|
VIRUS
INFORMATICI
Ecco cosa bisogna sapere
Tipologie
dei virus
Si
stimano più di 1000 famiglie virali in circolazione. Se però
si considerano le varianti ai virus base, il numero sale paurosamente intorno
ai 20.000. Le varianti possono essere anche minime, con risultati finali
leggermente diversi, ma questo basta a moltiplicare il numero di virus conosciuti
e le procedure antivirus che dovranno contrastarli.
Virus innocui
Vengono chiamati virus in quanto penetrano nei PC altrui senza che i
proprietari ne siano al corrente, e lanciano programmini che disturbano
le normali procedure. Possono essere testi che appaiono sullo schermo, o
immagini, o icone che cadono dal desktop. Sono innocui, ma spesso fastidiosi.
Uno degli esempi più comuni è il virus Marijuana, completamente
innocuo, che fa apparire sullo schermo del computer la parola Legalise.
Successivamente qualcuno ha modificato il codice originale in modo che il
virus scriva la parola Legalize. Ecco che, ritornando al conto precedente,
i virus sono già diventati due.
Virus Trojan Horse (Cavallo di Troia)
Questo tipo di virus deve il proprio nome alla tradizione omerica: il virus
si nasconde all'interno di file eseguibili, non eseguibili e anche compressi,
in modo da evitare il rilevamento. Una volta entrati in un Pc assumono la
forma di utility o librerie di sistema, ma il loro reale contenuto non è
altro che un codice virale.
I Cavalli di Troia sono virus di vecchio tipo: ormai tutti i software antivirus
riescono a rilevarne la presenza.
Virus Polimorfici
I virus polimorfici nascondono se stessi auto-codificandosi, si trasformano
in qualcos'altro, in modo da evitare l'intercettazione da parte dell'antivirus.
Il virus è composto da una procedura di attacco, e una di codifica-decodifica.
Il virus entra in un Pc con la propria porzione di attacco codificata in
modo da sfuggire ai controlli. Una volta che la procedura di decodifica
è attiva nel Pc, questa richiama la procedura di attacco. A questo
punto l'attacco virale può avere luogo.
L'evoluzione dei virus polimorfici ha fatto in modo che essi riescano a
cambiare la codifica da un'infezione a un'altra, come se il programma modificasse
se stesso dopo ogni attacco.
In questo modo in un Pc possono diffondersi decine di virus formalmente
diversi che in realtà sono lo stesso virus polimorfico mutato.
Per intercettare un virus polimorfico il vostro antivirus deve possedere
una funzione detta scansione crittografica che riesce a intercettare il
corpo criptato del virus. Gli ultimi software antivirus sono in grado di
farlo.
I Virus Stealth (invisibili)
Un virus Stealth può essere o non essere di tipo parassitario: attacca
sia i file che i settori di boot dei dischi e per rendersi invisibile manipola
le funzioni di sistema o i risultati delle interrogazioni del sistema operativo.
Un virus Stealth riesce così a sfuggire facilmente ai controlli degli
antivirus.
Quando però il virus è attivo e si trova nella memoria RAM,
diventa visibile. Gli antivirus di ultima generazione non solo cercano di
cogliere in fallo il virus Stealth quando questo è in memoria, ma
riescono a rilevarlo anche in fase di latenza, quando è addormentato,
con sofisticati strumenti di interrogazione.
I Virus Slow (lenti)
I Virus Slow sono virus parassitari che infettano solo i file, e non i programmi
eseguibili, e per questo risultano particolarmente difficili da intercettare.
In particolare entrano in funzione solo quando è l'utente ad effettuare
operazioni sui file (solitamente i file di sistema), diffondendosi principalmente
per via parassitaria attraverso copie ripetute.
Quando si modificano file di sistema e si salvano, il virus intercetta l'operazione
e si infila nella copia. L'antivirus rileverà la modifica e vi avvertirà
del fatto che è in atto un'infezione. Il virus slow si propaga perchè
spesso l'utente non dà troppa importanza all'avvertimento dell'antivirus.
Per intercettare un virus Slow il vostro antivirus deve essere dotato di
uno scudo di integrità (Integrity Shell) in grado di monitorare costantemente
la creazione di ogni file. L'antivirus tenta di modificare file di sistema
COM e file EXE traendo in inganno il virus slow che esce allo scoperto per
replicarsi. A questo punto scatta la trappola e il virus è debellato.
Virus Retro
Il virus Retro è un virus che tenta di sfuggire all'antivirus attaccandolo
direttamente. Questo tipo di virus è anche chiamato virus-anti-virus
proprio per il suo funzionamento.
Il virus Retro funziona in maniera perfetta se entra in un Pc prima dell'antivirus.
A questo punto, quando l'antivirus viene installato, il Retro vi si copia
dentro e lo blocca disattivandolo.
Virus Multiparte (o ad attacco multiplo)
Questi virus infettano il Pc in modi differenti comportandosi come virus
di altre razze. Un multiparte solitamente prima infetta il settore di boot
del disco. Al riavvio del Pc vengono infettati tutti i file eseguibili che
poi vengono ricopiati su disco.
Gli antivirus sul mercato bloccano i virus multiparte basandosi sul fatto
che essi sono solitamente più grandi dei virus normali.
E' però più probabile prevenire un'infezione e non debellarla.
Virus Armored (Corazzati)
I Virus Armored possono essere sia virus di boot che virus parassitari,
il termine corazzati identifica più la loro protezione che il loro
funzionamento.
Questo tipo di virus infatti cerca di sfuggire all'antivirus facendogli
credere di essere da un'altra parte.
Virus Phage
I Virus Phage modificano i file originari invece di nidificarvisi. Sono
chiamati così perché esiste un virus biologico che opera allo
stesso modo chiamato Phage. I Virus Phage sostituiscono il codice dell'eseguibile
originario con un virus. Nel momento in cui richiamate il file eseguibile
entra in funzione il virus invece del software lanciato.
Virus Companion (di Accompagnamento)
Questi virus sono programmi virali che modificano i file eseguibili
originali (*.exe) creando un file com (*.com) che viene eseguito prima che
venga aperto un programma. A questo punto il Virus si diffonde infettando
il sistema. Si trovano spesso abbinati ai Virus Phage.
Virus Worm (verme)
Questo programma colpisce solo i computer con sistema operativo Windows
installando una copia di se stesso nella cartella System e modificando la
libreria di sistema WSOCK3.DLL, che gestisce le connessioni a Internet in
Windows 95 e 98. Il più noto virus worm si chiama Happy99,
forse ne avrete già sentito parlare o lo avete ricevuto direttamente
in posta.
Uno degli effetti di Happy99 è che ogni volta che spedite un messaggio
di posta elettronica, lui ne cancella il testo e allega una copia di se
stesso al messaggio: il tutto senza che voi possiate accorgervene (in compenso
se ne accorge chi riceve il vostro messaggio con annesso il regalo).
Naturalmente il virus infetta il vostro computer solo se eseguite l'allegato:
quindi se non avete mai aperto un file chiamato Happy99.exe arrivato via
email, che una volta aperto mostra una bella finestra con dei fuochi di
artificio e gli auguri per il nuovo anno, non dovete preoccuparvi.
Se invece avete commesso l'imprudenza di aprirlo senza prima esaminarlo
con un software antivirus aggiornato, niente panico: esiste una procedura
molto semplice per liberarsene.
Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)
Andate nella directory System di Windows
Eliminate i file: ska.exe - ska.dll - wsock32.dll
Rinominate il file wsock32.ska in wsock32.dll
Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi
recentemente.
Ulteriori notizie le potete trovare sul sito Symantec.
|
|
|