ALESIGILOGO

Cosa sono i virus?

smiley-virus Un virus informatico è simile ad un virus biologico: si tratta di un piccolo programma, che contiene una sequenza di istruzioni, tali dasi auto replicarsi e sono quindi costretti ad attaccarsi ad un altro programma cioè una serie di istruzioni scritte da un programmatore ed eseguibili da un computer, che ha le seguenti caratteristiche. Dopo la fase "riproduttiva", i virus informatici iniziano a svolgere attività di varia natura: distruttive e/o di ostruzionismo; come quelli biologici, sono pericolosi per la tendenza che hanno a dare delle epidemie. Si diffondono tramite il trasferimento di files infetti da un computer ad un altro e, cosa ancor più grave, possono attaccare computers collegati fra loro in rete.
Possiamo definire un virus se non è altro un'insieme di righe di codice scritte in un linguaggio di programmazione, che può variare dal semplice BATCH (files .BAT) al Visual Basic o Delphi o C/C++, senza escludere tutti gli altri linguaggi di programmazione, per esempio PERL, Java, Python, PHP e tanti altri. Un altro grosso vantaggio di questi linguaggi è quello che consentono di intercettare facilmente le operazioni effettuate sul computer come la creazione di directory o di files, la loro copia o la loro cancellazione.

Le istruzioni impostate dal creatore di virus sono normalmente sono del tipo:
1. Nascondersi
2. Assumere il controllo del PC
3. Modificare i programmi eseguibili ecc...
4. Scritto per "inglobarsi" e cioè confondersi alle istruzioni di altri programmi modificandoli;
5. Agire dopo un tempo prestabilito, necessario per effettuare la "replicazione", il virus comincia a compiere l'azione per cui è stato scritto

Ma una domanda da dove hanno origine i virus, insomma ci sarà pure come tutte le cose un’origine. Facendo una ricerca ho trovato delle date in modo da poter risalire ad un’origine. Nel 1970 nasce Creeper. Si tratta di un virus creato da Bob Thomas diffuso nella rete ARPAnet. Il virus si presentava scrivendo a video "I'm Creeper, catch me if you can!". Negli anni 80 nasce il primo Cavallo di Troia. Un programmatore creò una versione di un famoso gioco chiamato Animal, che durante l'esecuzione si riproduceva andandosi a porre in tutti i sistemi collegati. Lo scopo del programmatore era di diffondere un nuovo metodo di distribuzione del software chiamato "Pervasive Release". Quel tipo di programma prese il nome di "cavallo di Troia" per indicare che conteneva al suo interno un agente infettivo. Nel 1983, a novembre, fu sviluppato il primo virus con fini dimostrativi, nell'ambito di una ricerca finanziata da una delle principali società costruttrici di computer ed inserita in un più generale progetto di studio della sicurezza dei sistemi informativi. L'obiettivo della ricerca era di dimostrare come le possibilità di un attacco al patrimonio informativo di un'azienda non fossero limitate a quelle tradizionalmente prese in esame negli studi sulla sicurezza fino ad allora svolti; tali studi avevano incentrato la loro attenzione sull'attacco fisico (p.es. atti terroristici), sulla conoscenza illegittima di password e su modifiche ai programmi effettuate da personale interno alle aziende. Nel 1985 in Italia nasce “Ping Pong,” un virus che simpaticamente faceva comparire sullo schermo una pallina, la quale rimbalzava producendo danni. Ping Pong proveniva dal Politecnico di Torino, nello stesso istituto universitario fu sviluppata l'utilità Devirus che individuava il codice Ping Pong e lo eliminava. Nel 1986 nasce Brain, un virus che infettava il settore di boot del floppy disk. Brain fu sviluppato in Pakistan da due fratelli, Basit e Amjad. Brain non aveva un codice dannoso, ma si limitava a riprodursi su tutti i dischetti inseriti nel lettore di un PC infetto modificandone l'etichetta con il testo "(c) Brain". Nel 1988 Robert Morris Jr. crea il primo worm della storia, sfruttando alcune falle di programmi e liste di password non sicure utilizzate da molti gestori di servizi. Dal 1989 c'è un rapido sviluppo di queste tipologie di virus ma per assistere al primo grande salto dobbiamo arrivare nel 1995, quando Concept, il primo virus veramente diffuso, introduce il concetto di macro virus, cioè virus che infettano i documenti di Microsoft Office. Nel 1990 la complessità dei virus fece un passo in avanti. Furono creati, infatti, virus definiti polimorfi. Un noto hacker “Dark Avenger”, distribuì il Mutation Engine; un programma che consentiva a tutti di creare virus polimorfi. Nel 1998 vediamo la nascita di un altro dei virus storici, Chernobyl o CIH, diventato famoso per la capacità di sovrascrivere il BIOS della scheda madre e la tabella delle partizioni dell'hard disk ogni 26 del mese. Prima del 2000 possiamo ricordare Melissa, Happy99 e BubbleBoy, il primo worm capace di sfruttare una falla di Internet Explorer e di autoeseguirsi da Outlook Express senza bisogno di aprire l'allegato. Il 2000 viene ricordato come l'anno dell'amore, con il famoso I Love You che, a catena, dà il via ad un breve periodo di script virus. Dal 2001 vediamo un incremento di worm che utilizzano falle di programmi o sistemi operativi per diffondersi senza nessun intervento dell'utente, fino a raggiungere l'apice. Dal 2003: SQL/Slammer, il più rapido worm della storia e i due worm che tanto hanno fatto parlare di sé: Blaster e Sasser.

COME SI DIFFONDONO I VIRUS
I virus si diffondono in vari modi, si possono trasmettere attraverso dei supporti (dischetti, CD ROM, dischi ZIPe penne usb) infetti, attraverso le reti di computer, e attraverso internet ma il miglior mezzo di diffusione dei Virus informatici è sicuramente la posta elettronica. Molti di noi hanno vari amici a cui scrivono email, e scrivono spesso e utilizzano Windows e Outlook, e questo programma è molto vulnerabile all'attacco di virus e alla loro propagazione (soprattutto dei cosiddetti "internet worms", virus che si diffondono per posta elettronica). Ora ci sono virus che sono in grado di "infilarsi" nei nostri computer appena questi sono collegati ad Internet, e il proliferare dei collegamenti flat e ADSL. Tipologie di virus: alcuni virus vengono denominati in maniera particolare a seconda che possiedanoo meno determinate caratteristiche:
- virus polimorfico: (è un virus che implementa una routine di mutazione, che gli permette di modificare il proprio codice -meno la routine di mutazione stessa- ad ogni nuova infezione, in modo da rendere più difficoltosa l'individuazione da parte dei software antivirus)
- virus metamorfico: (simile al virus polimorfico, è però in grado di mutare completamente il proprio codice)
- exe virus: (virus che infettano i file eseguibili .EXE)
- retrovirus: (virus che si annida nei programmi antivirus e li mette fuori uso. Il nome deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario)-

I virus possono avere sostanzialmente due scopi:
1) Danneggiamento del software residente nella macchina ospite (es: cancellazione file, danneggiamenti alla struttura software del disco rigido, degradazione delle prestazioni del sistema operativo ecc.
2)Cattura e/o diffusione di informazioni riservate (es. lettura password, lettura rubrica indirizzi posta elettronica, invio di e-mail contenenti il virus ed informazioni estratte dal calcolatore ospite agli indirizzi in rubrica.

Vediamo ora quali sono le categorie principali in cui sono stati divisi durante questi anni i virus informatici:
WORM: un worm è un particolare tipo di virus che non utilizza altri file da infettare per diffondersi, bensì utilizza la rete. Possono autoeseguirsi in alcuni casi, anche se spesso hanno bisogno dell'intervento dell'utente per poter iniziare il ciclo di infezione.
TROJAN: trattasi di un particolare tipo di malicious software (malware) che poco rispecchia la definizione di virus. Un trojan è un programma che, nascosto sotto le mentite spoglie di un software utile all'utente (un gioco per esempio o un crack), cela in realtà funzionalità che minano alla base la sicurezza del pc, eseguendo procedure all'insaputa degli utenti.
BACKDOOR: simile al trojan, nascondendosi a volte sotto mentite spoglie, permette, una volta eseguito nel sistema ospite, l'accesso da remoto da parte di un utente al pc infettato.
ROOTKIT: un insieme di applicazioni "software" che viene utilizzato da un eventuale aggressore informatico per ipotecarsi accessi successivi ad un sistema precedentemente violato-usato per entrare nei sistemi utilizzando motori come “emule” o sistemi P2P (di questo parlerò in modo più approfondito in un prossimo articolo)

COSA FARE IN CASO DI INFEZIONE
Si possono ipotizzare due situazioni:
DANNO GIA' AVVENUTO (quando ci si accorge della presenza e dei danni causati . L'unica cosa da fare, in questi casi, è ripristinare il contenuto dell'HD con i dati di un recente backup, dopo opportuna opera di disinfestazione con un’adeguato antivirus.
INFEZIONE SCOPERTA IN TEMPO (individuare il tipo di virus -utilizzando il sito della Symantec– sanare il sistema con un buon antivirus ed eventualmente formattare l’hd a basso livello.

Regole per una buona sicurezza
Un virus informatico può diffondersi rapidamente in una rete locale o in un computer senza che nessuno se ne accorga; pertanto conviene adottare delle norme di sicurezza:
1. Diminuire il più possibile i rischi di "infezione" da sorgenti interne e/o esterne.
2. Sapere come recuperare i dati e i programmi dopo un'infezione virale.
3. Effettuare CONTROLLI PERIODICI con programmi "antivirus" aggiornati
4. Mai aprire allegati che provengono da mittenti sconosciuti (Prima di aprire qualsiasi allegato alle email o qualsiasi file scaricato da Internet è buona norma passarlo ad una scansione di un antivirus.