Anti Malware - 5° Lezione

 Per essere in grado di identificare un attacco, dovete sapere quali applicazioni e quali processi sono normalmente in esecuzione sul vostro computer. Osservare semplicemente l'interfaccia grafica, sia in Windows che in Linux, non consente di capire cosa sia in funzione sotto di essa. Netstat ed un firewall possono essere utilizzati per aiutarvi ad identificare quali programmi debbano essere autorizzati a connettersi alla rete.
Il comando netstat visualizza lo stato della rete. Netstat può darvi informazioni su quali porte sono aperte e sugli indirizzi IP che vi stanno accedendo, su quali protocolli stanno usando tali porte, lo stato delle porte e informazioni sul processo o programma che le utilizza.

Al prompt di comando digitate:

• netstat -aon (per Windows)
• netstat -apn (per Linux)

e netstat visualizzerà una schermata simile a questa:

Active Connections
Proto  Local Address	Foreign Address	State	PID
TCP    0.0.0.0:1134	0.0.0.0:0	LISTENING	3400
TCP    0.0.0.0:1243	0.0.0.0:0	LISTENING	3400
TCP    0.0.0.0:1252	0.0.0.0:0	LISTENING	2740
TCP    257.35.7.128:1243	64.257.167.99:80	ESTABLISHED	3400
TCP    257.35.7.128:1258	63.147.257.37:6667	ESTABLISHED	3838
TCP    127.0.0.1:1542	0.0.0.0:0	LISTENING	1516
TCP    127.0.0.1:1133	127.0.0.1:1134	ESTABLISHED	3400
TCP    127.0.0.1:1134	127.0.0.1:1133	ESTABLISHED	3400
TCP    127.0.0.1:1251	127.0.0.1:1252	ESTABLISHED	2740
TCP    127.0.0.1:1252	127.0.0.1:1251	ESTABLISHED	2740

{loadposition b_pink}

Ora, dovete far corrispondere i numeri nella colonna PID ai nomi dei processi che sono in esecuzione. In Windows, dovete utilizzare il Windows Task Manager, digitando CTL+ALT+CANC (se non viene visualizzata la colonna PID, fate click su Visualizza, poi Seleziona Colonne, e successivamente selezionate PID). In Linux, andate nel prompt di comando e digitate ps auxf per visualizzare lo stato dei processi. 
Nel nostro esempio troviamo che il PID 3400 appartiene al vostro browser web e che il PID 2740 appartiene al vostro client di posta, entrambi mandati in esecuzione consapevolmente ed entrambi con una buona ragione per connettersi ad Internet. Tuttavia il PID 3838 appartiene ad un programma chiamato 6r1n.exe e il PID 1516 ad un programma chiamato buscanv.exe, nessuno dei quali vi è familiare. Tuttavia la sola ragione che non riconoscete il nome di un programma, non significa che non ci sia un valido motivo per cui sia in esecuzione sul sistema. Il passo successivo è andare su un motore di ricerca e cercare di scoprire a cosa servono tali programmi.
Nella nostra ricerca, scopriamo che buscanv.exe è necessario al nostro programma di scansione virus e che deve essere in esecuzione. Tuttavia 6r1n.exe  potrebbe essere un trojan. Osservando nuovamente l'output di netstat, possiamo notare che la porta associata al programma 6r1n.exe è la 6667, una porta IRC comunemente utilizzata dai trojans per l'accesso remoto. A questo punto iniziamo la ricerca del metodo per rimuovere il trojan.