Panoramica

Quando si parla di virus, worm e trojan, si intende generalmente un aspetto dannoso del software. Il termine generico usato anche in Italiano è malware (composto da malicious = maligno/dannoso e software). Con malware si intendono i programmi in grado di rendere inaccessibili, modificare, eliminare o rendere accessibili i dati elettronici per scopi fraudolenti. Il malware possiede sempre una funzione dannosa (inglese: Payload) e può provocare vari effetti, da un'innocua dimostrazione della propria presenza, allo spionaggio dei dati personali, fino alla cancellazione del disco rigido. Il malware può essere diviso in tre gruppi: trojan, worm e virus. Gli spyware e i dialer O190 vengono considerati trojan. In senso esteso, si possono includere anche gli hoax.

Trojan

I trojan, spesso definiti erroneamente anche troiani, si differenziano da worm e virus per il fatto che non possono riprodursi autonomamente. Il trojan deve il suo nome alle affinità con il cavallo ideato da Ulisse e si presenta all'utente come un programma avente una funzione ben precisa e determinata. In aggiunta a questa funzione, però, i trojan hanno anche una parte di programma nascosta che apre una via di accesso all'interno del computer infettato, rendendolo totalmente vulnerabile senza che l'utente neanche se ne accorga.
I metodi utilizzati dai trojan per nascondersi sono praticamente infiniti. Possono nascondersi nei comandi della riga di comando per gli amministratori di sistemi UNIX come passwd, ps, netstat (semplici rootkit) o come "Remote Access Trojan" (troiani di accesso remoto, i cosiddetti RAT, definiti anche backdoor). Questi programmi dannosi vengono spediti come salvaschermo o giochi tramite e-mail. Basta un unico avvio per scatenare l'azione dannosa del trojan sul sistema.

Affinità tra virus e worm

I virus e i worm sono composti dai seguenti elementi:

Elemento di riproduzione	Questa parte di programma consente di eseguire la moltiplicazione del virus. Questa parte è obbligatoria per tutti i virus e i worm. L'infezione può essere trasmessa tramite dischetti (ed altri supporti dati esterni), cartelle condivise, scansioni di rete, reti Peer-to-Peer o messaggi di posta e messaggistica istantanea. I parassiti utilizzano a tal scopo diversi punti di attacco che funzionano parzialmente solo con determinate combinazioni di hardware, software e sistemi operativi.
Elemento di identificazione	Nell'elemento di identificazione il sistema verifica se è presente un'infezione provocata da questo virus. Ciascun programma ospite viene infettato una volta sola in modo da velocizzare la propagazione e rimanere nascosto.
Elemento distruttivo	Le funzioni dannose (inglese: Payload) associate a un virus o a un worm possono essere raggruppate come segue: I programmi backdoor permettono all'hacker di accedere al computer e ai dati per manipolarli o avviare un attacco Denial of Service. Le manipolazioni dei dati possono comportare messaggi, avvisi ed effetti sonori (più o meno divertenti) fino ad arrivare all'eliminazione di dati e unità. Per impedire l'accesso ai dati è possibile, ad esempio, adottare la crittografia. Le informazioni vengono talvolta spiate e inviate. Obiettivo di questi attacchi sono le password, le carte di credito, i dati di accesso, i dati personali e i segreti aziendali. Spesso i computer infetti vengono utilizzati per sferrare attacchi Denial of Service (DoS). Gli attacchi DoS hanno come obbiettivo quello di sovraccaricare un servizio o un sito web con frequenti richieste. È possibile difendersi facilmente se gli attacchi provengono esclusivamente da una fonte. Negli attacchi Distributed Denial of Service (DDoS) si utilizzano quindi i computer già infetti affinché servano da supporto. Gli attacchi DoS e DDoS mirano a spegnere il sistema di destinazione, a sovraccaricare la banda larga e la memoria oppure a nascondere il servizio in rete. Ma è anche possibile che un codice dannoso esplicito non sia presente. Tuttavia, uno spreco del tempo di calcolo, la larghezza di banda della rete necessaria e un aumento dello spazio sul disco rappresentano senza dubbio un payload.
Elemento condizionale	Sia la diffusione che la funzione dannosa possono essere programmate in modo da dipendere da condizioni specifiche. Nel caso più semplice, il codice nocivo viene avviato automaticamente senza che la vittima noti qualcosa. In alcuni casi, il payload deve essere avviato dallo stesso utente. Questo può avvenire avviando un programma infetto, aprendo l'allegato di una e-mail sino al phishing di dati personali. L'avvio del codice nocivo può anche essere collegato a determinate condizioni. Ad esempio, il codice nocivo di alcuni virus si attiva in date specifiche oppure dopo un certo numero di avvii. L'esecuzione può anche dipendere dal fatto che siano presenti sul computer determinati programmi.
Elemento di mimetizzazione	Worm, trojan e virus tentano di nascondersi dagli utenti e dagli antivirus. A tal fine utilizzano una serie di meccanismi. Sono in grado di riconoscere quando è in esecuzione un debugger oppure si proteggono mediante codici (assembler) superflui e confusi. Questi nascondono le tracce di un'infezione. Falsificano inoltre l'output dei messaggi di stato oppure le voci di registro. Un virus residente nella memoria può, ad esempio, far credere al sistema che la memoria che occupa derivi ancora dal programma precedentemente rimosso. Questo metodo è utilizzato in particolare dai rootkit. Per non essere scoperti alcuni virus decodificano se stessi e/o il loro codice dannoso. Per la decodifica è possibile utilizzare sempre gli stessi codici, i codici possono essere stati prelevati da un elenco (oligomorfo) oppure possono essere creati illimitatamente (poliformo). Nei runtime packer i file eseguibili vengono talmente destrutturati che possono essere rilevati soltanto ricorrendo a nuovi database antivirus.

Worm

Al contrario dei virus, un worm non si lega ai file eseguibili. Si diffonde trasferendosi ad altri computer attraverso le reti o le connessioni dei PC.

Worm di rete

I worm analizzano sulle reti alcune porte di computer scelti a caso e, se un attacco è possibile, utilizzano i punti deboli dei protocolli (es. IIS) o la relativa implementazione per diffondersi. I worm conosciuti di questo tipo sono "Lovesan/Blaser" e "CodeRed".
Sasser utilizza un errore di overflow del buffer nel servizio Local Security Authority Subsystem Service (LSASS) e infetta i computer durante la connessione a Internet.

Worm di e-mail

Nella diffusione per e-mail, il worm è in grado di utilizzare i programmi di posta esistenti, come Outlook o Outlook Express, o un proprio motore di posta SMTP. A prescindere dal traffico di rete presente e dalle risorse del sistema elevate, i worm possono contenere funzioni ancora più dannose. Esempi rappresentativi di questo tipo di worm sono Beagle e Sober.

Worm di Peer-to-Peer

I worm di P2P copiano se stessi nelle condivisioni Peer-to-Peer di siti di scambio come Emule, Kazaa ecc. Qui attendono le proprie vittime con nomi allettanti di software recenti o di persone famose.

Worm di Instant Messaging

I worm di messaggistica istantanea si diffondono utilizzando i programmi per chat. Per il trasferimento dei file non utilizzano solo le funzioni. Sempre più di frequente inviano un link a una pagina Web dannosa. Alcuni worm di messaggistica istantanea sono perfino in grado di chattare con le potenziali vittime.

Virus

Anche i virus tendono a riprodursi e ad espandersi su altri computer. A tal scopo si agganciano ad altri file oppure si annidano nel settore di avvio dei supporti dati. Si infiltrano sul PC, spesso in modo inosservato, da supporti di dati esterni (ad es. dischetti), tramite le reti (anche Peer-to-Peer), per e-mail o da Internet.

I virus si possono collocare in molti punti del sistema operativo ed agire attraverso i canali più disparati. Si distinguono i seguenti gruppi:

Virus del settore di avvio

I virus del settore di avvio o virus MBR (= Master Boot Record) si annidano prima dell'effettivo settore di avvio di un supporto dati e fanno in modo che, durante l'avvio di tale supporto, il sistema legga dapprima il codice del virus e successivamente il settore di avvio originale. In questo modo il virus può insinuarsi inosservato nel sistema ed essere eseguito dal disco rigido anche durante l'avvio. Spesso il codice del virus resta nella memoria anche dopo l'infezione. Simili virus sono definiti residenti in memoria. Durante la formattazione dei dischetti il virus viene quindi trasferito, diffondendosi così anche su altri computer. Il virus del settore di avvio può attivarsi non solo nei processi di formattazione. Il comando DOS DIR, ad esempio, può avviare la trasmissione del virus da un dischetto infetto. A seconda della routine dannosa, i virus del settore di avvio possono essere altamente pericolosi o semplicemente fastidiosi. Il virus di questo tipo più vecchio e più diffuso porta il nome di "Form".

Virus dei file

Molti virus sfruttano la possibilità di nascondersi nei file eseguibili. A tal fine il file ospite può essere cancellato/ sovrascritto oppure il virus si allega al file. Nell'ultimo caso il codice eseguibile del file continua a funzionare. Quando si richiama il file eseguibile, il sistema esegue dapprima il codice del virus, scritto solitamente in assembler, e successivamente avvia il programma originario (se non è stato cancellato).

Virus multipartita

Questo gruppo di virus è particolarmente pericoloso poiché infetta sia il settore di avvio (o la tabella di partizione) che i file eseguibili.

Virus Companion

I file COM in DOS vengono eseguiti da file EXE omonimi. Nei tempi in cui i computer erano controllati solo o spesso dai comandi delle righe di comando, era un meccanismo efficace per eseguire in modo inosservato il codice dannoso su un computer.

Macrovirus

Anche i macrovirus si agganciano ai file. Questi tuttavia non sono autoeseguibili. I macrovirus non sono neanche scritti in assembler, ma in un linguaggio macro come Visual Basic. Per poter eseguire i virus è necessario un interprete di un linguaggio macro, come si trova integrato in Word, Excel, Access e PowerPoint. Altrimenti i macrovirus possono agire con gli stessi meccanismi dei virus dei file. Anche questi possono nascondersi ed infettare il settore di avvio oppure creare virus Companion.

Virus stealth e rootkit

I virus stealth o virus invisibili utilizzano speciali meccanismi di protezione per sottrarsi al rilevamento da parte dei programmi antivirus. A questo scopo, assumono il controllo tramite diverse funzioni del sistema. Una volta creato questo stato, i virus non possono più essere rilevati durante il normale accesso a file o aree del sistema. Ingannano il programma antivirus presentando il file infetto in uno stato non infetto o rendono il file invisibile al programma di protezione antivirus. I meccanismi di mimetizzazione dei virus stealth agiscono solo dopo che il virus risiede nella memoria di lavoro.

Virus polimorfi

i virus polimorfi contengono dei meccanismi che consentono di modificare il proprio aspetto ad ogni infezione. Parti del virus vengono decodificate a tale scopo. La routine di decodifica integrata nel virus genera un nuovo codice per ogni copia e in parte anche nuove routine di codifica. Inoltre è possibile scambiare o distribuire in modo casuale le sequenze dei comandi che non sono necessarie per il funzionamento del virus. In questo modo si possono creare miliardi di varianti di un unico virus. Per poter eliminare e riconoscere con certezza i virus decodificati ed i virus polimorfi, spesso non è sufficiente l'impiego dei classici database antivirus, ma sono necessari programmi speciali. Le attività per l'analisi e la creazione di contromisure adatte possono richiedere risorse notevoli. Pertanto, senza esagerare, i virus polimorfi possono essere considerati la classe regina tra i virus.

Intended Virus

Per Intended Virus si indica un virus parzialmente difettoso che infetta un file ma che è incapace di riprodursi.

Virus di e-mail

I virus per e-mail fanno parte del cosiddetto gruppo "blended threat" (= minaccia mista). Un simile malware combina le caratteristiche dei trojan, dei worm e dei virus. Con la comparsa del virus Bubbleboy, è stata rilevata la possibilità di trasmettere un virus sul PC già attraverso la visione in anteprima di un messaggio HTML. Il pericoloso codice del virus si nasconde nei messaggi in formato HTML e sfrutta la falla di sicurezza di Microsoft Internet Explorer. Il pericolo di questi "virus combinati" non deve essere sottovalutato.

Trojan

I trojan non possiedono proprie routine di diffusione. Vengono inviati per e-mail o si nascondono nei siti di scambio o nelle pagine Web. Vengono classificati in base alla rispettiva funzione dannosa.

Backdoor

I backdoor aprono una porta secondaria sui computer infetti. In questo modo un aggressore è in grado di controllare il computer in modalità remota. Generalmente può installare ulteriori software e il computer viene integrato in una rete Bot insieme ad altri PC zombie. Esistono tuttavia alcuni legittimi meccanismi di protezione. Molti amministratori di sistema utilizzano i programmi di controllo remoto per gestire i computer dalla propria sede attuale. Simili programmi risultano molto utili per le grandi aziende. Solitamente l'intervento dell'amministratore del sistema si svolge con la consapevolezza ed il consenso dell'utente del PC. Un programma backdoor si trasforma in malware solo quando queste funzioni sono impiegate all'insaputa dell'utente del PC, svolgendo azioni dannose.

Adware

L'adware registra le attività ed i processi eseguiti su un PC, ad esempio il comportamento durante la navigazione. In presenza di un'occasione idonea, vengono visualizzati messaggi pubblicitari oppure vengono manipolati i risultati delle ricerche.

Spyware

Lo spyware serve per rubare i dati: password, documenti e dati, numeri di registrazione dei programmi software, indirizzi e-mail e molto altro ancora. I dati vengono sia cercati sui supporti di dati sia estrapolati dal traffico in rete. Vengono raccolte anche le informazioni immesse nei moduli Web, in particolare quelli delle banche online. Nel caso peggiore gli aggressori hanno accesso a tutti gli account di posta elettronica, forum, negozi online utilizzati dalla vittima. I criminali online usano volentieri questo tipo di mimetizzazione.

Downloader e dropper

Molti trojan hanno un compito specifico. I downloader e i dropper hanno il compito di caricare o di copiare un file sul computer infetto. Spesso, prima cercano di ridurre le impostazioni di sicurezza del sistema.

Dialer

I dialer vengono spesso installati sul computer in modo del tutto inosservato. Non appena viene instaurata la connessione remota tramite modem, al collegamento successivo viene utilizzato un numero 0900 o un numero simile, con costi elevati. Con la "Legge per la lotta all'abuso dei numeri telefonici a pagamento (0)190/(0)900" dal 15 agosto 2003 sono entrati in vigore alcuni obblighi (limiti massimi dei prezzi, registrazione). Tuttavia, i dialer continuano ad essere una piaga sgradevole e possono causare notevoli danni economici. Alcuni programmi antidialer, come Dialer Control, permettono di proteggersi dai dialer indesiderati. Per saperne di più sulla protezione contro i dialer, consultare il sito www.dialerschutz.de.

Approfondimenti sui malware

Per completezza desideriamo citare alcune altre categorie sgradevoli e in parte dannose che non rientrano nel gruppo dei malware.

Hoax

Gli hoax sono false segnalazioni che spesso si diffondono per e-mail. I destinatari vengono invitati a inoltrare l'avviso ad amici e conoscenti. Spesso si tratta tuttavia solo di messaggi per diffondere il panico. Per saperne di più...

Spam

Una piaga altrettanto costosa e sgradevole è l'invio di messaggi pubblicitari o di propaganda indesiderati. I moderni programmi antispam combinano processi statici (analisi del testo, liste dei server di posta) ed automatici (sulla base del teorema di Bayes) per filtrare la posta indesiderata.

Phishing

Con phishing si definisce il tentativo di ottenere dati personali, come dati di accesso, password, numeri della carta di credito, dati di accesso alla banca ecc. tramite pagine Web o e-mail falsificate. Spesso l'utente viene rimandato a pagine Web contraffatte. Negli ultimi anni questo fenomeno è cresciuto notevolmente. Trojan specializzati provocano attualmente miliardi di danni. Per saperne di più, consultare il sito Web www.antiphishing.org (in lingua inglese).