Glossario
VIRUS
Fino a qualche tempo fa il pericolo di un’infezione veniva causato solo in quei casi che più amici si scambiavano tra di loro software pirata installandolo a vicenda sulle proprie macchine e causando con le proprie mani l’infezione della stessa.Oggi, le cose sono profondamente cambiate.L’utilizzo di Internet e della posta elettronica e degli altri servizi Internet ha creato un ambiente di sviluppo di propagazione ideale per i virus; ciò che prima richiedeva una vera e propria operazione manuale (scambio di floppy), con conseguenti tempi lunghi di trasmissione e intrinseche difficoltà di contagio,legate al mezzo fisico, oggi si è trasformato in un’operazione “in tempo reale”.
Un virus particolarmente “cattivo” può fare il giro del mondo in poche ore, provocando tanti problemi al suo passaggio, probabilmente anche prima che qualcuno delle vittime si sia accorto di aver subito tali e tanti danni.
Pertanto, la parola d’ordine,è difendersi al meglio.
Molte persone immaginano un’infezione da virus come un’invasione di una macchina da parte di un programma non desiderato.Tecnicamente, invece,il termine virus si riferisce solo ad una della dozzina di categorie di programmi che, in maniera più generale, possono essere definiti codici maligni. Col nome di malicious code (altrimenti chiamato malware, pestware, vandalware, punkware o altro) viene genericamente definito un qualsiasi programma specificatamente creato per essere ospitato, per così dire senza essere invitato, su un computer ed esercitare operazioni diverse sul suo contenuto.Sotto questa forma, la definizione comprende non solo i virus ma anche una serie di programmi comunque distruttivi o dannosi, tra cui ricorderemo i cavalli di Troia e i worm.
I produttori di codice maligno coprono un’ampia casistica di personaggi, dai cracker, le cui intenzioni possono variare dal semplice divertimento fino al guadagno di accesso su informazioni riservate e importanti,a semplici ragazzi o adulti che creano pacchetti di questo tipo per invadere intenzionalmente computer altrui, o hanno una conoscenza abbastanza buona delle tecniche di programmazione per modificare un virus già esistente o per scaricarne uno da qualche sito disponibile in rete.
Gli attacchi si possono suddividere in tre categorie, da virus, da worm o da cavallo di Troia.
Questa definizione, rimasta valida per molti anni, sta perdendo ultimamente parte del suo significato, in quanto l’evoluzione dei codici ha portato alla creazione di nuovi programmi più complessi, che spesso coprono le modalità di azione dell’uno e dell’altro insieme, generando ancora maggiore confusione sul metodo di classifica e, per numerosi versi, anche sulle tecniche di difesa.
Che cosa è un virus?
E’ un programma capace di infettare un PC all’insaputa del proprietario, e da qui, adatto a replicarsi
e infettare altre macchine. Buona parte dei virus include anche un payload, vale a dire il “carico” trasportato dal virus e rappresentato da differenti azioni fastidiose o distruttive che si aggiungono all’operazione di replica.
Esistono tre tipi principali di virus, anche se poi, da questi, le successive combinazioni ed voluzioni permettono di ampliare notevolmente la famiglia delle tipologie.Sono i boot sector virus, i file virus e i macro virus.
Vediamoli da vicino.
Boot sector virus
Si tratta del tipo più datato di virus, che infetta i settori di boot di un floppy o di un disco rigido.
Per boot sector si intende quella sezione, localizzato su un’unità di massa, che contiene un codice-programma eseguito automaticamente ogni volta che il computer parte o il dischetto viene inserito. Quando un boot sector è infetto, il virus viene lanciato automaticamente con i programmi di utilizzo comune del sistema, viene caricato in memoria e replica se stesso infettando ogni dischetto successivamente inserito nel drive. Se lo stesso dischetto viene utilizzato su un’altra macchina (spesso non è neppure necessariolanciare un file) il nuovo computer diviene vittima e riprende
la stessa operazione.
File virus
Vengono talora chiamati anche virus parassiti. Essi infettano o sostituiscono file con l’estensione .EXE o .COM. Al momento del lancio dell’eseguibile il virus si replica e si inserisce in altri eseguibili, determinando poi anche alcuni effetti di payload.
Che cosa può fare un virus e
da dove arriva.
Ecco un elenco dei più comuni effetti (payload) provocati dai virus per computer:
Le fonti da cui è possibile contrarre l’infezione sono: Internet, scaricando documenti o programmi.
Come avviene l’infezione:
si avvia un computer da un dischetto o CD di sistema operativo infetto
1. Il virus infetta l’hard disk generando un nuovo settore di boot e copiando quello originale in altra porzione del disco
2. Alla partenza del computer il virus si copia in memoria assieme al sistema operativo
3. Esegue operazioni contenute nel “payload” danneggiando il computer in varie forme
4. Quando s’inserisce un floppy nel computer il boot sector virus lo infetta così da propagarsi su altri computer .
L’efficacia dei boot sector virus è strettamente legata al sistema operativo per cui è stato creato, non può quindi propagarsi tra macchine dotate di sistemi operativi diversi. L’unico modo per contrarre l’infezione è avviare la macchina da un disco (floppy e CD) infetto. È il tipo più vecchio di virus che esista, molto popolare ai tempi del DOS ha perso efficacia col diffondersi di Windows 95 e successivi.
Tramite internet:
si riceve il file di programma infetto e si esegue il programma sulla propria macchina
1. Il virus si aggiunge al file che contiene il programma
2. Il programma viene installato nell’hard disk dell’utente
3. Quando l’utente attiva il programma il virus parte per primo e si mette al lavoro
4. Infetta altri file di programma sul disco esegue operazioni dannose.
La propagazione dell’infezione dipende dallo scambio e dall’uso di programmi infetti.
Le macro sono componenti comuni in file, template, modelli usati da Microsoft Word ed Excel, ed è proprio a questi popolari programmi che sono mirati la maggior parte degli attacchi di questo tipo di agenti patogeni.Essenzialmente un macro virus non è altro che una macro contenente un set di istruzioni malicious. È creato utilizzando un linguaggio di programmazione, come Microsoft VBA, abbinato a un documento o un modello. Quando la macro si attiva ed esegue il compito per cui è stata realizzata, infetta gli elementi essenziali del sistema operativo e del programma. In questo modo si crea un ambiente di sviluppo per le successive operazioni di infezione su altre macchine (ad esempio, in Microsoft Word, l’attacco iniziale del virus è diretto al file template Normal.dot).
I worm
Un worm è un programma self-contained che combina insieme un
payload, una tecnica di replicazione, una routine di distribuzione, ma non
infetta altri file. I worm si propagano ad altre macchine attraverso connessioni
di un network, attraverso posta elettronica, IRC (Internet Relay Chat), FTP e più
in generale attraverso
Script worm
Si tratta di worm creati utilizzando un linguaggio di script come VBSScript (Visual Basic Script).Probabilmente il primo worm di questo tipo è stato BubbleBoy, comparso nel 1999 e immediatamente seguito da esemplari molto più devastanti, come VBS/LoveLetter (detto anche ILoveYou) e Anna Kour.
Nella maggior parte dei casi gli effetti dannosi riportati riguardano la sovrascrittura di file con estensioni, come .JPG,.VBS, .MP3 e così via. Molto spesso questo tipo di worm incorpora un payload aggiuntivo, che viene eseguito prima dell’apertura della rubrica di posta di Outlook o Outlook Express attraverso cui il messaggio, con il relativo allegato, viene poi ridistribuito agli altri componenti della lista.
Internet worm
Noto anche con il nome di network, loner, hacker o massmail worm, si propaga attraverso la posta elettronica ma ha l’abilità di auto attivarsi e di propagarsi attraverso bug del sistema operativo del network o attraverso buchi nella sicurezza di Internet. Il lato pericoloso della cosa è che la propagazione avviene in maniera assolutamente subdola e non richiede processi di attivazione
da parte di alcuno.
I cavalli di Troia
Il terzo degno rappresentante di cotanta famiglia sono i cavalli di Troia. Come i corrispondenti esemplari in legno, un Trojan è un programma che nasconde intenzionalmente la sua natura distruttiva, pretendendo di essere qualcos’altro, ad esempio un gioco o una utility.
Al contrario dei virus, esso non si copia su un altro file pubblicato da Network Wizard, è come se oggi rimanessero infettati almeno 50 milioni di PC nel mondo).
La maggior parte dei personal computer utilizza Windows e Microsoft Office, cosa che crea, per i virus, una diffusa e omogenea piattaforma di sviluppo e riproduzione (è praticamente impossibile, per una buona parte dei virus, trasmettersi tra sistemi operativi diversi, ad esempio tra Windows e MacOS o Linux, questo anche per il fatto che molti virus operano direttamente sui file di sistema operativo che, ovviamente, sono differenti).
La terza generazione ha dato alla luce prodotti ancora più complessi, il cui esemplare più rappresentativo è certamente SirCam, capace di funzionare come uno script ma disegnato in un linguaggio di programmazione avanzato, e per questo più robusto, flessibile, e capace di sfuggire alle tecniche di intercettazione.
Ad esempio Nimda riesce a trarre vantaggio da un bug di Internet Explorer per autolanciarsi all’interno di un messaggio di posta elettronica, anche se l’utente non apre l’attachment. In altre parole, il futuro ci riserva una terribile battaglia tra gli implementatori di virus e i produttori di antivirus.
Core Wars, il padre di tutti i virus era un gioco in cui alcuni piccoli programmi tentavano di attaccarsi l’un l’altro distruggendosi a vicenda
Come avviene l’infezione:
I backdoor
Il backdoor è un agente che modifica connessioni Internet e/o di un network aggiungendo un servizio nascosto che permette a un cracker remoto di scaricare codice sulla macchina vittima.
Uno degli esemplari più noti di questo genere di pacchetti è tHing Trojan, che si installa sotto forma di file NETLOG1.EXE e modifica i file di sistema in modo che, ogni volta che viene lanciata la macchina, lo stesso trojan possa lanciarsi. In questo caso, il backdoor invia un messaggio ICQ (I Seek You, programma di instantmessaging) al cracker remoto, e apre un gateway che permette al cracker di esplorare la macchina vittima. Remote Administration Trojans (RAT) si tratta di programmi che, oltre a funzionare come i precedenti, consentono un controllo completo della macchina remota da parte del cracker, che, praticamente, può eseguire sul PC vittima tutto quel che desidera.
Ad esempio, SubSeven avvisa il cracker remoto attraverso un messaggio di IRC (Internet Relay Chat), e gli mette a disposizione il completo accesso a più di un centinaio di opzioni riservate all’amministratore del sistema. In molti casi, con una tecnica ancora più raffinata, un cracker può utilizzare una macchina vittima per controllare attraverso di essa altre macchine, catturando password, dati personali e sensibili, e/o iniziando un attacco DoS (Denial of Service). Sebbene non così diffusi come in virus e worm, alcuni cavalli di Troia, come BackOrifice e SubSeven riappaiono periodicamente sulla rete, sfruttando alcuni canali preferenziali di trasferimento file, come Grokster e Limewire, programmi per condividere i propri file con altri utenti.
Infine, non possiamo completare la trattazione di questo argomento senza parlare degli hoax.
Un hoax non è altro che un messaggio di posta elettronica, non nocivo, contenente una richiesta di aiuto, un avviso della scoperta di un virus che nessuno riesce a fermare, la richiesta di inviare a grandi organizzazioni copie del testo contenuto nel messaggio, a fronte di un improbabile contributo da parte di queste per un’opera umanitaria o per un sostegno alla ricerca scientifica. Talvolta il processo si spinge oltre, consigliando il ricevente di rimuovere dal sistema file poco noti, dichiarati come virus, e che invece assolvono a determinate funzioni del sistema stesso.
MACRO VIRUS
Come avviene l’infezione: si apre un documento infetto (solitamente un allegato di posta elettronica 1. Il virus arriva allegato a un normale documento
2. Il documento viene caricato in memoria e la macro si mette in azione copiando il virus nel disco dove sono contenuti i file di preferenza dell’applicazione che ha aperto il documento
3. Ogni successiva volta che il word processor viene avviato, il virus entra in azione e infetta tutti i documenti che l’utente crea poi si trasferisce ad altri, infettando così anche questi ultimi
Chi fabbrica i virus?
Sono tre le categorie che distinguono i virus writer in tre diverse tipologie:
Il virus writer è definito mentalità scientifica,con volontà distruttiva e motivazioni aggressive".
Come difendersi
Per porre rimedio a tutto questo bisogna fornirsi di