Virus Informatici
Quali Sono e Come Operano i Virus
Nel 1985 Fred Cohen, ricercatore all'università della
California del Sud, sviluppò nel suo studio Computer Viruses -
Theory and Experiments, la tesi di un programma in grado
di riprodursi automaticamente.
Un anno piú tardi, nel 1986, venne scoperto il primo virus
informatico: si trattava di Brain, un codice distruttore
realizzato in Pakistan dai fratelli Alvi (Il programma aggiunge il
suo codice eseguibile in altre applicazioni: ogni programma
infettato sarà in grado di duplicarsi a sua volta).
Oggigiorno sono recensite dagli editori
di antivirus circa 43.000 firme virali! Dopo più di dieci anni dalla
loro prima apparizione, i virus informatici continuano a mietere
vittime, forti del fatto che molti utilizzatori si rivelano incauti
e continuano a non essere protetti in modo adeguato.
Generalmente il funzionamento di un virus informatico si basa
su due fasi distinte: la prima dedicata alla riproduzione e la
seconda ove si mette in azione e puó divenire distruttivo per la
macchina infettata.
Le Famiglie di Virus
Esistono tre grandi famiglie di
virus:
Il virus di boot è il
codice malizioso che si moltiplica piu rapidamente ed è, senza
dubbio, il più diffuso. Il funzionamento del virus di boot è
semplice: quando si esegue per la prima volta, infetta il tuo
sistema installandosi nel settore di avvio dell'hard drive e,
quest'ultimo, si diffonde in seguito sui tuoi dischetti (le cattive
abitudini tardano sempre a morire: molti dimenticano ancora di
levare i dischetti dal lettore, durante l'avvio del PC).
Dall'epoca del passaggio da
Dos a Windows 95, il virus dei files eseguibili si propaga
molto meno rispetto al passato. Tuttavia dei nuovi virus a 32 bits
Windows 95/98 cominciano già a nascere.
Grazie all'inserimento dei
linguaggi di scripts all'interno dei programmi per ufficio, nel 1995
è apparso il primo macro virus, Winword Concept,
scritto in Word Basic. Tecnicamente piú facile a realizzare
che un virus per eseguibili (in effetti, grazie ai linguaggi
scripts, non e piú necessario conoscere le basi di assemblaggio per
realizzare un efficace ordigno distruttore), sarà poi seguito da
parecchi altri.
In marzo 1999 i cinque virus più frequentemente
riscontrati, erano costituiti da un macros Excel battezzato
Laroux, da tre macros Word (Ethan, Marker e
Class) e dal famoso virus Melissa.
Effetti dei Virus
Una volta installato nella macchina
dell'utilizzatore, il virus attende l'evento pre-programmato (una
data, il lanciamento di un certo programma) per passare alla seconda
fase. Durante questa fase, il virus esegue tutte le operazioni per
le quali è stato programmato dal suo ideatore: potrà accontentarsi
di mostrare un messaggio nel tuo schermo, come pure andare ben oltre
e causare numerosi danni irreversibili al sistema.
Oltre a cancellare i tuoi dati dall'hard drive,
i virus sono anche in grado di danneggiare il tuo materiale,
annullando il flash bios della scheda madre o di altre
periferiche essenziali. (Il virus W95.CIH durante la sua
attivazione - il 26 di ogni mese - tenta per l'appunto di
distruggere i flash bios delle motherboards).
Ultimamente la maggior parte
dei virus utilizzano Internet per effetuare le loro performances. Il
virus Papa (una variante di Melissa) contatta l'indirizzo IP
del sito Web di Fred Cohen (l'emerito specialista di virus sopra
citato) e lo tempesta regolarmente di pacchetti multipli.
Talvolta l'autore di un messaggio infettato non
è al corrente del fatto che sta divulgando un virus, in quanto
inseritosi alla sua insaputa. Perfino certi editori poco accorti
hanno messo a disposizione nei loro siti Internet dei files
infettati (piloti ed aggiornamenti), evidentemente ignari di
questo.
Virus e Posta Elettronica
Anche la posta elettronica ed i gruppi di
discussione sono ampiamente utilizzati per divulgare virus. I
principali vettori d'infezione sono sempre i files di applicazione
Microsoft, come Word o Excel, contenenti dei programmi scritti in VB
(Visual Basic) che danno accesso per difetto a tutte le funzioni di
sistema.
Il solo fatto di aprire un tale file
sotto Word o Excel, provoca il
lanciamento di eventuali macros suscettibili di contenere dei
virus.
Quest'ultimo, parte alla ricerca di altri files
Word o Excel per attaccarsi, garantendo la sua
replicazione. Ognuno di questi files conterrà allora una copia
del virus, pronto ad attivarsi all'atto dell'apertura di uno di
questi documenti.
Un rimedio ben conosciuto ed
efficace, è quello di non aprire mai un file
Word o Excel ricevuto per email, ma di piazzarlo
direttamente nella pattumiera! Se vuoi assolutamente aprire un file
Word o Excel sospetto, utilizza un programma di conversione (come
Conversion Plus) e trasforma il file nel formato
HTML o RTF prima di aprirlo: questa operazione annulla
gli eventuali macros.
Più in
generale: mai aprire un file allegato ricevuto per posta elettronica
prima di averlo verificarlo con un antivirus, se non si è certi del
mittente Copiatelo sul vostro
hard drive ed esaminatelo con il vostro antivirus.
Attenzione alle furberie idiote spesso utilizzate dai divulgatori di
virus, come AnnaKurnikova, che consiste
nell'inserire nel nome del programma una falsa estensione, con
l'obiettivo di far credere all'antivirus che si tratta di una
immagine.
In tal modo, Anna.exe viene rinominato in Anna.jpg.exe.
Quando visionate il file caricato con l'esploratore di Windows, quest'ultimo maschera l'estensione
reale del file ed affigge Anna.jpg. Desiderando vedere l'immagine
della tennista, attiverete in realtà il virus!
Per evitare la trappola, aprite il Temporary Internet Files,
quindi andate in Tools/Folder options/View e disattivate
l'opzione Hide file extension. I nomi dei files saranno
allora affissi nella loro totalità.
Ancora piú perniciosa, una famiglia di nuovi
virus (W2K.Stram) utilizza una novità di
Windows 2000 -i flussi di dati multipli- per infettare i files.
Questa nuova tecnologia rischia di rendere obsoleti tutti gli
attuali antivirus!
Virus Furtivi e Poliformi
Occorre inoltre menzionare i virus
furtivi ed i virus poliformi o mutanti. I
virus furtivi sono strutturati in modo di far credere al sistema
operativo ed agli antivirus che i loro files sono sani, in modo da
disarmare le protezioni. I virus poliformi, modificando i loro
codici in fase di riproduzione, creano una copia differente della
precedente ad ogni evoluzione.
Per la maggior parte dei programmi antivirus,
l'identificazione di un poliforme diviene praticamente impossibile,
in quanto gli antivirus funzionano per comparazione con una lista di
virus noti, rappresentati dalle loro firme di matrice.
I Worms
La differenza fra un virus ed un worm (verme) è
ben sottile: si parla di worm per designare un virus che si propaga
per email. L'antenato di tutti i worms è stato programmato
dallo studente americano Robert Morris che, il 2 novembre 1988, ha
divulgato su Internet un programma che si replicava per
email.
Il verme di Morris sfruttava diverse falle
conosciute del sistema BSD Unix. Propagandosi non commetteva danni,
ma saturava i dischi, i processori e gli accessi nerworks delle
macchine infettate.
I nuovi worms in circolazione non hanno questi
scrupoli ed operano danni irreversibili. Gli attuali worms sfruttano
diverse falle combinate, per infettare una macchina e
propagarsi.
Una di queste ben note falle, è quella di
ActiveX chiamata Scriplet TypeLib che si propaga
sfruttando una funzione di Outlook: la possibilità di lanciare
dei programmi contenuti entro scripts integrati a dei messaggi in
HTML, semplicemente previsualizzando i messaggi!!
Il verme modifica sia il file AUTOEXEC.BAT che
il registro di Windows. Si propaga unicamente nei computers sotto
Windows che utilizzano Outlook ed gli ActiveX. Il solo rimedio è
quello d'inibire gli ActiveX, oppure utilizzare un'altro programma
di messaggeria come Eudora o altri, ben più sicuri di
Outlook!
|