Virus e antivirus, l'eterna lotta fra il bene e il male

Virus e antivirus, l'eterna lotta fra il bene e il male

Virus e antivirus, temi caldi del panorama informatico fin dagli anni 80, giunti ai giorni nostri assumendo via via sempre più importanza e causando preoccupazioni molto spesso fondate. Analisi tecnica e breve cronistoria dell'eterna lotta fra il bene e il male all'interno dei nostri PC

di pubblicato il nel canale Sicurezza
 

Virus informatici: cosa sono?

Nel 1984 il matematico Dr. Frederick Cohen introdusse il termine di virus informatico. La definizione, rivista poi da Peter Szor nel proprio libro "The art of computer virus research and defense", è la seguente:

"Un virus informatico è un programma che ricorsivamente ed esplicitamente copia una versione possibilmente evoluta di sé stesso".

Dunque, un virus informatico è semplicemente un programma, come lo è MSN messenger, come lo è Mozilla Firefox o Internet Explorer.

Fred Cohen

Un virus informatico non è altro che un'insieme di righe di codice scritte in un linguaggio di programmazione, che può variare dal semplice BATCH (files .BAT) al Visual Basic o Delphi o C/C++, senza escludere tutti gli altri linguaggi di programmazione, per esempio PERL, Java, Python, PHP e tanti altri Ma che cosa differenzia un virus da tutti gli altri programmi? Diamo ora una spiegazione della definizione di virus informatico.

Vengono utilizzati i termini "ricorsivamente" ed "esplicitamente": certamente un virus non può limitarsi ad una copia di sé stesso in un altro file ma deve potersi diffondere ciclicamente senza mai fermarsi. Inoltre l'uso del termine "esplicitamente" serve a chiarire un concetto: un virus deve avere come intenzione esplicita quella di copiarsi in altri file o di diffondersi. Il suo scopo è quello di diffondersi e deve essere chiaro.

Se un vostro software tentasse un aggiornamento da Internet e per installare la nuova versione fosse richiesto di sovrascrivere il file eseguibile, questo potrebbe essere scambiato per il comportamento di un virus - sovrascrivere o modificare il codice di un programma. Eppure non lo è.

Semplicemente il programma non ha come scopo esplicito quello di sovrascrivere tutti i files eseguibili, ma esclusivamente di aggiornare il proprio ad una versione più attuale.

Questo è il primo punto fondamentale per poter etichettare un software come "virus".

Inoltre diamo una spiegazione della frase "copia una versione possibilmente evoluta di sé stesso".

Parte del codice sorgente del worm MyDoom.A

Un virus non necessariamente deve copiare lo stesso suo codice di partenza in altri files, ma spesso alcuni virus polimorfici tendono a modificare il proprio codice in modo da avere forme differenti ma funzionalità simili. In questo paragrafo abbiamo quindi capito di cosa parliamo quando nominiamo un virus informatico, evitando così di chiedere a qualcuno che ce lo nomina se si tratti di un nuovo cibo vegetariano o una nuova invenzione delle case farmaceutiche ;)

Classificazione dei virus informatici

Vediamo ora quali sono le categorie principali in cui sono stati divisi durante questi anni i virus informatici:

VIRUS: abbiamo già espresso precedentemente la definizione di virus.

WORM: un worm è un particolare tipo di virus che non utilizza altri file da infettare per diffondersi, bensì utilizza la rete. Possono autoeseguirsi in alcuni casi, anche se spesso hanno bisogno dell'intervento dell'utente per poter iniziare il ciclo di infezione.

TROJAN: trattasi di un particolare tipo di malicious software (malware) che poco rispecchia la definizione di virus. Un trojan è un programma che, nascosto sotto le mentite spoglie di un software utile all'utente (un gioco per esempio o un crack), cela in realtà funzionalità che minano alla base la sicurezza del pc, eseguendo procedure all'insaputa degli utenti.

BACKDOOR: simile al trojan, nascondendosi a volte sotto mentite spoglie, permette, una volta eseguito nel sistema ospite, l'accesso da remoto da parte di un utente al pc infettato.

 
^