I VIRUS: Come si diffondono, i sintomi, come difendersi
La replicazione
L'autore di un virus informatico fa in modo che il virus sia in grado di copiare se stessa su altri programmi. Il pratica il virus è dotato della capacità di replicarsi; la replicazione può avvenire solo in un computer che esegue le istruzioni scritte dall'autore con la quali il virus copia le proprie istruzioni su altri programmi o su parti "critiche" (come il settore di avviamento) di un dischetto.
I supporti
Per diffondersi il virus informatico ha bisogno di "viaggiare" da un computer all'altro e questo può avvenire sia tramite un supporto (floppy o CD-ROM) sia attraverso una rete, (p.es. una rete locale, Internet).
Il virus informatico può infettare sia i programmi eseguibili (EXE o COM), sia dei documenti (in caso di virus di macro) sia il settore di avviamento; l'utente, ignaro, esegue il programma contenente il virus o apre il documento o (caso molto frequente) lascia il dischetto all'interno del computer e, così, all'accensione il virus (in caso di virus da boot sector - settore di avviamento) si propaga sul disco rigido (hard disk) o su altri supporti magnetici collegati al computer. In seguito quando l'utente proverà ad eseguire un programma infetto il virus verificherà se nel computer è inserito un floppy disk ed, in caso affermativo, proverà a scrivere una copia di sè stesso sul supporto.
Il programma o il documento contenete il virus può essere stato scritto su CD-ROM solo in fase di masterizzazione, cioé nella fase di scrittura. In genere le grosse aziende che distribuiscono software su CD-ROM provvedono ad effettuare tutti i controlli necessari per accertare l'eventuale presenza di virus, ma, in caso di virus ancora sconosciuti, è possibile che questo riesca a passare "non visto"; in tal caso la diffusione è garantita! Tutte le copie del CD-ROM avranno al loro interno il virus come è successo persino alla Microsoft nel 1995 che ha propagato migliaia di copie del virus "Concept" (virus di macro di Winword) sul CD "Windows 95 Business Guide" distribuiti in Inghilerra. Occorre comunque sottolineare che i casi di infezione a mezzo CD-ROM sebbene gravi e clamorosi sono alquanto sporadici.
Anche le reti locali costituiscono un elemento che può fungere da propagatore del virus, specie se queste collegano tra loro molti computer in posti diversi.
Sintomi di infezione
Per un utente non esperto è molto difficile accorgersi di aver introdotto un virus nel proprio computer prima che questo manifesti i suoi drammatici effetti, tuttavia alcune norme di carattere generale possono essere un valido punto di partenza.
Con l'avvento di sistemi operativi sempre più sofisticati diventa sempre più difficile rispondere a questa domanda, molto spesso il blocco del sistema è dovuto a cause e fattori che nulla hanno a che vedere con un virus, una errata configurazione hardware, un programma nato per un sistema operativo che mal convive con l'evoluzione di questo sistema operativo, una periferica che entra in conflitto con un'altra .
Alcuni sintomi:
L'impossibilità ad avviare il proprio computer con messaggi del tipo "missing operating system" o "impossibile trovare il command.com".
Improvvisi crash del sistema.
Una variazione nella lunghezza dei file .exe e .com è il primo sintomo del probabile ingresso di un virus nel vostro sistema.
Un anomalo decremento della memoria disponibile
Un'attività non prevista del disco rigido può ugualmente invogliare ad un esame più attento della situazione anche se utilizzando sistemi operativi che prevedono una cache software l'accensione della spia dell'hard disk non è indicativa dell'azione di un virus.
Virus e Internet
Potete stare abbastanza tranquilli; se il vostro programma di navigazione è ben fatto e non consente, quindi, ad alcun componente ricevuto da Internet di eseguire autonomamente istruzioni sul vostro computer non c'è alcun pericolo.
Ricordatevi però che il vostro programma di navigazione non è un normale programma che legge solo dei dati, ma esegue anche delle istruzioni contenute in pagine Internet (p.es. istruzioni Javascript); per questo i progettisti ed i programmatori del programma di navigazione devono prestare particolare attenzione a come vengono trattate queste istruzioni, per non consentire azioni dannose sul computer del "navigatore".
Anche i famosi cookies (biscottini) non costituiscono certo un pericolo in quanto sono stati progettati per contenere solamente dei dati che vengono memorizzati sul vostro computer e poi spediti la volta successiva che vi connettete al medesimo sito. Sono utili per memorizzare p.es. le pagine che avete già visitato o il vostro login e la vostra password per accedere ad un server che richiede la registrazione (così non dovete digitarli tutte le volte).
Virus informatici: i pericoli nella posta in Internet
La posta che vi giunge via Internet non può trasmettere in alcun modo nessun virus informatico e non lo potrà mai trasmettere a meno che il vostro programma di posta non consenta di eseguire automaticamente istruzioni (in linguaggio macro) incluse nella posta medesima senza il vostro assenso, ma a questo punto, francamente, vi consiglieremmo di cambiare programma di posta. Non dimentichiamoci che i virus, anche quelli scritti in linguaggio macro, sono sempre e saranno sempre dei programmi, un virus non può trasmettersi con i dati!
Attenzione, però, abbiamo parlato della posta e non di eventuali allegati! Il discorso in questo caso è diverso infatti ad un messaggio di posta è possibile allegare qualunque cosa, anche un programma o un documento con delle macro, eventualmente in formato compresso, contente un virus informatico. Sta comunque a Voi valutare, ogni volta, se eseguire il programma allegato o aprire il documento in tal caso, come per un programma o un documento contenuto su un floppy, potete correre il rischio di "infezione". Se il mittente della posta e da Voi sconosciuto è preferibile eliminare subito l'allegato.
Per fare un paragone è come se qualcuno vi desse un dischetto: l'etichetta del disco sul quale è scritto il suo contenuto (il vostro messaggio di posta) non potrà certo trasmettere al vostro computer alcun virus informatico, ma il contenuto del dischetto certamente si!
Pertanto è buona norma controllare i files allegati con un programma antivirus, in particolare occorre controllare i file eseguibili (p.es. EXE, COM, SYS, DLL,VBX, OCX) ed i file documenti che possono contenere anche macro (p.es. DOC, DOT, XLS, XLA); nessun rischio, invece, per i files di contenuto grafico (GIF, BMP, JPG, etc.) o musicale (WAV, MID, etc.).
Virus informatici : i pericoli nello scaricare i programmi da Internet
Anche Internet, come qualsiasi mezzo di trasmissione, può essere una fonte di diffusione di virus informatici. In particolare la possibilità di scaricare programmi da tutto il mondo può consentire una rapida diffusione di qualsiasi virus, anche appena creato.
In questo caso, però, basta seguire una semplice regola per limitare di molto i rischi:
scaricate programmi solo dai siti delle case produttrici dei medesimi o dai link che esse stesse vi propongono sul loro sito ed, eventualmente, dai siti che il vostro Internet Service Provider (il fornitore di accesso ad Internet con cui avete stipulato l'abbonamento) vi indica in una apposita pagina.
Non fatevi, quindi, tentare e ricordatevi che "grazie" ad Internet un nuovo virus prodotto negli Stati Uniti e quindi sconosciuto ai programmi antivirus, in pochi minuti potrebbe essere sul vostro computer e provocare gravi danni.
Quanto detto vale per i programmi e per i documenti (testi o tabelle che possono contenere dei virus macro), nessun rischio invece per immagini, suoni e filmati.
Come difendersi
Essere totalmente certi che un virus informatico non colpirà mai i vostri computer è impossibile, ma fare in modo che il malaugurato evento abbia poche possibilità di verificarsi e, nello "sfortunato" caso si verifichi, comprometta poco o nulla il vostro lavoro è un risultato ottenibile seguendo poche e chiare regole:
Non installate mai sul proprio computer programmi passati da amici e conoscenti specialmente su floppy disk; loro potrebbero essere in perfetta buona fede e non sapere che i dischi contengono anche virus informatici; se proprio volete farlo controllate prima i dischetti con un programma antivirus.
Disabilitate dal BIOS del proprio computer il BOOT da floppy; i virus da BOOT SECTOR (è il settore o record di avviamento del sistema operativo) sono tra i più diffusi; capita spessissimo di lasciare un floppy dentro il proprio computer ed alla riaccensione il programma di BOOT avverte "Disco non di avvio....Errore di I/O" o "Not-System disk or disk error" (o scritte simile che dipendono dalla versione e dalla lingua del sistema operativo con cui è stato formattato il floppy), ma se il settore di BOOT del floppy è infetto il virus, quando compare il messaggio, ha già copiato le proprie istruzioni sul settore di avviamento del vostro computer.
Non comprate dischi già preformattati e se riutilizzate vecchi floppy formattateli sempre con la formattazione completa o usando l'opzione /U del comando Format, da Dos.
Non prestate mai a nessuno dei floppy disk di dati e programmi che utilizzate o che potrebbero servirvi per effettuare installazioni, piuttosto fatene una copia.
Effettuate sempre il salvataggio dei dati (backup) con cadenza almeno settimanale; con i dati salvati ed i dischi programmi intatti, anche in caso di disastro non imputabile a virus (vi si rompe l'hard disk) sarete in grado di ripristinare il contenuto del vostro computer.
Effettuate una copia del settore di avviamento (boot record) e della tabella delle partizioni (partition table) del vostro hard disk usando uno dei programmi di utilità in commercio; questa copia potrebbe salvarvi dalla necessità di riformattare l'hard disk.
Gli antivirus
Principi di funzionamento degli antivirus
Se ci sono virus particolarmente sofisticati, anche gli antivirus devono essere altrettanto sofisticati. I programmi cosiddetti monitor si installano in RAM e intercettano alcuni interrupt che consentono di scoprire gli accessi sospetti alla memoria, ai dischi e ai file. In questo modo vengono individuate le azioni tipiche dei virus, come la modifica dei settori di avvio, la scrittura su file eseguibili e la residenza in memoria in genere, però, questi programmi non sono particolarmente sicuri e, se non sono utilizzati in modo corretto, tendono a procurare parecchi falsi allarmi.
Gli eventi segnalati possono essere considerati anomali, ma il monitor non può appurare se non causati da virus o da programmi normali, la verifica spetta all’utente. Quando viene rilevato un tentativo di scrittura sui settori di avvio o delle partizioni, o modifiche sospette a file eseguibili, il monitor blocca il sistema e chiede all’utente come proseguire. Alcuni antivirus possono evitare in monitor disabilitandoli, oppure aggirandoli utilizzando l’accesso diretto al sistema operativo (una tecnica chiamata tunnelling).
Programmi di scansione
Ricercano nel sistema (file, memoria e settori di avvio) le stringhe caratteristiche dei virus conosciuti.
Un programma di scansione è costituito da un motore di ricerca e da un archivio contenente le stringhe. Questa struttura permette un aggiornamento molto semplice: basta inserire la nuova stringa nell’archivio per poter rilevare il nuovo virus in un sistema infetto. Nella maggior parte dei casi, rimuovere la stringa caratteristica è sufficiente per ripristinare un sistema infetto.
Gli scanner non sono adatti alla rilevazione di virus criptati e, tanto meno, per quelli polimorfici, per i quali è necessario utilizzare tecniche di rilevazione più sofisticate. I criteri di valutazione di uno scanner sono essenzialmente due: il valore del motore di ricerca e il grado di aggiornamento dell’archivio delle stringhe di identificazione.
Programmi di ricerca euristica
Questo genere di programmi va alla ricerca di istruzioni e di funzionamenti sospetti.
Solitamente anche negli scanner si trova un algoritmo euristico, per ricercare le stringhe caratteristiche dei virus conosciuti, ma anche tentare di individuare virus sconosciuto. Generalmente, un programma di ricerca euristica esamina la funzione di ogni istruzione in relazione alle altre. I moduli che vengono ricercati da un motore di ricerca euristica sono le routine di decrittazione, le chiamate al sistema non documentate, le sequenze di istruzioni insolite o inutili, l’allocazione sospetta della memoria, la scrittura diretta sul disco e la presenza di settori di avvio e di date/orari non validi. Oltre a questo se, in un programma conosciuto come non residente, vengono rilevate stringhe che fanno pensare al suo caricamento in RAM, è probabile la presenza di un virus. Un programma di ricerca euristica può identificare molti virus sconosciuti, ma può anche generare numerosi falsi allarmi.
Programmi di decrittazione generica
Questi programmi vengono utilizzati per rilevare i virus criptati e polimorfici. Ogni file preso in esame viene caricato in una macchina virtuale, creata appositamente in RAM. In questo ambiente, isolato dal computer "reale", il virus viene messo in chiaro (ricordiamo che anche nei virus polimorfi il codice virale è crittografato, quando il file non è in esecuzione) ed esposto agli scanner, che possono così rilevare l’infezione. Il problema di questa tecnica è la lentezza. Per cercare di velocizzarne l’azione sono state aggiunte tecniche euristiche, cioè che si basano su insiemi di regole di comportamento.
Programmi di verifica dell’integrità
Questo tipo di programmi è utile per la rilevazione di virus che modificano la struttura dei file. Inizialmente definiscono il checksum dei file, cioè un numero che identifica in modo univoco la struttura dei byte che ne compongono il codice: un esempio è il CRC (Cyclic Redundancy Check). Questi valori vengono memorizzati e confrontati periodicamente con i valori correnti, causando una segnalazione da parte degli integrity checkers in caso di corrispondenza errata. E’ inoltre possibile inoculare i file eseguibili, cioè aggiungere loro un’appendice che verifichi, al momento dell’esecuzione, la loro integrità.
Questa protezione è inefficace contro i virus che non modificano l’integrità dei file, come i virus companion e anche contro i virus che cancellano gli archivi contenenti i CRC. Un’altra negatività è l’incapacità di prevenire l’infezione: possono solo segnalare quando è già avvenuta.
Nonostante alcune limitazioni e la possibilità di dover valutare falsi allarmi, gli integrity checkers sono ancora un valido aiuto contro gli agenti virali.
notizie prese da
www.rhost.it/luli/I%20Virus.htm[Modificato da total wer 14/12/2013 16:29]