Hello Massimiliano,
Friday, January 2, 2004, 4:42:55 PM, you wrote:
>> Falso. Era (e`) il mio pc che quando scarica quel pacchetto, lo
>> corrompe.
MM> Kurgan, sarai mica te che porti sfiga, vero? E` gia` la seconda volta
MM> che ti succede... (l'altra volta era windows con samba, ma insomma...)
Pero` almeno l'altra volta TUTTO il traffico di rete era effected.
Adesso solo quel file, a quanto pare. Pero` c'e` una cosa che fa piu`
ridere, e mi fa pensare che non sia colpa della NIC... sia che io lo
scarichi in http, https, o scp, si corrompe sempre. (in modi diversi)
Anche due download consecutivi fatti nello stesso modo provocano
corruzioni diverse.
MM> Metti anche la memoria nel registro degli indagati. E testalo con
MM> memtest(1), che e` userspace ed ha piu` probabilita` di beccarti degli
MM> errori transitori legati, ad esempio, a problemi termici.
Infatti ora memtesto.
--
Fabio "Kurgan" Muzzi
La diagnosi del tecnico:
Dovra` attendere, stiamo aggiornando il firmware della macchina del caffe`.
From : lugroma-admin@xxxxxxxxxxxxxxxxxxxxx
To : lugroma@xxxxxxxxxxxxxxxxxxxxxxxx
Cc :
Date : Thu, 28 Jun 2001 11:50:13 +0200 (CEST)
Subject : Re: [LugRoma] Virus, NT, Linux - AIUTO !
Quoting "G.Camozzi" <g.camozzi@xxxxxxxxxx>:
> "G.Camozzi" wrote:
>
> > pratesi@xxxxxxxxxxxxxxxxxxxxxxxx wrote:
> >
> > > Conoscete esempi di virus che fanno danno a NT (intendo dire
> > > al "sistema operativo") anche se eseguiti da un utente
> > > senza privilegi di amministrazione e che non sfruttino
> > > buchi di sicurezza ?
> >
> > Non so se ho capito bene la domanda, ma penso che due esempi di
quello
> che
> >
> > stai cercando siano Bolzano e Funlove:
> > http://www.f-secure.com/v-descs/bolzano.shtml
> > http://www.avp.ch/avpve/NewExe/win32/bolzano.stm
> > http://www.f-secure.com/v-descs/funlove.shtml
> > http://www.avp.ch/avpve/newexe/win32/flc.stm
[...]
> Ti chiedo scusa mi sono dimenticato di scriverti cosa fanno i virus:
Mi chiedi scusa ?! :)
Ci mancherebbe altro: mi hai segnalato i link, metto nel conto
che ci devo andare, devo leggere, e mi devo studiare quello
che c'e` scritto, mi hai gia` fatto un grosso favore.
Allora, vediamo un po' di ragionarci su.
Nelle pagine in questione non si parla di indentita` dell'utente
che becca ed esegue il virus e, come su tutte quelle che ho letto
sull'argomento, sembra che implicitamente si ipotizzi che ad eseguirlo
sia un utente con privilegi piuttosto alti.
Infatti, dovrei fare una prova (che sarebbe anche rischiosa:
se riesco a far saltare ntoskrnl.exe poi rischio di non riuscire
a recuperare...), ma credo che a un utente comune non sia consentito
di modificare ntoskrnl.exe
D'altra parte, a un "Utente standard" e` consentito di andare
a scrivere un po' ovunque, ad esempio in \ , \winnt e \wintt\system32
Quindi, se un utente standard becca 'sto virus, puo` andare a mettere
l'agente dannoso proprio in tali directory e magari in altre directory
di sistema.
Ora, questo su Unix/Linux mi farebbe drizzare i capelli anche solo
a pensarlo: non esiste proprio che un utente mi va a scrivere
in /bin /sbin /usr/bin /usr/sbin /usr/local /etc/init.d
e compagnia cantante.
Insomma, su Unix il root puo` escludere che tra i file nelle directory
di sistema ce ne sia uno che ci ha messo un utente (a meno di buchi
di sicurezza), anche perche', se ad esempio un utente riesce a scrivere
in /etc/init.d , mi ci schiaffa un bello script di avvio del servizio
che piu` gli piace, dopodiche' il sistema me lo manda a carte 48
come piu` gli aggrada.
Oppure, se scrive in /bin, beh, il root potrebbe incautamente eseguire
e quindi far saltare per aria varie cosette (anche se un root
non dovrebbe eseguire un file solo perche' sta in /bin...)
Ora torniamo a NT: se un utente mi scrive questo file infettante
in \ , \winnt , \winnt\system32 o altrove ancora, quando io entro
come administrator, in che modo posso piu` o meno volontariamente
lanciare 'sto file e incasinare il sistema ?
Ti viene in mente niente ?
Voglio dire, dal mio punto di vista e` gia` abominevole che un utente
possa scrivermi su \ , \winnt , \winnt\system32 ecc ecc.
ma mi si potrebbe rispondere che e` sufficiente che "administrator"
sia piu` intelligente di "root" (anche se a 'sto punto, tolta pure
la presunta maggiore facilita` d'uso di NT rispetto a Linux,
mi dovete proprio spiegare per quale motivo dovrei usare NT
invece di Linux...) e che non esegua nessun file se non sa
a memoria di che cosa si tratta... (ARGH! :)
Quindi, se possibile, vorrei trovare un modo veramente eclatante
per mostrare come un tale virus possa innescare un bel casino
anche se lo becca un utente e non administrator...
Qualcuno puo` darmi una mano in questo senso ?
Ciao ciao,
Marco Pratesi
_______________________________________________
lugroma mailing list
lugroma@xxxxxxxxxxxxxxxxxxxxx
http://linux.ing.uniroma1.it/mailman/listinfo/lugroma
--
un newbie per i newbie: http://mysite.ciaoweb.it/turms/linux.html
altra e-mail: turms@xxxxxxxxxx
|