



Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Generalità sui malware e le loro proprietà
Tipologia: Appunti
1 / 6
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!




Malware Codice malevolo si comporta in modo inaspettato, grazie all’iniziativa di un programmatore malizioso. Cause: installazione di un software corrotto, java applet or ActiveX control Classificazione Sulla base della propagazione o Legati a un altro sw o Indipendenti o In rete o Su social engineering Azioni di payload o Corruzione di dati/file di sistema o Furto di dati Trojan horse programma con un effetto evidente e un effetto nascosto Appare normale L’effetto nascosto viola la politica di sicurezza Gli utenti devono essere indotti all’esecuzione del trojan, dove aspetta e osserva il comportamento evidente e l’effetto nascosto viene condotto senza autorizzazione Virus codice informatico che può replicarsi modificando altri file o programmi per inserire codice in grado di essere replicato, l’autoreplicazione è ciò che distingue i virus informatici da altri tipi di malware, altera il codice normale con una versione infetta. Un’altra proprietà è che la replica richiede un certo tipo di assistenza da parte dell’utente ad esempio facendo clic su un allegato e-mail o condividendo un’unità USB. Composti da tre parti Meccanismo di infezione Trigger Payload Inoltre vanno attraverso 4 fasi Dormiente Propagazione Triggering Execution Struttura di un virus eseguibile
Boot sector Il settore di avvio è la parte di un disco utilizzata per avviare il sistema o montare un disco. Il codice in quel settore viene eseguito quando il sistema "vede" il disco per la prima volta. Macro virus virus che si attacca ai documenti e utilizza le capacità di programmazione macro dell'applicazione del documento per eseguire e propagarsi. Tipi di virus Terminati e resistenti sta attivo in memoria dopo che l’applicazione viene completata e permette l’infezione di file non noti Classificazione Encrypted virus una pare del virus crea una chiave di crittografia casuale e crittografa il resto del virus. o La chiave è memorizzata con il virus. o Quando viene richiamato un programma infetto, il virus utilizza la chiave casuale memorizzata per decrittografare il virus. o Quando il virus si replica, viene selezionata una chiave casuale diversa -> nessun modello di bit costante da osservare. Stealth virus progettato per nascondersi dal rilevamento da parte del software antivirus. o Può utilizzare tecniche di mutazione del codice, compressione o rootkit Polymorphic virus virus che crea copie durante la replica che sono funzionalmente equivalenti ma hanno modelli di bit nettamente diversi Metamorphic virus si riscrive completamente ad ogni iterazione, utilizzando più tecniche di trasformazione, aumentando la difficoltà di rilevamento.
Approcci alle contromisure per i malware assicurarsi che tutti i sistemi siano il più possibile aggiornati, tutte le patch installate ridurre il numero di vulnerabilità potenzialmente sfruttabili nel sistema. impostare adeguati controlli di accesso alle applicazioni e ai dati memorizzati nel sistema per limitare il numero di file a cui ogni utente può accedere, e di conseguenza che può infettare o corrompere a seguito dell’esecuzione di qualche codice malware Azioni di mitigazione Rilevamento accertarsi della sua esistenza e rilevare il malware, avviene in diverse locazioni o sul sistema infetto, dove sono in esecuzione alcuni programmi “anti virus” host based o può costituire una parte dei meccanismi di sicurezza perimetrale utilizzati nei firewall e negli intrusion detection system (IDS) di un’organizzazione. o può utilizzare meccanismi distribuiti che raccolgono dati sia da sensori host based che da sensori perimetrali Identificazione individuare lo specifico malware responsabile dell’infezione del sistema. Rimozione rimuovere tutte le tracce del malware da tutti i sistemi infetti in modo che non possa diffondersi ulteriormente Host-based scanner Prima generazione scanner semplici Seconda generazione scanner euristici Terza generazione trap di attività Quarta generazione protezione completa