Virus e antivirus, l'eterna lotta fra il bene e il male

Virus e antivirus, l'eterna lotta fra il bene e il male

Virus e antivirus, temi caldi del panorama informatico fin dagli anni 80, giunti ai giorni nostri assumendo via via sempre più importanza e causando preoccupazioni molto spesso fondate. Analisi tecnica e breve cronistoria dell'eterna lotta fra il bene e il male all'interno dei nostri PC

di pubblicato il nel canale Sicurezza
 

Virus, le minacce attuali

Al giorno d'oggi le maggiori minacce sono costituite dai worm, sebbene alcuni virus che utilizzano vecchie tecniche di infezione siano ancora diffusi. Di tecniche vecchio stile utilizzate dai virus per infettare i files ne esistono parecchie ma è inutile spiegarle tutte, visto che molte per i motivi più svariati non vengono più utilizzate. Alcuni virus tutt'ora in circolazione, quali il famoso Tenga.A o il più vecchio Parite.B sono virus del tipo file-infectors, o "infetattori" di files. Cosa significa "infettatori" di files?

Un file eseguibile tipico è composto all'interno da varie sezioni: un header - una sorta di presentazione del file - e le varie sezioni che contengono il codice eseguibile del programma. Un esempio di file infector può essere il vecchio virus Vienna: il virus inserisce subito dopo l'ultima sezione del file da colpire il proprio codice e modifica l'intestazione del file in modo da far eseguire il codice del virus prima e il programma subito dopo. Ecco che il file è stato dunque infettato.

Illustrazione semplificata del procedimento di infezione di un file

Esistono numerose tecniche utilizzate dai virus per infettare i files, ma per rendere l'idea il concetto esposto in questo paragrafo è più che sufficiente. Parliamo ora del pericolo dei worm. Abbiamo già definito nei paragrafi precedenti un worm, vediamo ora quali sono i metodi e i veicoli più diffusi di infezione.

Come abbiamo detto, Internet entra ormai nelle case di chiunque e, alzi la mano chi non ha almeno una casella e-mail per ricevere la posta elettronica. Ecco dunque il mezzo più veloce per raggiungere il maggior numero di persone nel minor tempo possibile.

I cosiddetti mass-mailer worms sono infatti worms che utilizzano le e-mail per diffondersi, attaccando il proprio codice infetto in forma di file allegato alla posta elettronica. Questo tipo di worm solitamente necessita dell'intervento dell'utente per iniziare il proprio ciclo di infezione, cioè aspetta che l'utente inavvertitamente lanci il file eseguibile trovato nell'e-mail.

Una volta infettato il sistema comincia a collezionare le e-mail presenti all'interno del pc e ad autoinviarsi a tutti i contatti trovati. I worm di questo tipo sono solitamente facili da individuare e da rimuovere: non fanno altro che copiare il codice infetto all'interno della directory di sistema di Windows e aggiungere una chiave al registro per autoeseguirsi all'avvio. Rimosse queste due modifiche abbiamo quasi sicuramente fermato il worm.

Vi è da dire che anche l'individuazione di worm nelle e-mail è spesso facile, basta utilizzare un po' di testa e prestare attenzione ad alcuni particolari tra i quali:

- e-mail scritta in una lingua diversa dal solito (inglese, francese, tedesco...), anche se il mittente dovrebbe essere conosciuto;

- presenza di un allegato con un nome strano o comunque dalle dimensioni non superiori ai 90/100KB;

- il file allegato è compresso o ha una doppia estensione o, nel nome, ha una lunga serie di spazi che separano il nome del file dall'estensione;

- l'estensione del file (una volta decompresso se veramente compresso) varia da exe a com, a scr, a vbs, pif.

Se uno o più di questi particolari è presente nell'e-mail che avete ricevuto, molto probabilmente si tratta di un worm. Se riuscite ad afferrare questi piccoli ma allo stesso importanti particolari avrete già ridotto in modo drastico il rischio di minacce al vostro pc.

Esiste poi un'altra categoria di worm, quelli che sfruttano dei bug di sistema per poter automaticamente diffondersi tra i computer senza intervento alcuno da parte dell'utente. Tra questi worm possiamo citare appunto Blaster e Sasser, ma anche CodeRed, Slammer e il fratello Slapper (il primo worm della storia), il worm di Morris jr e tanti altri.

Parte del codice sorgente del worm Blaster

Per questi worm l'unico rimedio è quello di tenere costantemente aggiornato il proprio sistema operativo e tutti i software installati sul pc. É chiaro che con un firewall molti attacchi di worm che sfruttano exploit per buchi nel sistema possono essere evitati a priori, visto che il tentativo viene filtrato dal firewall prima che arrivi a contatto con il sistema operativo.

Ecco spiegato perché il firewall, per questo e tanti altri motivi, risulta essere una componente fondamentale per la sicurezza del proprio pc.

 
^