Molti virus di ultima generazione mirano a infettare le risorse condivise nella rete. Un solo computer infetto è in grado di trasmettere il virus a centinaia di altre macchine.
Spesso, molti siti hanno condivisioni aperte sui propri server a cui gli utenti possono accedere in modo illimitato. L’intento di tali condivisioni è fornire un’area comune in cui gli utenti possono scambiarsi file o informazioni. Altre situazioni prevedono condivisioni, non destinate a utenti comuni, che restano comunque accessibili per mancanza di pianificazione e protezione.
Tali condivisioni sono altamente esposte a virus, quali Pinfi e Funlove, che mirano ad infettare le condivisioni di file aperte.
Scenario tipico di un virus che infetta le condivisioni:
La figura in alto mostra una workstation non protetta (IP: 192.168.0.13), abilitata ad eseguire un file infettato dal virus Pinfi. La workstation infettata propaga le condivisioni di file aperte ai computer in rete, cerca i file con estensione .exe e .scr su tali condivisioni e prova ad infettarli.
In questo caso specifico, tutti i server sono protetti da un software antivirus aggiornato che monitora il file system. Pertanto, ogni tentativo di infettare i file su tali condivisioni sarebbe rilevato immediatamente e i file infetti ripuliti.
Tuttavia, la workstation ancora infetta contaminerà nuovamente i file .exe e .scr non appena il software antivirus avrà eseguito la prima operazione di pulitura. In questo modo si crea un ciclo "virus-pulitura del file-virus" che avrà fine solo nel momento in cui si interverrà sulla causa originale dell’infezione: la workstation infetta.
Individuare l’origine del problema
Su grandi reti di centinaia o migliaia di macchine, risalire alla workstation infetta potrebbe essere un’operazione molto difficile. Solitamente, i messaggi di notifica di virus indicano solo il file infetto, il tipo di virus rilevato e il problema generato nel file. Per risolvere il problema sono necessarie altre informazioni.
Una possibile soluzione è utilizzare uno strumento esterno in grado di monitorare i file esposti all’attacco del virus. Per evitare troppe modifiche su uno dei server originali, può essere utile creare una macchina di prova in rete, creare una condivisione aperta e copiarvi il file .exe. Nel caso del virus Pinfi, i file .exe sono gli obiettivi più comuni, per cui il file calc.exe viene copiato dalla directory Windows alla nuova condivisione file. Il file calc.exe diventa quindi una sorta di "esca" per il virus.
Prima di connettere la macchina "esca" alla rete, è necessario installare un programma "sniffer". Si consiglia di utilizzare Wireshark (disponibile solamente in lingua inglese); ma sono altrettanto validi programmi quali Sniffer Pro ed Etherpeek. Wireshark può essere scaricato gratuitamente e contiene una serie di funzionalità. Per praticità, in queste pagine saranno presentate solo le funzioni necessarie a risolvere il problema specifico.
Installazione di Wireshark
Sono necessari due componenti:
- Installare ed eseguire il driver WinPCap, reperibile all’indirizzo winpcap.polito.it
- Installare ed eseguire Wireshark, reperibile all’indirizzo http://www.wireshark.org/
Nota: Norman considera Wireshark un software affidabile, tuttavia non fornisce assistenza all’utente.
Monitoraggio dell’attività di rete
Una volta installato Wireshark, assicurarsi che la funzione di scansione all’accesso di NVC sia in esecuzione, quindi avviare il programma Utilities di NVC in cui viene aperta la finestra Messages.
Prima di iniziare il monitoraggio del file, assicurarsi che venga infettato tenendo sotto controllo gli avvisi visualizzati nella finestra Messages. Una mancata visualizzazione degli avvisi indica che l’esca non funziona. Verificare che la directory contenente l’esca sia effettivamente condivisa e che tutti gli utenti abbiano accesso completo alla condivisione.
Monitoraggio del virus Pinfi che attacca la condivisione di prova.
Se l’esca continua a non funzionare, è necessario installare Wireshark su uno dei server su cui si è manifestata in origine l’infezione. Alcuni virus di questo tipo infettano solamente le condivisioni disponibili all’avvio del programma infettato. In tal caso, individuare qui un file da utilizzare come esca per il virus.
Avviare Wireshark. L’obiettivo è monitorare l’attività di ricezione dalla rete della macchina. Tuttavia, si desidera controllare solamente l’attività correlata all’esca, in questo caso il file calc.exe.
Wireshark in azione
Nell’angolo in basso a sinistra è presente un campo chiamato Filter: in questo campo digitare la stringa:
smb.file contains “calc.exe"
Selezionare il comando Capture/Start e fare clic su OK. Viene visualizzata la finestra di monitoraggio. Da questo momento sarà necessario osservare l’attività dalla finestra Messages del programma Utilities di NVC. Non appena il virus contamina l’esca, chiudere la finestra di monitoraggio di Wireshark. Nella finestra principale viene visualizzato il log del monitoraggio. Verificare che il filtro sia attivo facendo clic su Apply.
Osservando le colonne "Source" e "Destination", sarà possibile individuare gli indirizzi IP coinvolti nell’utilizzo del file calc.exe. In questo caso, l’indirizzo locale della macchina è 192.168.0.15. L’altro indirizzo IP coinvolto negli scambi è 192.168.0.13.
La macchina con IP 192.168.0.13 è responsabile della diffusione del virus. Il problema può essere risolto isolandola ed eseguendo una scansione completa su richiesta con le correzioni appropriate.
Ripetere l’operazione per assicurarsi che non ci siano altre macchine infettanti in rete.
Arrivederci al prossimo articolo
Michele Balzano
Nessun commento:
Posta un commento