CURIOSITA': diffusione virus in rete locali

[TIJ-NIKI]

Ciao a tutti

è capitato recentemente che nell'azienda dove lavora un amico di famiglia un worm si sia diffuso su tutti i pc collegati, ora, in internet non ho trovato nulla a proposito, volevo chiedere a voi se magari sapete qualcosa su come un worm o trojan o altri malware possono trasferirsi ad altri pc in una rete locale ed avviarsi senza che l'utente faccia nulla..

Se credete che descrivere un pò il funzionamento sia considerato illegale o aiuti malintenzionati allora vi prego di chiudere il topic, era solo una mia curiosità, grazie

[West92]

Il discorso è molto ampio.
Questo ha dato tanti grattacapi
http://it.wikipedia.org/wiki/Conficker

[arturo]

West92 ti ha egregiamente indicato la "bestia" che, in tempi recenti, ha probabilmente creato una infinità di grattacapi + di qualsiasi altro virus.

Con Conficker anch'io, fin lo scorso anno, ho avuto un periodo intenso in cui mi giungevano di continuo richieste di aiuto da parte di nuovi miei conoscenti incasinati con le reti delle proprie attività in cui tutti i PC presenti risultavano infetti da Conficker.
Per non parlare delle Pen USB che sia i dipendenti che i titolari delle singole attività erano soliti portarsi da casa e poi le collegavano ai PC aziendali per dei semplici copia/incolla di documenti di loro interesse: parlo di Pen USB personali e non certo aziendali.
Ho avuto l'accortezza di far presente la gravità del problema sia ai titolari che ai dipendenti, ergo: ho invitato tutti portarmi le loro Pen USB personali e regolarmente tutte risultavano infette da Conficker. Comprendi che se non avessi provveduto formattarle tutte, anche a disinfezione-rete eseguita sarebbe bastato collegare ad un PC una sola Pen infetta e si ripartiva da capo..
Anzi! Il "successo" (se così posso definirlo) della vasta e rapidissima diffusione di Conficker, è dovuto esattamente al fatto che il suo creatore non ha fatto altro che ripercorrere in chiave moderna l'antica strada intrapresa dai primissimi creatori di virus informatici che, dato che non esisteva ancora Internet (oppure si era agli inizi nei primi anni '90), il veicolo con cui propagavano i loro virus era il vecchio Floppy Disk=oggi giorno le memorie flash-Pen USB sono i moderni sostituti degli antichi floppy.
Non parlo per sentito dire bensì perchè nel primi mesi del 1994 mi son scottato personalmente=il mio Powerbook (allora usavo il Mac dato che lavoravo per un editore) si beccò' il mio primissimo virus in assoluto grazie ad contratto .doc che copiai da un floppy disk infetto da un macrovirus. Il floppy col contratto infetto mi era stato dato da una multinazionale (quindi non una aziendina artigiana) con cui all'epoca collaboravamo per la vendita di spazi pubblicitari sulle riviste da noi edite. Così non solo mi trovai giocoforza "battezzato" ben 20 anni fà dal mio primissimo virus bensì per il solo fatto che me lo beccai sul mio Mac posso solo ridere quanto sento gli attuali possessori Mac che sbandierano a dx e manca la baggianata che "Il Mac non prende i virus!": poveri illusi..
Il fatto che il Mac risulti "quasi" indenne da infezioni è dovuto esclusivamente alla bassa percentuale di Mac al mondo rispetto i tipici PC=quasiasi pirata che intende "pescare i boccaloni", non và certo a pescare in un lago in cui vi son pochi pesci/Mac bensì si butta a capofitto nel lago in cui abbondano i pesci-PC, ovviamente. Diamo tempo anche ai Mac di aumentare la loro diffusione a livello internazionale e stiamo certi al 101% che quando la loro presenza supererà la soglia del "breakeven-piratesco" (questo termine l'ho coniato or-ora per rendere meglio l'idea ), da un giorno all'altro inizieranno spopolare ininterrottamente in rete i virus per Mac manco stessero piovendo dal cielo in Amazzonia nella stagione delle piogge tropicali (in Amazzonia piove non di meno di 300/320gg. l'anno )

Devo peraltro aggiungere che, regolarmente, quelle reti infette da Conficker che mi trovai sistemare risultavano realizzate alla "carlona" e non esisteva nessun Amministratore di Rete; oltretutto i PC facenti parte di tali reti-colabrodo erano tutti impostati con Account di Amministratore, pertanto puoi ben immaginarti la gran festa che qualsiasi virus è in grado fare in una rete così sciaguratamente impostata.

Tutto ciò per dirti che son propenso pensare che anche la rete dell'azienda in cui lavora il tuo amico di famiglia non deve certo brillare per "sicurezza" e, probabilmente, non vi sarà manco un Amministratore di rete-unico responsabile interno. Ma anche se dovesse esserci mi sà tanto che difetta parecchio di "attributi" in tema di Reti realizzate a regola d'arte.

[TIJ-NIKI]

Grazie per le risposte! (e per l'esperienza personale riportata ), certo che la rete fà schifo.. a quanto pare va in down se sono fortunati 2 volte al giorno.. conficker l'ho già conosciuto.. non certo nel mio pc (le chiavette da me fanno sempre prima un giro in linux, sottolineo SEMPRE, sono arcistufo di compagni che mi chiedono di passargli programmi e che mi danno delle vere e proprie schifezze! Quando poi dopo un paio di giorni sbucano con "Ciao, senti il mio pc è lento ha qua e la blah blah" e la risposta è quasi sempre: FORMAT AUTOTEST C:\ si stupiscono di come possano avere millemila virus da un giorno all'altro! per scoprire poi di aver installato insieme norton security, avast, avira e avg! non sto affatto scherzando!! e parliamo di ragazzi di 18 anni!! ) ma nel pc della mia fidanzata "vittima" anche lei di una chiavetta di una sua bimbaminkia, ehm amica..

finendo l'OT Conficker lo conoscevo già ed è proprio su di lui che mi concentravo oltre al "mitico" (anche se è un virus tanto di capello agli St****i dei suoi geni creatori) STuxnet.. ma la mia conoscenza si ferma qui.. la diffusione su chiavette è molto facile capirla ed implementarla (ci sono riuscito con visual basic! naturalmente non eseguiva nessun codice malevolo) ma proprio il modo non tanto di trasferirsi, ma quanto di avviarsi in remoto che non comprendo, credo comunque che si basi su falle di windows che permette l'avvio di un codice (credo sotto forma di libreria), correggetemi se erro

[arturo]

Operare in remoto in un PC infetto, è di per sè + che comprensibile, ovvero:
il metodo preferito dai pirati di ultima generazione si basa sulla scaletta:
- prima ti invio un trojan augurandomi nel tuo aiuto=sarai tu stesso che gli consentirai entrare nel tuo PC (come sempre accade sono gli Utenti che spalancano ai virus le porte dei propri PC)
- una volta entrato il trojan provvederà aprire una backdoor nel tuo SO=così avrò a mia disposizione una porta del tuo PC
- ora da questa backdoor ti ci infilo un worm che, in silenzio, spulcerà la tua rubrica e si autoinvierà a tutti i tuoi contatti che, a loro volta, vedendosi recapitare una e-mail di un loro amico, la apriranno con fiducia..(ahy per loro)
- dalla medesima backdoor sono in grado aggiornare il mio trojan, così potrò infilarti dentro tutto ciò che mi pare/nuovi virus programmati per nuovi compiti=ho preso il controllo totale del tuo PC e riesco far tutto ciò che desidero operando in remoto

[TIJ-NIKI]

Operare in remoto in un PC infetto, è di per sè + che comprensibile, ovvero:
il metodo preferito dai pirati di ultima generazione si basa sulla scaletta:
- prima ti invio un trojan augurandomi nel tuo aiuto=sarai tu stesso che gli consentirai entrare nel tuo PC (come sempre accade sono gli Utenti che spalancano ai virus le porte dei propri PC)
- una volta entrato il trojan provvederà aprire una backdoor nel tuo SO=così avrò a mia disposizione una porta del tuo PC
- ora da questa backdoor ti ci infilo un worm che, in silenzio, spulcerà la tua rubrica e si autoinvierà a tutti i tuoi contatti che, a loro volta, vedendosi recapitare una e-mail di un loro amico, la apriranno con fiducia..(ahy per loro)
- dalla medesima backdoor sono in grado aggiornare il mio trojan, così potrò infilarti dentro tutto ciò che mi pare/nuovi virus programmati per nuovi compiti=ho preso il controllo totale del tuo PC e riesco far tutto ciò che desidero operando in remoto

Questo è un normalissimo trojan horse e il suo funzionamento, lo conoscevo già, la mia ignoranza era invece come opera la diffusione automatizzata (senza che gli altri utenti operini qualcosa, non come fa l'uToNtO originale) all'interno di una singola rete locale (nel caso che ne so di un'azienda, un pc viene infettato da un utento con una chiavetta o dal web, ma poi qualsiasi computer connesso alla rete di questo, se la rete è fatta non a regola d'arte come giustamente hai ribadito, si infetta, vedi ad esempio proprio conficky)

In ogni caso grazie per la risposta Arturo!