggio con un nome). E' possibile costruire dei 'modelli' da associare ai documenti, che permettano l' esecuzione delle macro all' atto della loro apertura. Il virus e' in questo caso una macro: contenente operazioni distruttive!
Virus a tempo
Si tratta di virus che 'dormono' all' interno dei files infetti, e si risvegliano solamente al verificarsi di determinate condizioni , come ad esempio allo scadere di una certa data o di un certo orario.
Virus ANSI
Si tratta di virus che sfruttano la possibilita (in ambiente MsDos) di associare ai i tasti del computer delle stringhe di caratteri che possono formare dei comandi. Il virus puo' ad esempio associare alla lettera 'v' il comando 'format c:', oppure al tasto INVIO il comando 'del *.exe'! Queste associazioni vengono effettuate all' interno del file config.sys.
Cavalli di troia
Non si tratta di veri e propri virus, in quanto non sono in grado di replicarsi, ma sono molto pericolosi. Non sono identificabili, perche' si celano sotto le spoglie di un normale programma. E' famoso il cavallo di troia 'PKZIP300.EXE', che non contiene la nuova versione del programma PKZIP (la cui ultima release non e' mai arrivata a 3.0!).
giovedì 29 maggio 2008
Phreacking Cabine
dall'universo Phreak
5/06/98 ANCORA SUL GREEN DI TIN
alcuni dati sul numero verde TIN : 1670-12837
risponde un Ascend AMAX 2000 o 4000 (access server)
*) il numero telefonico reale e' : 070-552201
*) con il comando 'show calls' e' possibile vedere
le chiamate entranti e anche il numero di telefono
di chi chiama (se la chiamata arriva da ISDN).. cosa
che puo' sempre servire ad estorcere password di
utenti isdn che si stanno registrando (un po' di
social engineering, lascio alla vostra fantasia le
scuse possibili)..
*) con il comando 'show user' e' possibile vedere
sempre gli utenti collegati e l'identificativo di
chiamata (tipo : 261107012).. per genialita' di
configurazione e' possibile buttare giu' una qualsiasi
chiamata col comando 'kill numeroid' (es :
kill 261107012)
*) vi sono tre macchine chiamabili direttamente
dalla shell del router :
195.31.190.63 hp/ux adamo
195.31.190.65 sun solaris balena
194.20.32.15 amax2 (altro ascend router)
193.20.32.1 www.tin.it (inutile)
la sun ha la porta 25 di SMTP aperta, per cui
potete sempre inviare un po' di email a sbafo
se trovate una login/pass su una di quelle
macchine potete andare dove volete o installarci
sopra un miniproxy
*) soluzione piu' elegante: trovare la password
di supervisor dell'AMAX (non so il comando, sui
cisco e' 'enable' e poi la pass) e inserire
delle route statiche verso i siti che si vogliono
chiamare con 'iproute add .....'
*) 'iproute show' vedete le route attive
saluti,
Timescape ( timescape@iname.com )
31/05/98 SMS VIA MODEM SENZA INTERNET
Servizio SMS TIM accessibile con il modem di casa e con un menu-guida!
Basta chiamare con un modem il numero 0335-960-9600 e seguire i menu'... e' il centro SMS di Telecom, vi puo' accedere chiunque, manda messaggi -credo- ovunque ma soprattutto per mandare messaggi in italia e' velocissimo
Credo anche che costi un bordello di soldi!
C4a7r0b07
25/05/98 Green Infostrada
2 mesi fa e' girato sui newsgroup un numero verde di Infostrada (167517187), a cui era possibile collegarsi con account IOL, IUNET, FLASHNET.
Ora non funziona piu' (da maggio, circa) e si dice che alcuni che l'hanno usato si siano trovati la GdF in casa e gli hanno sequestrato il pc. Ma non si hanno altre info.
Telecomico UIN 12869654
25/05/98 Controllare sempre le schede abbandonate!
Sotto casa di un mio amico, un lettore di schede è andato in tilt in una maniera molto simpatica: di tanto in tanto segnala erroneamente l'importo sulle schede, segnalandole come vuote indipendentemente da quanti soldi ci siano dentro. Siccome molta gente non si prende la briga di controllare alla cabina di fianco, si vedono parecchie schede 'vuote' abbandonate sul telefono. Solo ieri abbiamo raccimolato cinque schede semicariche! Fate gli accattoni!!!
CDP UIN 4726300
25/05/98 Telecom Pirla's connection
L'167012837 e' un numero verde di servizio telecom dislocato a Cagliari rispondente al dominio 194.20.32.X di classe C, ovviamente.
Il router che risponde non e' un cisco ma un ascend.
Il numero, fino a 2 mesi fa, aveva permesso a molta gente di navigare a gratis in rete grazie a qualche pirla della telecom che aveva messo un proxy http/ftp su delle HP presenti nel loro centro macchine. Se una volta entrati sull'ascend ( bastava far aprire la finestra terminale dopo la connessione ) si controllavano le tabelle di routing si accorgeva che alcune macchine esterne erano visibili; in particolare 195.31.190.135 che aveva la solita porta 8080 aperta. Tutto questo e' durato esattamente dal 22 Dicembre fino a meta' Marzo.
Comunque sia su tale numero, molto prima della scoperta del proxy, si erano stabilite piu' persone che utilizzavano tale numero per chattare, scambiarsi file,...etc.... Purtroppo tutto cio' non e' piu' possibile in quanto oltre alla divisione in 4 sezioni del dominio si e' anche passati ad un filtraggio del pacchetti.
Il router da cui si dipende, infatti, vieta connessioni con IP al di fuori di 194.20.32.1, 195.31.190.135, 195.31.190.63 e che non siano sulla porta 80.
Tuttavia c'e' una nota : dalla tabella di routing di uno degli ascend tutto il dominio 195.31.190.XXX sarebbe visibile ma cio' non passa sopra il controllo della porta che, comunque, e' abbinato anche all'IP..... quindi pacchetti TCP/IP con header contenente IP e porte ben precise.
Byez, Fab_
nel numero verde di Tin fino all'1 marzo era possibile navigare utilizzando un proxy server all'indirizzo
195.31.190.135 porta 8080 ora non funziona piu', ma esiste un proxy accessibile, solo se ti colleghi a 1 dei tre server che gestiscono il numero verde (quello a cui fa capo il 194.20.32.18), all'indirizzo 195.31.190.135 porta 12345 pero' e' protetto da password.
fino a un mesetto fa era possibile chattare o gicare in rete su quel numero verde, ora e' stato tutto limitato!
Telecomico UIN 12869654
Internet Gratis? Da provare..
Allora gente... questo metodo funziona di sicuro in Inghilterra, ma dovrebbe fungere anche qui in Italia visto che il sistema è analogo. Purtroppo però solamente a Roma e Milano (per ora) e siccome io abito abbastanza lomtano da entrambe non ho la possibilità di provare, quindi se qualcuno di lì prova e mi fa sapere mi fa un piacere.
Per riuscire nell'intento avrete bisogno di Windows 95...
Avete presente la connessione guidata ad Internet(icwconn1.exe)?
Bene, lanciatela e scegliete 'automatico'... vi verrà mostrata ad un certo punto una lista di provider nella vostra zona (a me sono uscite appunto Roma e Milano), scegliete quello che più vi aggrada e il vostro PC si connetterà a quel numero... ora andate a guardare in c:\windows\temp\ ci dovrebbero essere dei files, quelli scaricati da referral.microsoft.com, con l'estensione .isp, apriteli col Notepad e tra le altre informazioni in esso contenute ci dovrebbero essere username e password...
Ora connetetevi al numero fornito con accesso remoto et voilà! (configurate il vostro software ad hoc!)
Fatemi sapere se funziona!
CDP
Il metodo internet gratis sembra non funzionare.Ecco quello che ottengo seguendo le istruzioni:
[Entry]
Entry_Name=Registrazione a TIN
[Phone]
Dial_As_Is=NO
Phone_Number=167012837
Area_Code=
Country_Code=39
Country_ID=39
[Server]
Type=PPP
SW_Compress=NO
PW_Encrypt=NO
Negotiate_TCP/IP=YES
Disable_LCP=NO
[User]
Name=guest
Password=guest
Requires_Logon=NO
[URL]
Signup=http://194.20.32.1/signup/msn/signup.cgi
[TCP/IP]
Specify_IP_Address=NO
IP_Address=
Specify_Server_Address=YES
DNS_Address=194.243.154.62
DNS_Alt_Address=195.31.190.31
IP_Header_Compress=NO
Gateway_On_Remote=YES
(dal file rtin_01.isp)
Bypassare SquidGuard
Non so se anche nella vostra scuola avete messo un filtro internet...ma nella mia si e cosi ho pensato che podarsi che qualcun'altro può averne bisogno(UUU LA SCUOLA) quindi un metodo per bypassare questo filtro è questo:
start->esegui->cmd->ping ******(sito web dove si vuole entrare: esempio www.youtube.com)
ok, apena spinto enter dovremo vedere questo:
ok, allora andiamo a vedere....ci ritroviamo un indirizzo ip che è quello del server di youtube, allora, click destro e selezioniamo "Segna" e poi evidenziamo il ip del server(208.65.153.238) e premiamo Invio.
Allora adesso ci rimane che aprire un browser dove incollare il indirizzo ip e pregare che l' Admin non sia stato cosi furbo a blocare anche i ip (ma non penso xkè ci vuole un po di tempo per questo lavoro).
Ahh, attenzione, certi siti non funzionano bene, io vi consiglierei di cercare un firewall/proxy bypass(io ne ho cercati un po ma nessuno ha funzionato).
start->esegui->cmd->ping ******(sito web dove si vuole entrare: esempio www.youtube.com)
ok, apena spinto enter dovremo vedere questo:
CODICEC:Documents and SettingsAdmin>ping www.youtube.com
Esecuzione di Ping www.youtube.com [208.65.153.238] con 32 byte di dati:
Risposta da 208.65.153.238: byte=32 durata=241ms TTL=234
Risposta da 208.65.153.238: byte=32 durata=241ms TTL=233
Risposta da 208.65.153.238: byte=32 durata=243ms TTL=233
Risposta da 208.65.153.238: byte=32 durata=240ms TTL=233
Statistiche Ping per 208.65.153.238:
Pacchetti: Trasmessi = 4, Ricevuti = 4, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 240ms, Massimo = 243ms, Medio = 241ms
C:Documents and SettingsAdmin>
Esecuzione di Ping www.youtube.com [208.65.153.238] con 32 byte di dati:
Risposta da 208.65.153.238: byte=32 durata=241ms TTL=234
Risposta da 208.65.153.238: byte=32 durata=241ms TTL=233
Risposta da 208.65.153.238: byte=32 durata=243ms TTL=233
Risposta da 208.65.153.238: byte=32 durata=240ms TTL=233
Statistiche Ping per 208.65.153.238:
Pacchetti: Trasmessi = 4, Ricevuti = 4, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 240ms, Massimo = 243ms, Medio = 241ms
C:Documents and SettingsAdmin>
ok, allora andiamo a vedere....ci ritroviamo un indirizzo ip che è quello del server di youtube, allora, click destro e selezioniamo "Segna" e poi evidenziamo il ip del server(208.65.153.238) e premiamo Invio.
Allora adesso ci rimane che aprire un browser dove incollare il indirizzo ip e pregare che l' Admin non sia stato cosi furbo a blocare anche i ip (ma non penso xkè ci vuole un po di tempo per questo lavoro).
Ahh, attenzione, certi siti non funzionano bene, io vi consiglierei di cercare un firewall/proxy bypass(io ne ho cercati un po ma nessuno ha funzionato).
Iscriviti a:
Post (Atom)