Vado un po OT, perché leggo e mi faccio un idea, credo che tutti voi, chi più e chi meno, siate competenti sugli argomenti, ma sottovalutate forse una cosa:
Ragazzi qualsiasi virus noto se ben criptato (si dice ben criptato quando nonostante il tipo di editing, che sia hex, cifratura ecc. non perde alcuna delle sue funzionalità) non risulta nelle firme di nessun AV, finché non viene aggiunto o la protezione in tempo reale non lo identifica come sospetto e, di conseguenza, lo preleva e lo manda ad analizzare. In maniera preventiva semplicemente ti chiede di non eseguirlo. Alcuni Trojan Gen danno stub diverso ogni 20-30 copie del Trojan generato. Le firme vengono aggiunte solo per la variante in questione. Se vi fate un giro su Google stessi, in forum "dove non batte il sole" troverete diverse guide, la maggior parte in vb.net (nel 2012-2013 per creare RAT era il linguaggio più in auge, assieme a Delphi) e diversi malwaregen a prezzi modici ( 3 mesi, lifetime, quello che volete in base alle funzionalità). Ma penso lo sappiate meglio di me.
Vi faccio un esempio. Un virus del cacchio stealer + keylogger + varie funzionalità tipo screenshot e interfacciamento a vari protocolli (per log tramite FTP su uno spazio web, ad esempio, settando le porte e usando un host non transparent, che vi farà da proxy, non so se avete mai settato un RAT all'insaputa di qualcuno ma è così che si fa una parte del setting di un RAT, perlomeno se non volete farvi beccare nel caso di controlli da parte di terzi, chiaro) in maniera periodica risulterà sospetto a diversi motori in real time per vari motivi: fare uno screenshot, anche nativo in jpeg, porta il processo a occupare almeno 1GB di ram di picco ad intervalli regolari, sempre ad intervalli regolari accede al protocollo e già l'AV, che salvo exploit espliciti per bypassarlo non è stupido (su sta cosa torno dopo e mi spiego meglio). Il problema è che non è detto che se ne accorga subito. Se lo stealer fa in tempo a fare il primo grab dei cookies, là dove arriva, i dati li avete già "persi" comunque, anche se l'av se ne accorge (chiaro, lo fa a posteriori). Riguardo agli hacks espliciti per bypassare un certo AV particolare piuttosto che un altro, chiaramente se tu li metti tutti su uno generi un eseguibile da svariati mega ultrasospetto, inbindabile a qualsiasi cosa e con estensione non spooferabile perché anche un "deficiente" si accorgerebbe che un pdf da 50 pagine non può pesare 15 mega, nemmeno se pieno di disegni, o quasi :asd: ...
Detto questo, non mi va di scendere sul particolare perché avete tutto Google a disposizione per imparare a creare software malevolo (e secondo me il capire come funzionano provando a farli o guardando il codice delle varianti più diffuse, se non siete a digiuno di nozioni di programmazione sui linguaggi più utilizzati, è la miglior difesa... ) e non avrebbe senso, è solo per giustificare che, ben vengano i test amatoriali, ma fatti con campioni a "vanvera", diciamo così, non han molto senso.
Io reputo un buon AV un software che mi capta 2 tipi di cose: le minacce che considero più gravi e le minacce che son più diffuse.
Perché se mi impacchettano un virus ad hoc non ci sono AV che tengano ( e questo ve lo dico per esperienza personale, perché se non sai che software utilizza la vittima hai perso in partenza, per non beccarsi le cose gravi basta avere un po di sale in zucca) per i primi giorni, ma anche se fossero le prime ore, in ore hai già avuto abbastanza materiale su cui lavorare, se si tratta di materiale col quale ci sono in ballo soldoni o, per dirne una, la sfera privata (nel mio caso al periodo e qui lo dico e qui lo nego perché il forum è pubblico).
Comunque, tra poco un sito a quanto pare tenterà di implementare anche la protezioni in tempo reale tra le prove dei db quando uppi un file. Ovviamente per avere i riscontri immagino ci vorrà un po più tempo, comunque vedremo, mi pare una funzione "utile" :) ...
Parlo di
VirusCheckMate | Online virus scanner ...
E nulla, fine OT, anche se non era molto un OT ma piuttosto un report della mia esperienza personale.
E comunque, anche la mia esperienza personale non conta una ceppa, però ve la ho voluta comunicare ugualmente.
Ciao. Buon proseguimento.
