Domanda Malware Norton più permissivo di win defender + qualche consiglio

Tsoska

Utente Bronze
18 Luglio 2017
7
4
0
24
Praticamente il titolo. È un po' un paradosso. Sto scrivendo una backdoor che prende le password di chrome e le decifra per poi mandarle a un indirizzo email, il tutto avviato da una macro di excel.

Risultato dei test su macchina virtuale:
- con Windows Defender: elimina l'eseguibile prima che venga avviato, qualsiasi cosa esso sia (anche "Hello World"). Mail con password non arrivata.
- con Norton: lascia andare tutto quanto. Si insospettisce per il traffico in uscita, chiede se è tutto okay (peraltro con una schermata che invita l'utente a cliccare "Consenti") e se ne strafotte. Mail con password arrivata. MA, se al posto di lanciare da VBA un .exe lancio un .bat, questo viene eliminato subito.
Come mai?

Ora i consigli/opinioni che cerco da voi.

a) Ho avuto l'idea - non avrò l'esclusiva immagino - di prendere il codice backdoor (Python), renderlo una stringa e buttarlo dentro un'immagine PNG. Poi l'eseguibile apre l'immagine e usa la funzione
Codice:
eval()
per lanciare il codice. Ha senso o è un arzigogolio inutile?

b) Considerato che - e qui potrei sbagliarmi - usare le macro di excel mi sembra un po' démodé su cosa potrei orientarmi per far eseguire il codice sulla macchina vittima?
 

JunkCoder

Moderatore
5 Giugno 2020
980
19
809
393
Windows Defender è molto migliorato, poi in particolare ha molti modi di osservare Office essendo sempre un loro prodotto. Sul perché possono esserci diversi motivi, dall'uso di un API sospetta per lanciare l'eseguibile a un pattern ben noto (per essere malevolo) nella struttura del VBA.
Con Norton probabilmente riusciresti anche a bypassare quel messaggio usando un canale diverso da SMTP.

a) Si può evitare questo giro in più, il codice può essere già presente nell'eseguibile e non droppare un altro file su disco. Ai fini della detection è uguale se non pure meglio.

b) Questa è evidentemente la parte difficile e non c'è la soluzione definitiva.
 

nfvblog

Moderatore
9 Dicembre 2021
413
38
171
228
Norton è molto permissivo per alcune operazioni e per altre diventa davvero una seccatura, onestamente oggi come oggi windows defender è diventato utilizzabile e se non basta quello, l'antivirus a pagamento che consiglio sempre è Avira perché non consente la scrittura dei file di sistema e quindi aiuta parecchio, impedisce a potenziali malware di modificare impostazioni vitali e quindi in parte vi para e non poco
 
  • Mi piace
Reazioni: LinuxUser