Sebbene sia spesso difficile distinguere un virus da una backdoor o un trojan horse, in questa sezione intendiamo per virus tutti quei programmi che si auto-propagano ed il cui scopo è danneggiare il sistema.
Analisi delle possibilità di attacco.
Virus
I virus
informatici sono dei semplici programmi eseguibili. Come i virus
biologici, anche i virus informatici si attaccano ad un ospite. Mentre nel
caso dei virus biologici l'ospite è rappresentato spesso dalle vie
respiratorie di un essere vivente e si diffonde nel sangue, un virus
informatico si attacca a un elemento come l'area di avvio del computer o
un file eseguibile.
La maggior parte dei virus rimangono attivi in memoria finché il computer
non viene spento. Al momento dello spegnimento il virus viene distrutto in
quanto, per la memoria Ram di lavoro si auto-cancella quando manca
alimentazione. Tuttavia, tutti i virus informatici si agganciano o
provengono da files esistenti su hard disk, pertanto, la volta successiva
che si accende il computer, il programma virale viene nuovamente attivato
e si attacca ad altri programmi. In questa maniera si moltiplicano nel
computer e fra i computers.
In altre parole, la vita del virus si svolge in questo modo: lo si riceve tramite supporti magnetici anche apparentemente vuoti o con files, email o pagine html. Il virus si avvia in vari modi in base al tipo di virus, quindi si autoinstalla in memoria come tutti i programmi che devono essere eseguiti e nel contempo si prepara su hard disk un metodo per poter ripartire alla prossima accensione anche senza la necessità dell'agente infettante primario con il quale è entrato. Le zone più usate per autoavviarsi all'avvio del computer sono Autoexec.bat, win.ini, le sezioni run, runonce, run services nella sezione Hkey_Local_Machine del registro di windows. In queste sezioni c'è il lancio del programma che rappresenta il virus, che generalmente viene messo nella cartella Windows, Windows\System, nascosto ed invisibile da Windows e da molti antivirus nella cartella Recycler (il cestino) e con nomi che assomigliano a file di sistema di Windows.
Nuovi tipi nascono al ritmo di circa 200 al mese e nel momento della stesura di questo articolo, ne esistono oltre 50.000 conosciuti.
I danni che causano sono molteplici: semplici messaggi a video, effetti speciali, malfunzionamenti simulati di periferiche, fino ad arrivare alla cancellazione dell'intero contenuto di un computer.
Le tipologie più famose sono:
Boot Sector Virus (dett anche virus di avvio)
Infetta quelle parti dei dischi (floppy, hard disk ecc.) che contengono le informazioni necessarie all'avviamento del sistema operativo. Il virus può diffondersi come viene inserito uno di questi dischi infetti, sia in input che in output, ovvero, può essere il PC infetto ad infettare il supporto rimuovibile, come può essere il supporto rimuovibile ad infettare il PC. Un modo tipico in cui un computer viene infettato nel record di avvio consiste nel riavviare il computer con un dischetto infettato inserito nell'unità. Anche se il dischetto non è un dischetto di avvio, il virus si attiva e si diffonde.
File Virus
Infetta i
programmi eseguibili. (COM, .EXE, .SYS, .DLL, .OVL, o .SCR). I programmi
più comunemente presi da questo tipo di virus sono i programmi DOS
standard che hanno le estensioni .COM e .EXE. I file di programma sono
molto allettanti per gli autori dei virus, in quanto hanno dei formati
relativamente semplici ai quali i virus possono attaccarsi.
Macro-Virus
Stanno diventando i virus più comuni grazie alla facilità con cui possono essere costruiti. Questo tipo di virus si propaga tramite le macro di Microsoft Word ed Excel. Spesso questa categoria di virus rientra nella categoria backdoor, in quanto in grado di trafugare informazioni.
In-The-Wild Virus
Virus sfuggiti al controllo ed attualmente in circolazione. Diverse centinaia di questi virus non sono ancora stati interpretati e non esistono rimedi se non quelli di massima sicurezza (vedere sezione delle soluzioni).
Multipartite Virus (detti anche multivalenti o multipartito)
Per riprodursi utilizzano tecniche miste, spesso l'infezione del record di avvio + infezione di files.
Polymorphic Virus (virus polimorfici)
Fra i peggiori tipi di virus. Cambiano "forma" ogni volta che si riproducono. Gli antivirus non possono così identificarli comparandoli con le strutture note. In questi casi l'unico rimedio consiste nella ricerca euristica e nell'uso dell'inoculazione dei files, ovvero nel controllare costantemente le variazioni improvvise dei files su hard disk; in altre parole se ne osservano solo gli effetti cercando di intervenire prima che sia troppo estesa l'infezione.
Stealth Virus
Virus che cercano attivamente di nascondersi per evitare di essere scoperti. Si difende con varie tecniche dai tentativi di analisi o rimozione nei suoi confronti.
Zoo virus
Virus ormai isolati che "vivono" nei laboratori di ricerca.
Chi naviga in Internet, chi installa spesso nuovi programmi o chi importa dati da supporti di amici, clienti o colleghi, è sicuramente un soggetto a rischio altissimo.