Se una volta il rischio di vedere il proprio
personal computer vittima di un’infezione era piuttosto ridotto
(l’Internet di massa era ancora lontana...) e i principali virus si
diffondevano principalmente attraverso lo scambio di floppy disk tra
amici e colleghi, oggi la diffusione della posta elettronica e
l’utilizzo intensivo del web, hanno portato alla nascita di
nuove tipologie di virus, favorendone enormemente la diffusione.
L’evoluzione dei sistemi operativi ha poi paradossalmente dato una
spinta al proliferare di nuovi virus, sempre più pericolosi e sempre
più abili a replicarsi. Anche se la maggior parte dei virus viene
concepito per far danni essenzialmente per il sistema operativo più
diffuso Windows.
L’arrivo dei linguaggi di scripting ha reso lo sviluppo di virus
molto più semplice: i virus worm (script worm) sono infatti scritti
il più delle volte in Visual Basic Script (VBS) e le competenze
tecniche necessarie per la progettazione di un virus di questo tipo
sono oggi estremamente ridotte rispetto al passato. Pensate che,
addirittura, già da tempo sono comparsi in
rete software che includono in sé routine di base e stralci di
codice già pronti per creare, in men che non si dica, nuovi worm.
L’evoluzione del
software ha quindi portato, insieme con i benefici
che tutti conosciamo (maggiore semplicità nell’utilizzo delle
applicazioni, nello sviluppo di programmi, nella gestione del
sistema operativo...) anche molti svantaggi: il sistema operativo è
divenuto un oggetto sempre più complesso (deve poter gestire un
numero sempre maggiore di periferiche, di protocolli, si è aperto
sempre di più alla rete Internet...) tanto che alcuni bug e
vulnerabilità (non messi a nudo durante le fasi di beta testing)
vengono proprio sfruttati da parte dei cosiddetti Network worm o
Internet worm per far danni.
Grazie proprio a carenze di sicurezza del sistema operativo, non
tempestivamente risolte, i virus di tipo Internet worm sono in grado
di insediarsi "indisturbati" all’interno del sistema "vittima".
Basti pensare ai danni che il virus Nimda (il primo a sfruttare in
modo intensivo le vulnerabilità del sistema operativo) ha causato
nel 2001, a livello mondiale. La sua principale caratteristica è
quella di sfruttare una vulnerabilità insita all’interno di Windows
per autoeseguirsi e per diffondersi, così, indisturbato.
Con Nimda
si è voluto dimostrare che a volte, nonostante non vengano aperti
allegati infetti, il proprio sistema può essere ugualmente
"contagiato" qualora non si abbia provveduto ad installare le
necessarie patch a risoluzione delle varie vulnerabilità. Nimda è in
grado di sfruttare le risorse condivise nelle reti locali per
diffondersi ulteriormente.
Ciò significa che il worm esamina la rete
cui appartiene il computer infetto ricercando le cartelle condivise
che permettono la scrittura. Non appena viene trovata una cartella
con i diritti di scrittura, Nimda la rinomina ed inserisce, al suo
interno, il codice virale. Il worm sfrutta poi una vulnerabilità di
IIS (il server web usato da parte del 30% dei server di tutto il
mondo; fonte Netcraft Web Server Survey) denominata IIS Web
Directory Traversal per la quale era stata già rilasciata una patch
ma che evidentemente pochi avevano provveduto ad installare. Gli
utenti che si collegavano ad un server web infetto, ricevevano così
la richiesta di scaricare un file .eml (estensione associata alle
e-mail di Outlook) che conteneva, in allegato, il pericolosissimo
worm. Chi faceva uso della versione 5.0 di Internet Explorer
riceveva la richiesta di download del file virale mentre chi usava
la versione 5.5 senza aver installato le opportune patch veniva
automaticamente colpito dal virus.
I worm, di qualunque genere essi siano, trovano nella posta
elettronica il principale (nonché ideale) mezzo di diffusione.
Sempre più di frequente, infatti, è possibile imbattersi in loro
come semplici allegati ai messaggi di posta.
Fino a qualche tempo fa, i virus di qualunque genere - non potevano
nuocere se non ne veniva eseguito il codice virale da parte
dell’utente (generalmente, con il classico "doppio clic"). Oggi i
virus worm stanno facendo di tutto per fare in modo di essere
attivati anche senza il "doppio clic": ciò può rendersi possibile,
appunto, sfruttando vulnerabilità del sistema operativo, del client
di posta elettronica o del browser Internet (Nimda docet...).
Definizione di Virus
Nell'uso comune il termine virus viene
erroneamente e frequentemente usato come sinonimo di malware,
indicando quindi di volta in volta anche categorie di "infestanti"
diverse, come ad esempio hijacker, trojan o dialer.
Un virus per essere definito tale; DEVE AVERE
queste caratteristiche:
E' un software è non come alcuni dicono un
frammento o porzione di programma.
Perchè programma può essere
già definito la famosa stringa "Ciao Mondo" di comparsa sul video
schiacciando un pulsante del software stesso; appartenente alla
categoria dei malware, (MALicious e softWARE, software
dannoso) che è in grado, una volta eseguito, di
infettare dei file in modo da riprodursi facendo copie di se stesso,
generalmente senza farsi rilevare.
Quindi la caratteristica saliente
è l' AUTOREPLICAZIONE automatica di se stesso, che può essere
identica alla copia originale o evoluta.
I virus possono essere o
non essere direttamente dannosi per il sistema operativo che li
ospita, ma anche nel caso migliore comportano un certo spreco di
risorse in termini di RAM, CPU e spazio sul disco fisso dall'utente,
alcuni virus sono benigni, non danneggiano il sistema infettato ma
si manifestano con immagini o suoni, ma comunque sono malware perchè
si installano senza la volontà dell'utente e comunque sono difficili
da rimuovere.
Si possono distinguere due fasi di un virus:
Quando è solo presente su un supporto di massa (disco fisso, floppy,
CD, ...) il virus è inerte, anche se copiato sul proprio PC non è in
grado di fare nulla fino a quando non viene eseguito il programma
che lo ospita;
quando è stato caricato in memoria RAM il virus diventa attivo ed
inizia ad agire.
Principalmente un virus esegue copie di se stesso spargendo
l'epidemia, ma può avere anche altri compiti molto più dannosi
(cancellare o rovinare dei file, formattare l'hard disk, aprire
delle backdoor, far apparire messaggi, disegni o modificare
l'aspetto del video).
Come funzionano i virus
Un virus è composto da un insieme di istruzioni,
come qualsiasi altro programma per computer. È solitamente composto
da un numero molto ridotto di istruzioni, (da pochi byte ad alcuni
kilobyte), ed è specializzato per eseguire soltanto poche e semplici
operazioni e ottimizzato per impiegare il minor numero di risorse,
in modo da rendersi il più possibile invisibile.
Tuttavia, un virus di per sè non è un
programma eseguibile, così
come un virus biologico non è di per sè una forma di vita.
Un virus, per essere attivato, deve infettare un programma ospite, o
una sequenza di codice che viene lanciata automaticamente, come ad
esempio nel caso dei boot sector virus. La tecnica solitamente usata
dai virus è quella di infettare i file eseguibili: il virus
inserisce una copia di se stesso nel file eseguibile che deve
infettare, pone tra le prime
istruzioni di tale eseguibile un'istruzione di salto alla prima
linea della sua copia ed alla fine di essa mette un altro salto
all'inizio dell'esecuzione del programma.
In questo modo quando un
utente lancia un programma infettato, viene dapprima
impercettibilmente eseguito il virus, e poi il programma. L'utente
vede l'esecuzione del programma e non si accorge che il virus è ora
in esecuzione in memoria e sta compiendo le varie operazioni
contenute nel suo codice.
Tipologie di virus
I virus, dal 1985, anno della creazione del primo virus informatico
in grado di riprodursi automaticamente, si sono evoluti e sono stati
pian piano raggruppati in categorie. Oggi si conoscono:
MacroVirus: sono i virus più semplici da realizzare e proprio per
questo i più diffusi. Usano come veicolo le macro, quelle funzioni
cioè presenti in programmi come Word o Excel che permettono di
registrare una sequenza di operazioni desiderate evitandone la
ripetizione. Il virus si nasconde nelle macro di un documento e si
avvia non appena questo viene aperto. E' in grado di cancellare i
file, di rinominarli e di modificarne il contenuto.
Polimorfici: un virus "evoluto" ha questa caratteristica, questi
virus sono in grado di modificare la propria struttura, per non
essere individuati dai programmi antivirus; fortunatamente esistono
sistemi di scansione "euristici", che vanno a capire le azioni che
un programma potrebbe compiere e avvertono se potrebbero essere
dannose.
Retrovirus: i virus dotati di questa caratteristica, oltre al danno
normale, va ad attaccare i programmi antivirus, facendoli funzionare
male o rendendo impossibile la loro installazione.
Bombe a tempo (Timer Virus): un virus che è così definito, è
progettato per avviarsi solo dopo una certa data, ora o azione, può
per esempio essere programmato per avviarsi il 25 dicembre a
mezzanotte e durare solo un minuto....sta alla fantasia del
creatore.
Boot virus e MBR virus si installano nella parte dei dischi
che permette l'avvio del computer. Essi risiedono, nel primo settore
di avvio del disco rigido e si attivano nello stesso momento in cui
il computer viene acceso: per tale motivo essi vengono eseguiti
nello stesso istante in cui il computer viene acceso, e quindi
difficilmente rilevabili da un antivirus. Questa categoria di virus
è stata la prima ad essere creata,ma oggi il suo uso è molto
limitato, dovuto all'accesso 32-bit di Windows 9x al disco.
In questo modo si rendono anche "invisibili" agli antivirus che non
sono ancora in funzione e quindi non possono agire.
File Viruses: E' la categoria principale,
in quanto sono i virus più diffusi. Sono file che si sovrascrivono
su altre applicazione (.exe, .com, .bat ecc.), ed al momento che
lanciamo il programma infettato, il virus si installa ed infetta
prontamente altre applicazioni.
Memory Resident: resta scritto nel computer anche in seguito alla
cancellazione, per eliminarlo di deve eseguire la cancellazione ed
il secure erase, un operazione che cancella definitivamente i dati
dal disco fisso.
Size Stealth: dimensioni nascoste, impedisce di sapere quali sono le
sue dimensioni.
Full Stealth Encrypting: invisibilità piena, non viene visualizzato
dal sistema operativo, viene però rilevato dai programmi antivirus
Encrypting: si cripta (codifica) per restare nascosto (simile al
polimorfico).
Non possono essere definiti virus le due
tipologie qui sotto descritte perchè non hanno la peculiarità sopra
descritta di essere autoreplicanti.
Hoaxes: Sono delle falsità, spesso dei
comunicati via e-mail che ci avvertono della presenza di un nuovo
virus, e "di non aprire mai alcun allegato altrimenti verremo
infettati...", ma in realtà sono solo burlonate, perchè il virus non
esiste affatto.
Un trojan o trojan horse (Cavallo di Troia), è un tipo di malware. Deve il suo nome al fatto
che le sue funzionalità sono nascoste all'interno di un programma
apparentemente utile; è dunque l'utente stesso che installando ed
eseguendo un certo programma, inconsapevolmente, installa ed esegue
anche il codice trojan nascosto.
In genere col termine Trojan ci si riferisce ai trojan ad accesso
remoto (detti anche RAT, di cui esistono anche versioni legali, come
GoToMyPC o PCAnywhere, molto più funzionali delle backdoor illegali,
ma che non sono dei cavalli di Troia poiché l'utente che li usa sa
ciò che fa), composti generalmente da 2 file: il file server, che
viene installato nella macchina vittima, ed un file client, usato
dal pirata per inviare istruzioni che il server esegue. In questo
modo, come con il mitico stratagemma adottato da Ulisse, la vittima
è indotta a far entrare il programma nella città, ossia, fuor di
metafora, ad eseguire il programma.
I trojan non si diffondono autonomamente come i virus o i worm,
quindi richiedono un intervento diretto dell'attaccante per far
giungere l'eseguibile malizioso alla vittima. Spesso è la vittima
stessa a ricercare e scaricare un trojan sul proprio computer, dato
che i cracker amano inserire queste "trappole" ad esempio nei
videogiochi piratati, che in genere sono molto richiesti o insieme
ad altri programmi. Vengono in
genere riconosciuti da un antivirus aggiornato come tutti i malware.
Se il trojan in questione non è ancora stato scoperto dalle software
house degli antivirus, è probabile che esso venga rilevato, con la
scansione euristica, come probabile malware.
Un trojan può contenere qualsiasi tipo di istruzione maliziosa e
pornografica. Spesso i trojan sono usati come veicolo alternativo ai
worm e ai virus per installare delle backdoor o dei keylogger sui
sistemi bersaglio.
I virus possono appartenere contemporaneamente a
più categorie descritte infatti molti virus sono criptati, quindi
appartengono alla categoria encrypting, e sono nello stesso tempo
dei worm.
