Condizioni d'uso, diritti d'autore, disclaimer e commenti. Leggi il regolamento >>

Guida ad Anubis: un eccellente servizio per verificare se un file eseguibile è dannoso

venerdì 25 novembre 2011




Esistono diversi strumenti online che consentono di scansionare files sospetti come, ad esempio, l’ottimo VirusTotal. Anubis è un servizio molto più potente e complesso, sviluppato dal team austriaco dell'International Secure Systems Lab (ISEC Lab), che provvede a registrare tutte le azioni che l’eseguibile effettuerà sul nostro computer una volta installato.



Come leggere i report del servizio
E’ possibile visualizzare, cliccando su questo link, alcuni esempi di report eseguiti da Anubis dopo aver analizzato pericolose minacce come Sober.E, Bagle.E, Mydoom.E, nonché Netsky.E.

Cliccando sulla riga da verificare e, quindi, sul link "HTML" verrà visualizzato un report con icone di colore rosso ed arancione indicanti il livello di pericolosità. Prendendo come esempio “Bagle.E”, Anubis, avverte l’utente che il file analizzato è da considerarsi altamente sospetto.

E’ possibile anche vedere che, il servizio, indica subito che il file analizzato applica delle modifiche alla configurazione del browser al fine di alterarne il comportamento durante la navigazione. Replica inoltre se stesso nelle cartelle di sistema di Windows applicando modifiche molto pericolose ai vari files del sistema operativo.

Analizzando infine la sezione “Table of contents” è possibile verificare l'elenco di tutti i files creati, aperti e modificati dal file sospetto e controllare le diverse modifiche apportate al registro di sistema.


Analizzare i files
Anubis è molto semplice da utilizzare. E’ sufficiente collegarsi a questa pagina ed individuare il riquadro “Choose the subject for analysis”.

Cliccando sul pulsante “Scegli file” è possibile selezionare il file scaricato sul proprio disco fisso per farlo analizzare da Anubis. Il file deve essere un eseguibile Windows (estensione .EXE) e non può superare gli 8 MB (dimensione massima consentita).

E’ possibile anche utilizzare l'analisi avanzata raggiungibile collegandosi a questa pagina. Da questa sezione si possono inviare sia files eseguibili che files .EXE salvati all'interno di archivi compressi in formato .Zip selezionando, dal menu a tendina “Submission type”, la voce “Zipped executable” anziché “Executable file”.

Agendo sulla voce “Number of auxiliary files” è possibile anche inviare al servizio più files eseguibili contemporaneamente.

I report delle analisi possono essere visualizzati come pagina web oppure è possibile riceverli più comodamente via mail inserendo, nella sezione “Notification”, il proprio indirizzo di posta elettronica.


Analizzare gli URL
E’ da notare che Anubis, sia nella modalità di scansione semplificata che in quella avanzata, offre la possibilità di controllare qualsiasi indirizzo web.

Per iniziare la verifica è sufficiente posizionarsi sulla voce “URL” ed inserire l’indirizzo della pagina desiderata. In questo caso, Anubis, cerca di stabilire se questa contiene del codice dannoso utilizzato per mettere in atto i così detti attacchi “drive by download”.

Questo tipo di attacco è sfruttato moltissimo al fine di provocare automaticamente il download, nonchè l’esecuzione di codice malevolo, sfruttando le vulnerabilità che l’utente non ha ancora patchato dei vari browser utilizzati.

Assolutamente da mettere tra i “Preferiti”.

"Consigliamo, prima di utilizzare software che potrebbero modificare la configurazione del sistema operativo, di creare un’immagine del disco fisso ed eseguire un backup dei dati"

Nessun commento:

Posta un commento

L'archivio di TechnoGeek