Virus CLASSICI
Nel 1983 Fred Cohen crea un programma le cui caratteristiche sono del tutto simili ad un virus biologico: un software in grado di infettare altri programmi in modo tale da includevi una copia di se stesso. Ogni programma infettato si comporta a sua volta da vettore infettivo contribuendo a propagare l'infezione ad altri programmi.
Come in natura i virus modificano il DNA della cellula ospite in modo da crearvi una propria copia, allo stesso modo il virus informatico si lega al codice di un programma ospite; il virus biologico non sopravvive senza la cellula e il virus informatico senza un programma; entrambi i tipi di virus sono costretti a riprodursi per aumentare le possibilità di sopravvivenza ed entrambi possono aspettare un periodo relativamente lungo prima di manifestarsi (tempo di incubazione); un virus non infetta due volte lo stesso vettore sia nel caso biologico che in quello software; un virus biologico può subire mutazioni per rendersi immune a precedenti terapie, allo stesso modo un virus informatico può modificarsi per rendersi irriconoscibile rispetto alla generazione precedente.
Ma un virus informatico non si diffonde MAI senza un'azione umana
Alcuni virus sono programmati per recare danni al computer alterando i programmi, eliminando file o riformattando il disco rigido. Altri non sono dannosi in sé, ma si limitano a replicarsi e a segnalare la propria presenza con messaggi di testo, video e audio. Tuttavia, anche questi virus benigni possono creare problemi all'utente, impegnando risorse di memoria utilizzate dai programmi legittimi e provocando di conseguenza un comportamento anomalo del computer e blocchi del sistema. Inoltre, molti virus contengono errori di programmazione che possono condurre a blocchi del sistema e perdite di dati

Si distinguono 3 tipologie di virus classici:

* Virus che infettano i file: infettano normalmente i file ad estensione .com e .exe. Possono propagarsi ad altri file quando un programma infetto viene eseguito
* Virus del settore di avvio: infettano l'area di avvio dei dischi floppy e dei dischi rigidi che contiene il codice che viene eseguito all'avvio del computer e si attivano quando l'utente tenta l'avvio.
* Virus delle macro: infettano i file di dati. Si tratta dei virus più comuni, che hanno causato le perdite più ingenti di tempo e denaro. Colpiscono i file di Word, Excel, PowerPoint e Access di Microsoft Office. Ultimamente ne sono stati segnalati nuovi tipi che colpiscono anche altri programmi. Tutti questi virus si servono del linguaggio di programmazione interno di un altro programma, inizialmente creato per consentire agli utenti di automatizzare alcune operazioni del programma stesso. Grazie alla facilità con la quale è possibile creare questi virus ne esistono ora migliaia in circolazione.

WORM (Verme)
Come i virus, sono realizzati per riprodursi da un computer all'altro ma, a differenza dei virus, questa operazione avviene automaticamente, senza che gli utenti debbano scaricare o eseguire alcunchè.
Una volta presente nel sistema, il worm assume il controllo delle funzioni del computer destinate al trasporto dei file o delle informazioni; il worm è in grado di viaggiare autonomamente e di riprodursi in numero sempre maggiore.
Ad esempio, un worm può inviare copie di se stesso a tutti i contatti presenti in una rubrica di posta elettronica, facendo lo stesso in tutti i computer a cui riesce ad accedere. Quando vengono rilasciati nuovi worm, la loro diffusione avviene in modo estremamente rapido. Intasano la rete e sono la causa, ad esempio, di lunghe attese per l'apertura delle pagine Web in Internet.

Virus
si riproduce infettando i file
Worm
si riproduce infettando il computer

Virus
usa come veicolo di trasmissione i file (exe, script, macro)
Worm
usa come veicolo di trasmissione le reti e i sistemi di comunicazione elettronica

Virus
si infiltra, come ospite, all'intero del codice di programmi e file eseguibili
Worm
si infiltra come componente del sistema operativo

Virus
Necessita di interazione umana nella propagazione (è l'utente che copia i file infetti o li trasmette)
Worm
si propaga in maniera autonoma e incontrollata, intasando le reti

Virus
Può essere individuato e rimosso da un antivirus
Worm
L'antivirus da solo non riesce a fermarlo (servono altri software specifici)

TROJAN HORSE (Cavallo di Troia)
Un trojan è un programma apparentemente innocuo ma che contiene funzionalità nascoste molto pericolose (note solo a chi lo ha ideato). In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima è indotta a far entrare (installare) il programma nel proprio computer, credendo di installare un software innocuo. I trojan non si diffondono autonomamente come i worm, quindi richiedono un intervento diretto: è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che spesso sono inseriti ad esempio nei videogiochi piratati. Un trojan può contenere qualsiasi tipo di istruzione maliziosa. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor sui sistemi bersaglio.

BACKDOOR
Le backdoor permettono al nostro computer di "aprirsi" e quindi di far prendere possesso della nostra macchina a chiunque.
Esse sfruttano i malfunzionamenti costruttivi di Windows, permettendo l’accesso al pc tramite le ormai famose porte UDP che questo sistema operativo lascia aperto.

HOAX (Bufale)
i virus bufala arrivano per email da persone conosciute con un testo che ci mette in guardia sul diffondersi di un pericolosissimo virus di cui nessun antivirus riesce a rilevare la presenza oppure ci invitano a verificare l'esistenza nel nostro sistema di un particolare file che risulterebbe infetto convincendoci ad eliminarlo. In altri casi il contenuto di queste email è puramente sociale e non ha nessun riferimento tecnologico. Ovviamente nessuna delle affermazioni è vera. Normalmente non sono considerati virus, in realtà presentano tutte le caratteristiche dei virus classici:
Si replicano: per replicarsi contano su buone intenzioni e ingenuità, entrambe caratteristiche umane. L'utente che riceve un simile messaggio tenderà infatti ad inoltrare il messaggio a tutti i contatti presenti nella sua rubrica spinto ad essere d'aiuto al prossimo. In questo modo la bufala si diffonde a macchia d'olio. L'ingenuità porta invece l'utente a non essere critico nei suoi confronti e a non verificarene l'autenticità del contenuto.
Si nascondono: per far sembrare il messaggio più credibile si usa un linguaggio pseudotecnico comprensibile all'utente medio. In genere si informa l'utente che società informatiche molto note del calibro di IBM o Microsoft ne hanno verificato l'esistenza e confermato la pericolosità. In altri casi si fa leva sulla pura compassione.
Danneggiano: questo non viene percepito dalla maggior parte delle persone ma il suo effetto può essere importante. Il danno è costituito dallo spreco di tempo e soprattutto di banda, molto costosa, dovuta alla massiccia diffusione di questo genere di email. Da non dimenticare inoltre l'inutile paura che tale genere di messaggi contribuisce a diffondere. La cosa interessante da notare è che nessun antivirus sarà mai in grado di rilevare questo genere di virus.

Alcuni sintomi di un attacco:
- antivirus disattivato
- finestre che si aprono da sole
- siti che compaiono da soli
- barre degli strumenti che nascono dal nulla
- email che partono da sole
- perdita improvvisa di dati
- alterazione di file
- computer lentissimo
- traffico anomalo sulla connessione internet
- errori inspiegabili
- riavvio spontaneo
- programmi che non funzionano
- internet lenta
- spazio su disco esaurito

i recenti worm informatici presentano comportamenti simili che possono poi aiutare a riconoscerli ed evitarli

1. Ricercano indirizzi e-mail sull'hard disk
Gli ultimi worm inviano e-mail infette partendo o da indirizzi e-mail creati ad hoc o da indirizzi reali trovati sul computer dell'utente. (= se il proprio indirizzo e-mail è pubblicato su siti Web si è maggiormente esposti a ricevere un virus)
2. Falsificano (spoofing) l'indirizzo mittente
I worm mass mailer modificano l'indirizzo del mittente (= non pensare che chi ti invia l'e-mail sia stato infettato dal worm)
3. Sovraccaricano la connessione ad Internet
I worm non provocano danni al computer e, solitamente, non cancellano file. Creano però traffico internet in eccesso (= il regolare funzionamento del computer non è sintomo di immunità dall'infezione; è invece sintomo di infezione la lentezza nell'aprire pagine e una navigazione rallentata)
4. Infezione delle reti peer to peer
Gli ultimi worm si diffondono anche attraverso i sistemi di scambio file (=usare i programmi di file sharing con estrema attenzione senza lasciarsi attrarre dai file più rari)
5. Social engineering
l'insieme delle tecniche psicologiche, non informatiche, usate dagli aggressori online per farci fare quello che vogliono (= non credere mai a chi invita a cliccare su file, tentare di riconoscere un'indicazione scritta da una macchina da un'indicazione scritta da un umano)

Marzo 2004....
Nelle scorse ore sono state scoperte ben quattro nuove varianti di Beagle. Tra le nuove versioni una e' particolarmente pericolosa perche' l'email con cui arriva non presenta alcun allegato ma contenere comunque il worm. E' sufficiente infatti aprire l'email per correre il rischio che il proprio computer rimanga infettato.

CHI VIENE COLPITO
Come tutte le varianti di Beagle, ad essere colpiti sono i sistemi Windows dalla versione 95 in poi. Beagle.R quando arriva senza allegato, tramite Outlook, riesce ad infettare le macchine con installato Windows che non abbiano applicato tutte le patch messe a disposizione da Microsoft.

COME FUNZIONA
L'email che permette l'infezione di Beagle.R contiene al suo interno del codice HTML che viene eseguito non appena si apre il messaggio di posta elettronica. In sostanza, viene richiamato un particolare file presente su vari server che si occupa di saricare ed eseguire il worm.

QUALI DANNI PROVOCA
Quando questo worm riesce ad infettare il sistema...
- esegue alcune scritture sul registro di sistema
- cancella alcune voci e rende impossibile l'avvio di numerosi programmi e tra questi i piu' popolari sistemi antivirus
- cerca anche di disattivare eventuali software antivirus in funzione.
- apre una backdoor sul computer infettato: la porta 2556 viene resa utilizzabile dall'esterno per chi volesse entrare nel sistema
- tenta di diffondersi anche attraverso i software di file sharing (P2P: Kazaa, eMule, WinMX, ecc) copiando se stesso in tutte le cartelle il cui nome comincia per "shar", utilizzando nomi di programmi famosi per essere appetibile agli utenti che utilizzano questi sistemi di scambio file
- cerca nei dischi tutti gli indirizzi email a cui poi spedire se stesso utilizzando un proprio server SMTP, ovvero il protocollo per l'invio di messaggi di posta elettronica su Internet.

DICEMBRE 2005
Rootkit, cosa sono, come difendersi

Le recenti notizie di cronaca riguardanti l'utilizzo di rootkit da parte di Sony all'interno di alcuni suoi CD ha portato alla ribalta un fenomeno a lungo sottovalutato di cui molti ignoravano l'esistenza: il cosiddetto Ghostware = software fantasma = grazie a particolari tecniche di programmazione riescono a rendersi completamente invisibili all'utente, ai programmi applicativi e all'intero sistema operativo. Questo significa che nessun antivirus, nessun programma antispyware e nessuno strumento antimalware sarà in grado di rilevarli.

Cos'è un rootkit
Un rootkit è costituito da un insieme di programmi che consente la presenza invisibile e permanente di processi e informazioni all'interno di un sistema. E' importante precisare che un rootkit non è necessariamente nocivo. Un rootkit non è un virus, non è un trojan e non è uno spyware. Il rootkit costituisce solo l'insieme delle tecniche di occultamento e di per sé non è un elemento dannoso. La pericolosità è insita nello scopo che ci si prefigge con il suo utilizzo. Questo è testimoniato dal fatto che gli stessi metodi vengono spesso usati da programmi commerciali per scopi del tutto leciti.
Il compito principale di un rootkit è occultare oggetti di sistema all'utente. Per esempio possono essere resi invisibili file, processi in memoria, servizi, chiavi di registro e porte TCP/IP in stato di ascolto.
Una volta installato un programma ghostware verrà in genere lanciato all'avvio del sistema attraverso una chiave di registro invisibile. A questo punto potrà intercettare i tasti digitati sulla tastiera per carpire informazioni riservate (keylogger), mettersi in ascolto sulla rete per accettare istruzioni dall'esterno (backdoor), sniffare il traffico di rete, sferrare attacchi DoS su internet e quanto di peggio si possa immaginare. Nessun taskmanager potrà individuarlo e nessun comando netstat potrà rivelare le connessioni create sulla rete.
Per rendere possibile la loro invisibilità i rootkit agiscono a livello profondo installandosi come parte integrante del sistema operativo stesso.

Strumenti per la rivelazione dei rootkit
La lotta ai rootkit è ardua ma non impossibile. Al giorno d'oggi esistono un paio di valide soluzioni gratuite, RootkitRevealer e Blacklight. Esse si basano principalmente sulla rilevazione di discrepanze a livello di filesystem. Un programma ghostware, anche se virtualmente invisibile, deve essere presente fisicamente sul disco fisso.

Chi crea i virus?
Il fenomeno virus è prevalentemente commerciale
Molti dei virus più diffusi, non producono danni diretti alle vittime: le infettano con discrezione per usarle come teste di ponte, dalle quali lanciare attacchi informatici a siti importanti (come Google o Microsoft) o bombardamenti pubblicitari (il cosiddetto spam) verso altri utenti
Un attacco virale ben congegnato infetta segretamente milioni di computer, creando una vera e propria "rete nella Rete" che ubbidisce ai comandi del misterioso untore.

Quanti sono i Virus?
Quelli conosciuti sono molte decine di migliaia e crescono ogni giorno (al momento sono circa 49.000 le “firme” di virus noti). Proprio per tentare di capire quanti e quali fossero i virus effettivamente in circolazione, nel 1993 un ricercatore statunitense, iniziò a compilare un elenco di virus rilevati sul campo. Questo elenco, denominato Wild List, è diventato rapidamente un importante punto di riferimento. La Wild List viene aggiornata ogni mese ed è accessibile sul Web all’indirizzo www.wildlist.org

Perché tutti mi dicono che sono infetto?
Sono messaggi generati per errore da programmi antivirus mal configurati. Moltissimi virus attingono alla rubrica degli indirizzi della vittima per trovare nuovi bersagli.
Di conseguenza, capita spesso che un virus infetti il computer di un vostro conoscente, nella cui rubrica trova il vostro indirizzo. Il virus poi confeziona un messaggio infetto usando come falso mittente il vostro indirizzo di e-mail e lo manda a un altro indirizzo, trovato sempre nella rubrica del vostro conoscente infetto.
Purtroppo l'antivirus di chi riceve il messaggio infetto è troppo stupido per rendersi conto che il mittente è stato falsificato, lo prende per buono e quindi genera automaticamente una notifica per avvisare il presunto mittente che ha inviato un virus: ma il presunto mittente siete voi, e così la notifica arriva a voi, anziché all'utente effettivamente infetto e responsabile dell'invio.

Dopo il primo semestre 2005...

Il più maleducato - Cisum.A. L'onore spetta a questo worm che non soddisfatto nel disattivare i sistemi di protezione del malware dei PC che colpisce, dedica una frase all'utente "You're an idiot". Questo messaggio non si vede solo in una piccola finestra che si apre sul desktop, ma può essere ascoltata attraverso gli speaker del computer ogni 5 secondi.

Il più meschino - Zar.A. Questo titolo gli corrisponde. Utilizzava una donazione fasulla per le vittime dello tsunami per fare in modo che l'utente aprisse il file che conteneva il codice maligno.

Il più sexy - Bropia.A. Questo worm che si propagava attraverso il sistema di instant messenger può essere considerato ironicamente il più sexy: aveva in allegato l'immagine di un pollo arrosto in bikini.

Il più pericoloso - Whiter.F. In questo caso la selezione è abbastanza semplice: Whiter.F, il "simpatico" codice maligno che cancella tutto il contenuto dell'hard disk. Altro dato curioso è quello che prima di procedere con l'eliminazione, rimpiazza tutti i file con dei nuovi contenenti il testo "You did piracy, you deserve it" (hai commesso un atto di pirateria, te lo meriti).

Il più imbroglione - Così si potrebbe definire il worm Sober.V che mandava messaggi regalando i biglietti per i Campionati Mondiali del 2006 in Germania. Questa tecnica gli ha consentito di diffondersi in modo significativo, ma per fortuna gli utenti non sono risultati così sprovveduti tanto che il worm non ha raggiunto l'obiettivo di creare una nuova epidemia.

Il più versatile - Eyeveg.D. E' uno di quei malware inclassificabile. Assomiglia a un worm, ma anche a un Trojan e a una backdoor. Il suo fine è quello di rubare informazioni riservate dai PC che colpisce e di consentire attacchi in remoto. Per aumentare la sua efficacia è in grado di diffondersi per posta elettronica.

I più solidali - Si tratta dei worm Gaobot.IUF e Prex.AM, non aiutano gli altri, ma solo se stessi dato che ciò che fanno è quello di dividersi i compiti al momento di portare a termine azioni dannose sui computer sui quali si installano. Gaobot.IUF crea una backdoor che consente attacchi di hacking, Prex.AM invia messaggi falsi attraverso instant messenger, affinché gli utenti scarichino il file contenete entrambi i codici maligni

I più costanti - Più di 4.200 varianti lanciate nell'ultimo anno fugano ogni dubbio: gli autori dei worm Gaobot sono tra i più tenaci visti fino ad ora. L'obiettivo è quello di mettere in circolazione il maggior numero di varianti con la speranza di creare, prima o poi, un'autentica epidemia

I worm giustizieri - Quest'anno due codici maligni si contendono il primo premio. Da una parte abbiamo già visto il Trojan Whiter.F, dall'altra il worm Nopir.A. Quest'ultimo cancella tutti i file che si trovano nel computer con estensione COM e MP3, inoltre si diffonde attraverso la rete per condividere file P2P. Quando attacca il sistema mostra un'immagine nella quale indica il suo rifiuto alla pirateria. Non bisogna però farsi ingannare: la condanna alla pirateria non è che una scusa per mettere in circolazione un esemplare pericoloso di malware.

I ricattatori - Sembra che chiedere denaro per liberarsi dall'azione di un codice maligno stia diventando di moda, come una nuova forma di truffa online. In questo ambito emergono i Trojan PGpCoder che criptano alcuni file dell'hard disk e chiedono per farli tornare al loro stato originale del denaro o l'acquisto di una certa applicazione. E' qualcosa di simile ad altri esemplari di malware come SpywareNo (un software spia) che chiede l'acquisto di un determinato software antispyware se l'utente desidera liberarsi dalla sua presenza.

I truffatori di banche - Più che le banche, ciò che cercano di svuotare sono i conti bancari degli utenti. Le molteplici varianti della famiglia dei Trojan Bancos hanno tutte lo stesso obiettivo: avere i dati degli utenti per portare a termine ogni tipo di frode finanziaria.