Un virus informatico è un programma, cioè una serie di istruzioni scritte da un programmatore ed eseguibili da un computer, che ha le seguenti caratteristiche:
¨ è stato scritto per "inglobarsi" e cioè confondersi alle istruzioni di altri programmi modificandoli;
¨ chi lo ha scritto, ha previsto la possibilità che il virus sia in grado di replicarsi, ovvero di copiare le istruzioni che lo compongono in altri programmi;
¨ dopo un tempo prestabilito, necessario per effettuare la "replicazione", il virus comincia a compiere l'azione per cui è stato scritto, che può consistere, per esempio, nel distruggere dati e/o programmi presenti su di un supporto magnetico o, semplicemente, nel far comparire a video un messaggio.
I virus non sono capaci di un comportamento autonomo: tutto ciò che sono in grado di fare è stato puntualmente previsto - come per qualsiasi programma di computer - dai programmatori che li hanno ideati e scritti.
I virus sono facilmente identificabili ed eliminabili da programmi - detti anche "antivirus" - scritti appositamente; questi ricercano negli altri programmi presenti sul computer la sequenza di istruzioni che caratterizza il virus; ciò è però possibile solo se i virus sono noti, e cioè se è nota, almeno in parte, la sequenza di istruzioni con cui sono stati scritti: tale sequenza è diversa per ogni virus.
I virus, come tutti i programmi, non possono funzionare, e quindi portare a termine il compito loro assegnato, se non nel sistema per cui sono stati scritti; quindi un virus scritto per computer che usano il sistema operativo MS/DOS, non potrà "funzionare" su computer che usano un diverso sistema operativo, e vice versa.
I virus informatici ("virus" in latino significa veleno) hanno mutuato il loro nome dal campo medico - biologico, per una vaga somiglianza con alcune caratteristiche dei virus nella microbiologia: come questi ultimi, per riprodursi, devono penetrare in una cellula ospite ed assumere il controllo dei suoi processi metabolici, così i virus informatici devono penetrare nel programma ospite modificandolo, sia per riprodursi sia, in seguito, per danneggiare dati e/o programmi presenti su supporti registrabili.
Come nella biologia i virus sono organismi relativamente semplici e molto piccoli, rispetto all'organismo che invadono, così anche i virus informatici sono dei programmi costituiti da poche centinaia di istruzioni, al massimo un migliaio; ciò consente loro di portare a termine il compito per cui sono stati scritti senza, in genere, far notare la loro presenza all'utente del computer.
I danni dei «virus informatici» ai computer ed al hardware
Un virus è un programma è potrà fare al vostro computer ed alla apparecchiature collegate né più né meno di quello che potrebbe fare un normale programma o un driver (programma che gestisce una periferica).
Alcuni sostengano che il virus possa rendere inservibile l'hardware, tale affermazione va smentita in modo categorico. I programmi e, quindi, anche i virus possono fare sul hardware solo quanto l'hardware medesimo consente loro di fare.
Le ditte costruttrici eseguono svariati test prima di mettere sul mercato del hardware e particolari prove vengono effettuate proprio per verificare che nessuno dei comandi che il software può inviare ad una unità hardware possa danneggiare la medesima; ciò viene fatto perché esistono al mondo migliaia di programmi già scritti che funzionano regolarmente su computer costruiti da centinaia di fabbricanti; l'eventualità, quindi, che venga messo in commercio hardware danneggiabile dal software è estremamente remota e ancor più remota è la possibilità che venga realizzato un virus informatico per danneggiarlo.
E' corretto sottolineare che quando si afferma che un virus informatico non può mai danneggiare l'hardware, ci si riferisce ad un danneggiamento che implica una rottura di un apparato e cioè la rottura di un componente - per esempio un video, un chip di memoria - del computer che implica la sostituzione o la riparazione del componente medesimo; non ci riferisce certo all'evento, comune nella pratica, che il virus possa cancellare tutti i dati su di un disco rigido (hard disk) e che sia poi necessario effettuare una formattazione a basso livello (per rimuovere il virus) del disco per poterlo riutilizzare.
Un trojan, contrazione del termine inglese trojan horse (Cavallo di Troia), è un programma per computer che contiene funzionalità maliziose note a chi lo ha programmato, ma non all'utente. Un trojan horse è chiamato in questo modo poiché esegue delle azioni nascoste all'utente, facendo credere a quest'ultimo di essere in possesso di qualcosa di realmente utile. In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto, composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora, ad eseguire il programma.
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'attaccante per far giungere l'eseguibile malizioso alla vittima. Spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti. Vengono in genere riconosciuti da un antivirus aggiornato. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, è probabile che esso venga rilevato, con la scansione euristica, come probabile malware.
Un trojan può contenere qualsiasi tipo di istruzione maliziosa e pornografica. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.
Le backdoor in informatica sono paragonabili a porte di servizio che consentono di superare in parte o in toto le procedure di sicurezza attivate in un sistema informatico.
Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione dell'infrastruttura informatica, e più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario.
Un keylogger è, nel campo dell'informatica, uno strumento in grado di controllare tutto ciò che un utente digita sulla tastiera del proprio computer. e hanno in genere lo scopo di intercettare password e numeri di carte di credito.
Worm
Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di nascondersi in altri programmi per diffondersi.
Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.
Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma malizioso ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Tutti i worm più recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo è falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.
Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.
La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.
Possiamo grossolanamente dividere gli effetti nocivi cagionati da un worm in due tipologie: danni diretti, causati dall'esecuzione del worm sulla macchina vittima, e danni indiretti, derivanti dalle tecniche utilizzate per la diffusione.
Danni diretti
Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare dei danni al sistema infettato. Molto di frequente un worm funge da veicolo per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.
Danni indiretti
I danni indiretti sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. Come già accennato infatti la diffusione di un worm genera un'enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note di alcuni software causano invece malfunzionamenti di tali programmi, con conseguenze quali l'instabilità del sistema operativo e a volte spegnimenti e riavvii forzati, come nel caso del recente worm Blaster (noto anche come Lovsan o Msblast).
L'autore di un virus informatico, con alcune istruzioni di programma, fa in modo che esso sia in grado di copiare se stesso inserendosi in altri programmi. Il pratica il virus è dotato della capacità di replicarsi; la replicazione può avvenire solo in un computer che esegue le istruzioni scritte dall'autore con la quali il virus copia le proprie istruzioni su altri programmi o su parti "critiche" (come il settore di avviamento o settore di bootstrap) di un dischetto.
Le tipologie con cui questo avviene sono diverse, ma hanno in comune lo schema che proponiamo qui sotto:
Grazie ad Internet coloro che scrivono i virus informatici hanno "scoperto" un altro micidiale sistema di replicazione :
¨ il Virus viene inviato per posta elettronica allegato all'e-mail;
¨ chi riceve l'e-mail apre l'e-mail (a questo punto visto l'allegato e visto che l'e-mail viene da uno sconosciuto dovrebbe cestinarla e poi eliminarla definitivamente), ma....invece...
¨ clicca sull'allegato;
¨ il programma gli domanda se intende salvare l'allegato su disco o aprirlo;
¨ il malcapitato sceglie di eseguire il programma;
¨ il programma va a leggere la rubrica degli indirizzi della posta ed invia una e-mail ad ogni persona presente nella rubrica inserendosi, come allegato, ad ogni e-mail;
¨ a questo punto la replicazione è terminata ed il programma (o virus) può compiere l'opera distruttrice sul computer del malcapitato.
Anche la navigazione su Internet può nascondere pericoli di infezione. Se il vostro programma di navigazione è ben fatto e non consente, quindi, ad alcun componente ricevuto da Internet di eseguire autonomamente istruzioni sul vostro computer non c'è alcun pericolo e potete navigare sicuri,; quindi se usate Internet Explorer controllate - cliccando sul "?" e poi su "Informazioni su Internet Explorer" - di avere la versione 6.0 aggiornamento SP1 o la 5.5 versione aggiornamento SP2). Inoltre non dimenticate di scaricare (sempre dal sito Microsoft) le ultime patch di sicurezza di Internet Explorer..
Prestate attenzione, durante la navigazione, a NON eseguire mai programmi dalla locazione corrente; lasciate, quindi, sempre selezionata la casella "Salva l'applicazione su disco".
Una volta salvato il programma su disco questo potrà essere agevolmente controllato da un programma antivirus prima di essere eseguito. Se poi la finestra si apre all'improvviso senza che abbiate cliccato su di un collegamento per il download, Vi consigliamo di chiuderla premendo su "Annulla".
Essere totalmente certi che un virus informatico non colpirà mai i vostri computer è impossibile, ma fare in modo che il malaugurato evento abbia poche possibilità di verificarsi e, nello "sfortunato" caso si verifichi, comprometta poco o nulla il vostro lavoro è un risultato ottenibile seguendo poche e chiare regole:
Eliminate sempre e senza esitazioni le e-mail che hanno come allegato i seguenti tipi di file:
EXE
COM
VBS
PIF
SCR
BAT
Impostate la protezione da Macro ad "Elevata" (in Word 2000: Strumenti - Macro - Protezione);
in tal caso se un documento allegato ad una e-mail contiene una macro il programma vi avvisa: a questo punto cliccate su "Disattiva Macro", finché non siete certi, dopo aver fatto esaminare il documento ad un antivirus aggiornato, che non contiene un virus.
Installate sempre le ultime patch di sicurezza del programma di navigazione e di posta elettronica che usate; nel caso di Internet Explorer consultate con cadenza mensile questo indirizzo
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp
(in lingua inglese) per tenerVi informati su eventuali problematiche riguardanti la sicurezza.
Non installate mai sul proprio computer programmi passati da amici e conoscenti specialmente su floppy disk; loro potrebbero essere in perfetta buona fede e non sapere che i dischi contengono anche virus informatici; se proprio volete farlo controllate prima i dischetti con un programma antivirus.
Non comprate dischi già preformattati e se riutilizzate vecchi floppy formattateli sempre con la formattazione completa.
Non prestate mai a nessuno dei floppy disk di dati e programmi che utilizzate o che potrebbero servirvi per effettuare installazioni, piuttosto fatene una copia.
Effettuate sempre il salvataggio dei dati (backup) con cadenza almeno settimanale; con i dati salvati ed i dischi programmi intatti, anche in caso di disastro non imputabile a virus (vi si rompe il hard disk) sarete in grado di ripristinare il contenuto del vostro computer.
Per proteggersi dai Virus esistono i programmi Antivirus. Questi programmi hanno un archivio di codici per i virus conosciuti, quando l'Antivirus e attivo nel computer, controlla tutti i movimenti dei file, anche lo spostamento del mouse viene controllato in tempo reale, questo fa si che il sistema venga leggermente rallentato dal programma Antivirus, ed ecco uno dei primi errori che si commette anche avendo un Antivirus nel computer, ovvero disattivarlo per accelerare il computer, mai errore potrebbe essere più disastroso di quello di disattivare un Antivirus.
Il programma Antivirus richiede tre regole fondamentali
1) Deve essere installato in qualsiasi computer
2) Deve essere sempre attivo
3) Deve essere costantemente aggiornato
Una sola di queste tre regole che non venga rispettata, mette in serio pericolo i nostri dati.
Il suo funzionamento si basa principalmente sulla ricerca nella memoria RAM o all'interno dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus è composto da un numero ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che cercare se questa sequenza è presente all'interno dei file o in memoria). Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus è in grado di riconoscere effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli utenti e da gruppi specializzati nell'individuazione di nuovi virus.
Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente).
Con il termine antivirus in realtà si intendono più parti differenti, alcune indipendenti tra di loro:
il file (o i file) delle firme: file che contiene tutte le firme dei virus conosciuti. Questa parte è fondamentale ed essenziale per il funzionamento corretto di qualsiasi altro componente
il binario in grado di ricercare il virus all'interno dell'elaboratore. Questo componente è l'antivirus vero e proprio
il binario che rimane residente e richiama l'antivirus ogni qual volta viene creato/modificato un nuovo file o viene modificata una zona di memoria per controllare che il computer non sia stato infettato con questa operazione
il binario che effettua gli update del file delle firme e di tutti i binari dell'antivirus
Bisogna ricordare che l'antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i nuovi virus (per nuovi si intende sia virus che il proprio antivirus non conosce che quelli che non sono ancora stati scoperti) possono passare completamente inosservati e fare tutto quello che vogliono senza che l'antivirus intervenga. Inoltre l'antivirus riesce ad intercettare il virus soltanto quando questo è entrato all'interno del computer e quindi ha già infettato un file o la memoria; a questo punto, a seconda del virus, può "disinfettare" il file o la memoria eliminando completamente il virus o in alcuni casi è costretto a mettere in "quarantena" il file contagiato ed a eliminarlo per l'impossibilità di recuperare il file originario.
L'antivirus inoltre è un grande utilizzatore delle risorse del computer e se viene lanciato in background ogni volta che viene acceso il computer può comportare un forte rallentamento soprattutto nelle fasi iniziali (perché controlla prima tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale rallentamento è presente anche in tutte le fasi in cui si scrive su disco anche se qui può risultare più trascurabile.
Occorre aggiornare continuamente l'antivirus per evitare che virus già riconosciuti dall'antivirus che si è scelto possano infettare il proprio PC. La scelta di un antivirus è una cosa molto complessa anche perché antivirus diversi possono riuscire a rintracciare e quindi a controllare i nuovi virus prima di altri.
La scoperta di un nuovo virus dipende molto da quanto è "infettivo", più un virus si propaga velocemente e più veloce e semplice è individuarlo e quindi aggiornare le firme; se invece il virus tende ad essere molto poco "infettivo" e tende a rimanere localizzato soltanto in una certa area può passare un tempo relativamente lungo prima che venga intercettato e aggiunto alle firme.
È successo più volte che un antivirus considerasse dei file o programmi come virali anche se in realtà non lo erano. Questo è dovuto al fatto che un insieme di istruzioni (od una sua piccola variante) che compongono un virus (od una sua parte) può essere presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati salvati non in formato testo. Il problema principale è che si può non riuscire ad eseguire questo programma od aprire il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o rovinato in modo irreparabile nel frattempo.
Il firewall: ulteriore protezione contro i virus
Per quello che si è detto si capisce che per avere un sistema sicuro l'antivirus non è affatto sufficiente, occorre una protezione ulteriore: il firewall. Un firewall permette, se ben configurato ed usato correttamente, di bloccare i virus, anche se non conosciuti, prima che questi entrino all'interno del proprio computer e volendo permette anche di bloccare all'interno alcuni virus presenti nel proprio computer evitando così di infettare la rete a cui ci si è collegati. Un firewall quindi può essere uno strumento aggiuntivo che impedisce ad un virus di infettare la macchina prima che possa essere individuato dall'antivirus (con la possibile perdita del file infetto) ed inoltre permette di nascondere parzialmente o totalmente la macchina sulla rete evitando attacchi dei cracker o degli stessi virus.
2.4.2.1 Utilizzare un’applicazione antivirus per
controllare unità, cartelle e file specificati
2.4.2.2 Comprendere per quale motivo è necessario
aggiornare regolarmente il software antivirus
Per quanto abbiamo detto appare chiaro che anche le migliori norme di prevenzione possono non impedire l’infezione del computer ameno di non assumere uno stile di vita di “astinenza” per cui
1. non navighiamo su internet
2. non usiamo il computer per lo scambio della posta elettronica
3. non utilizziamo dischetti e altri supporti (dvd, cdrom, penne elettroniche) provenienti da altre persone
In caso contrario deve essere installato un buon programma antivirus sul nostro computer, deve essere sempre attivo, deve essere sempre aggiornato
Organizzazioni che forniscono test per il proprio sistema
Queste organizzazioni forniscono la scansione di virus e programmi correlati. Esse hanno diversi livelli che indicano la protezione che il software installato fornisce al sistema.
Occorre assicurarsi che l’antivirus sia sempre attivo. L’antivirus che avete installato sul vostro computer, in genere parte automaticamente quando accendete il computer. Ne noterete la presenza perché la sua icona apparirà sulla barra di stato di Windows
cliccando sull’icona potete far apparire un menu in cui vi è consentito fra l’altro di chiudere il programma. Non lo fate mai! Sarete senza protezione.
Ricordate di effettuare sempre l’aggiornamento del vostro antivirus
ricordate che solo un software antivirus aggiornato può bloccare i nuovi virus.
Attivate con regolarità il test del vostro computer