A.D.F. -> virus -> informazioni generali
Autore: A. D. F.
Rev.: 05,
Data: 17 marzo 2006
In questo documento sono riassunte le principali informazioni
relative ai virus informatici; tali informazioni comprendono: i vari tipi
di virus, i metodi di propagazione, effetti delle infezioni e le precauzioni
da adottare per evitare le infezioni e i relativi danni a dati e programmi.
NOTA: le informazioni contenute in questo documento sono fornite
senza alcuna garanzia, implicita o esplicita, che siano utilizzabili o
realmente efficaci nella protezione contro i virus informatici.
I seguenti punti definiscono brevemente i virus, il loro comportamento, le modalità di diffusione e gli effetti prodotti.
I virus informatici sono programmi o comunque insiemi di istruzioni che, una volta eseguiti in un computer ospite, possono produrre uno o più effetti nocivi / dannosi, ovvero:
I virus sono creati da programmatori, di età media compresa fra i 15 e i 35 anni, che perseguono scopi non del tutto condivisibili, fra cui:
Un tipico esempio di cracker è il creatore del virus Vierika.
Negli ultimi anni è aumentato l'uso dei virus a supporto di veri e propri attacchi informatici a sistemi di sicurezza, siti web, ecc. (attacchi compiuti anche con il velato supporto della criminalità organizzata, di frange estremiste, ecc.).
Dai primi anni '80 in poi sono stati classificati oltre 10.000 virus particolarmente pericolosi; contando anche le relative varianti si arriva vicini alla stratosferica cifra di 100.000 virus.
Ogni giorno centinaia di oscuri personaggi spendono tutte le loro energie per creare nuovi virus (anche modificando quelli esistenti) e spesso, almeno una volta ogni due settimane, ne nasce uno particolarmente virulento.
Si stima che ogni anno si diffondano parecchie centinaia di nuovi virus potenzialmente pericolosi per i dati e i programmi utilizzati dalle aziende.
Fortunatamente i seguenti fattori diminuiscono di molto il numero di virus che devono essere considerati nella pratica:
Dal punto di vista tecnico esistono tre classi principali associabili al generico termine di virus informatico.
Questi insiemi di istruzioni possono infettare i file programma, i settori di avvio dei sistemi operativi, ecc. e, in genere, si attivano e si replicano solo in seguito a determinate azioni dell'ignaro utilizzatore, es. esecuzione di programmi infetti, copia di dischetti infettati, ecc.; possono essere molto pericolosi quando cancellano o modificano arbitrariamente i file utente o del sistema operativo ospite.
Questi insiemi di istruzioni, dopo essere stati attivati la prima volta (con un programma infetto o con un programma "Troiano"), si autoreplicano attraverso le reti di computer senza bisogno di interventi manuali da parte di ignari utilizzatori; di solito il loro principale effetto è quello di rallentare e, a volte, anche bloccare i sistemi operativi infettati oppure di saturare / intasare le reti di comunicazione.
Questi sono programmi definiti come maliziosi / malvagi in quanto sotto le apparenti spoglie di programmi di utilità o giochi si nascondono delle istruzioni (volutamente inserite dagli autori di tali programmi) in grado di trasmettere via Internet informazioni riservate del sistema, di attivarsi a comando per attaccare siti Internet (es. Tribal Flood [ 1 ], [ 2 ]), di fare danni al sistema dei file o di attivare a loro volta l'esecuzione di virus, vermi, ecc.; la loro pericolosità è molto elevata perchè possono agire silenziosamente nell'ombra anche per mesi o anni dato che non essendo virus non sono facilmente intercettati dai programmi anti-virus.
I virus propriamente detti si dividono poi in diverse categorie, ognuna caratterizzata da particolari effetti; le principali sono le seguenti.
Questi virus infettano i file di programma o di sistema che hanno particolari estensioni (es. per sistemi DOS / WINDOWS®):
Vedere l'apposita lista nel proprio programma anti-virus.
Questi virus infettano aree su disco riservate al B.I.O.S. o al sistema operativo (aree non occupate da file); dato che in queste aree sono registrate le istruzioni di avvio / partenza di un sistema operativo (eseguite dal boot loader, ecc.), questi virus sono riattivati automaticamente durante le operazioni di partenza di un sistema oppure durante le operazioni di lettura / copia di dati da un disco, fisso o removibile (es. dischetti 3.5", unità Iomega Zip, ecc.) all'altro.
Questi virus possono infettare qualsiasi documento o programma che contenga o possa eseguire istruzioni scritte in vari linguaggi interpretati (non compilati in formato binario), es.:
La pericolosità è connessa con l'esecuzione automatica di queste istruzioni dopo un'azione utente (apertura di un documento Word, Excel, ecc., animazioni / pre-visualizzazioni automatiche negli allegati di posta elettronica, ecc.).
Questi non sono dei veri virus, bensì dei messaggi tipo catena di S. Antonio che segnalano notizie particolari (presenza di altri virus, ecc.) da ritrasmettere urgentemente al maggior numero di persone possibile per informarle dell'oggetto in questione prima che accada qualcosa di grave o irreparabile. Tipicamente si trasmettono tramite messaggi di posta elettronica (E-MAIL) e il loro stesso moltiplicarsi provoca dei disagi (rallentamento / intasamento dei server di posta elettronica, delle reti di comunicazione, ecc.).
I virus possono essere classificati anche in base alle loro principali caratteristiche, es.:
Un virus si diffonde con il meccanismo della replicazione che si attua in uno dei seguenti modi.
Questo è il metodo classico utilizzato dalla maggioranza dei virus:
Naturalmente i sopracitati passi possono essere eseguiti nei modi più subdoli a seconda delle caratteristiche dei sistemi operativi ospiti.
Questo metodo sfrutta i punti deboli dei programmi di posta elettronica assieme alle ingenuità tipiche (causa atteggiamento rilassato, fiducioso, ecc.) commesse dall'utilizzatore medio della posta elettronica via Internet:
NOTA: attualmente questo è il metodo più usato dai virus per replicarsi.
Questo metodo sfrutta i punti deboli sia dei programmi server web (es. httpd, ftpd, ircd, ecc.) sia dei programmi client che utilizzano tali servizi (es. web browser, irc, chat, ecc.). Questo meccanismo è utilizzato da virus particolarmente aggressivi che incorporano sia parti tipiche di un worm che quelle classiche per i programmi utente; un meccanismo molto frequente è il seguente:
Un verme (worm) si diffonde quindi con il meccanismo della auto-replicazione via rete (locale o Internet), sfruttando punti deboli o bachi dei sistemi operativi interessati, senza bisogno di interventi umani (eccetto che per la prima attivazione).
Premesso che per definizione non esistono virus innocui, si possono elencare i seguenti effetti:
Gli eventuali danni apportati al sistema dei file possono essere:
I sistemi operativi più colpiti sono in genere quelli più diffusi e/o quelli sui quali si concentra l'attenzione dei media (stampa, ecc.), ovvero, in ordine decrescente:
All'interno di ciascun sistema operativo ci possono essere delle categorie di applicazioni che possono essere prese di mira perché hanno dei bachi nella sicurezza o semplicemente perché sono molto popolari / diffuse, es.:
Un'azienda, che è dotata di una rete di PC, che comunica con l'esterno via Internet e che scambia dati tramite vari tipi di supporti removibili, non può raggiungere un grado di protezione contro i virus del 100%; tuttavia, applicando costantemente le seguenti semplici regole e utilizzando gli strumenti giusti, è possibile avvicinare moltissimo la massima sicurezza.
La norma generale è la seguente:
non accettare caramelle dagli sconosciuti e, possibilmente, anche dai conosciuti senza averne rigorosamente controllato il contenuto.
Tradotto in termini pratici e comprensibili significa:
Usare sempre un programma anti-virus aggiornato (es. con aggiornamento automatico giornaliero via Internet).
Mantenere sempre attivo il programma anti-virus, specialmente se non si è attenti al contesto in cui si opera, anche se, in teoria, dovrebbe essere sufficiente attivarlo solo quando si scambiano dati / file con l'esterno, es.:
Si noti che i programmi anti-virus sempre attivi occupano una discreta quantità di memoria (RAM) e rallentano considerevolmente (fino al 50% e oltre) il funzionamento dei computer quando si leggono o si scrivono dati sui dischi del sistema.
Abilitare la massima protezione nel programma anti-virus , in modo che controlli automaticamente anche i messaggi di posta elettronica (file allegati compresi) trasmessi o ricevuti.
Abilitare livelli di protezione elevati nei programmi di posta elettronica, di navigazione Web, ecc., in modo che eventuali virus, programmi troiani, siti web untori (in grado di trasmettere virus con la sola visualizzazione di una pagina Web contenente script-virus, ecc.) non trovino le porte aperte.
Aggiornare periodicamente il software soggetto a bachi nella sicurezza (sistema operativo, servizi di rete, programmi di posta, di navigazione e altri ancora). In particolare si raccomanda, agli utilizzatori di sistemi Windows® a 32 bit (es. 95, 98, ME, NT, 2000, XP, 2003 e successivi), di mantenere impostazioni sicure (aggiornamenti automatici attivi, ecc.) o, con i sistemi più vecchi, di attivare periodicamente (1 - 2 volte alla settimana) il comando di Windows Update attivabile dal menu Avvio / Start oppure dal programma Internet Explorer -> Strumenti -> Windows Update (scegliendo poi le voci Aggiornamento prodotti -> Aggiornamenti critici o sulla Sicurezza).
Controllare periodicamente tutti i file presenti nei dischi rigidi del proprio PC.
Mettere in quarantena i file di provenienza esterna, ovvero isolare in un direttorio dedicato i file, eseguibili e non, di cui non si è sicuri e ricontrollarli periodicamente con l'anti-virus aggiornato.
Adottare delle convenzioni nello scambio di file con soggetti esterni, ovvero:
A questo proposito si ricorda l'esistenza di appositi certificati di validità associati agli oggetti (applet, aggiornamenti software, ecc.) distribuiti via Internet.
Nei sistemi windows, controllare i collegamenti e le icone, ovvero assicurarsi che non cambino arbitrariamente dopo accessi esterni a Internet o altro.
Proteggere i PC dagli accessi esterni, ovvero non consentire a chiunque di accedere facilmente alle risorse del PC; i metodi sono:
Mantenere aggiornata la descrizione delle protezioni adottate in luoghi a loro volta protetti (non nello stesso PC).
Non fidarsi ciecamente del programma anti-virus in quanto:
In caso di dubbi è meglio essere prudenti, affidarsi al buon senso, cercare notizie aggiornate su Internet e, come ultima risorsa, chiedere conferme a conoscenti esperti o manutentori di sistema.
Con riferimento ai sistemi Windows® a 32 bit (Windows 95, 98, ME, NT, 2000, XP, 2003, ecc.) si consigliano le seguenti impostazioni.
Queste impostazioni evitano che un file virus riesca a mascherarsi utilizzando doppie o triple estensioni, es. per una finta immagine JPEG che in realtà è un file script in linguaggio visual basic:
file.jpg.vbs
Come fare
Le impostazioni standard degli anti-virus recenti (es. Norton AntiVirus 2001, 2002, ecc.) sono già sicure; eventualmente controllare che:
Le versioni più recenti dei programmi di posta (es. Outlook 2000 e successivi) hanno impostazioni quasi sicure, tuttavia è opportuno controllare che:
NOTA: per la massima sicurezza si consiglia comunque di evitare l'utilizzo di programmi (tipo Outlook) che siano troppo diffusi o che abbiano troppi meccanismi automatici (animazione immagini, attivazione script, ecc.) non perfettamente controllati / controllabili dall'utilizzatore.
Sono state delineate le seguenti mini-procedure di sicurezza.
Nell'inviare messaggi di posta si corrono i seguenti rischi:
Fornire informazioni ridondanti circa gli allegati
L'obiettivo è quindi quello di inviare sempre e comunque le seguenti informazioni inserite alla fine del testo principale del messaggio:
Se non ci sono file allegati, si precisa: N. 0 file allegati.
Esempio:
Ci sono N. 3 file allegati al presente messaggio: Nome file N. byte Descrizione breve --------------------- ---------- ----------------- 1) Relazione01.rtf 256.450 Prima parte relazione sul viaggio 2) CubaTour.pdf 1.052.300 Informazioni turistiche su Cuba 3) HowTo-Photo.pdf 879.560 Accorgimenti e tecniche per fotografare
Si noti che queste informazioni sono volutamente ridondanti dato che dovrebbero coincidere con quelle fornite dai programmi di posta con l'opzione proprietà relative al messaggio o ai file allegati.
Comprimere in archivi ZIP i file allegati
Comprimere i file allegati in un unico archivio *.zip con i programmi pkzip (DOS), WinZip (Windows) oppure zip (Unix / Linux), apporta i seguenti vantaggi:
Ovviamente resta la possibilità che un virus sia tanto intelligente da decomprimere un file archivio, inserire le sue modifiche e poi ricomprimere l'archivio; per questo dovrebbe essere mantenuta la sopracitata lista di descrizione file allegati.
Inviare i documenti in formati sicuri e portabili
Dato che nei file di Word, Excel, PowerPoint si possono annidare virus di macro, è opportuno, almeno per i documenti di testo Word (*.doc), usare i seguenti formati alternativi:
La ricezione della posta elettronica richiede ovviamente qualche precauzione in più rispetto alla spedizione.
Attivare l'anti-virus
Prima di ricevere nuova posta elettronica è opportuno attivare il programma anti-virus in modo che questo cerchi di intercettare eventuali file infetti (l'anti-virus esamina anche i file compressi in archivi ZIP).
Non visualizzare, né eseguire eventuali file allegati
Se ci sono file allegati procedere come segue.
In considerazione dei notevoli danni che alcuni virus possono provocare, molte nazioni hanno emesso apposite leggi per contenere il fenomeno dei virus e sanzionare i colpevoli in caso di danni verso terzi.
La legge punisce coloro che diffondono virus informatici.
La legge n. 547 del 23 dicembre 1993, in linea con le direttive comunitarie, ha modificato il codice penale ed il codice di procedura penale introducendo nuovi articoli in tema di reati informatici.
In particolare l'art. 635 quinquies del codice penale ("Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico"), aggiunto dalla citata legge, recita:
"Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione totale o parziale del suo funzionamento, è punito con la reclusione fino a due anni e con la multa sino a lire venti milioni."
La norma penale è mirata a chi diffonde virus informatici in modo doloso, ovvero con la consapevolezza di farlo e con la consapevolezza di poter creare dei danni; tuttavia non si possono escludere a priori estensioni interpretative che comprendano i seguenti casi:
In caso di diffusione colposa troverà applicazione l'art. 2043 del codice civile che prevede "Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno", e quindi coloro che con dolo o colpevolmente diffondono virus informatici, sono tenuti al risarcimento del danno che si prescrive in 5 anni (art. 2947 cod. civ.).
Prima dell'entrata in vigore della legge 547/93, secondo parte della dottrina e della giurisprudenza, al fenomeno dei virus informatici era applicabile l'art. 635 ("Danneggiamento") del codice penale.
I rischi di infezione da virus per un'azienda possono diventare molto elevati nel momento in cui uno o più utilizzatori di PC aziendali deroga dalle norme di prudenza e buon senso parzialmente sopra elencate.
I danni diretti che i virus possono provocare sono:
I danni indiretti che i virus possono provocare sono:
Nel seguito sono elencate alcune risorse in rete (Internet) relative ai virus informatici. Per le notizie di base si consiglia di consultare anche l'aiuto in linea del proprio programma anti-virus.
Notizie italiane di virus in rete.
Articoli di esempio su alcuni virus diffusi fra la fine 2000 e l'inizio 2001.
Pagine web introduttive / generiche in lingua italiana.
Risorse in lingua inglese.
Questo documento è stato creato / aggiornato nelle seguenti date.
Aggiornamento collegamenti (link) interrotti:
Aggiornamento collegamenti (link) interrotti:
Migliorate alcune descrizioni (es. DDoS, allegati ZIP, ecc.).
Aggiornamento collegamenti (link) interrotti:
Differenziati acronimi DoS e DOS con relative spiegazioni.
Aggiornamento collegamenti (link) interrotti:
Correzioni e modifiche varie:
Controllata correttezza formale sintassi HTML.
Creazione documento.