Cosa sono i virus e come agiscono?

Lunedì 06 Febbraio 2006 01:10 Giuseppe Altomonte
Stampa
La “RFC 1135” definisce come virus qualsiasi porzione di codice che si installa all'interno di un programma host al fine di utilizzare quest'ultimo come mezzo di propagazione. 

Un virus informatico non è altro che un programma come gli altri (forse un po’ più intelligente) capace di replicarsi tramite "portatori sani" (ovvero file non infetti) e danneggiare (in modi diversi) il sistema. I virus, alla fine di numerosi studi hanno "subito" questa catalogazione:

 

Prima classificazione:

Trojan Horse (Cavallo di troia)

Un Trojan Horse non è un virus come gli altri ma bensì un programma distruttivo. Le caratteristiche che lo differenziano dagli altri virus, che cercano di rendersi invisibili (o quasi) e di replicarsi, sono che i Trojan Horse danneggiano esplicitamente il sistema.

Il loro nome deriva dal fatto che i Trojan Horse vengono divulgati con nomi "fittizzi" ovvero vengono distribuiti con il nome di programmi molto ricercati dagli utenti. Questi sono i virus più semplici da costruire, ciò nonostante sono distruttivi (per esempio formattano ad insaputa dell’utente il suo hard disk…). Al momento non esiste un Antivirus che fornisca un'accurata protezione contro i Trojan Horse, di conseguenza questi virus sono molto "funzionali" sia per i "risultati" prodotti, sia per la velocità con cui operano.

Worm (Verme)

Un Worm è un tipo di virus "tecnologicamente più avanzato"; esso, infatti, si replica lungo le reti (internet, tanto per capirci). E' un tipo di virus molto potente ma tuttora non esistono campioni di questo virus molto avanzati. La causa principale è la presenza di vari sitemi operativi (sulla rete) che non ne facilitano lo sviluppo, anche se i worm sembrano avere facile sviluppo sulle piattaforme come Unix, Linux e Java. Il Worm più famoso è quello creato da Robert Morris jr. che negli anni '80 mandò in tilt migliaia di computer a causa di una replicazione incontrollata del suo virus.

Seconda classificazione:

Floppy Boot e MBR Virus

Questi virus infettano un settore particolare dei dischi, quello di avvio. Nel disco rigido colpiscono il "Master boot Record"(ovvero il record di avviamento principale). Questa categoria di virus è stata la prima ad essere creata, ma oggi il suo uso è molto limitato,dovuto all'accesso 32-bit di Windows 9x al disco.

Dos-Exec Virus

Ci sono numerosissimi virus che occupano questa categoria, essi infettano i file eseguibili presenti nel sistema (Exe e Com). Anche questa categoria di virus è oggi in disuso, visto l'enorme successo che riscontrano le altre tipologie di virus.

Win-Exec Virus

Questa è una categoria di virus non molto sviluppata ancora e che può infettare vari tipi di oggetti:

Ne-Exe:

(NewExecutable - File exe x Win3.1 - 16bit)
Scr:
(ScreenSaver - File scr x Win3.1 - 16bit)
Pe-exe:
(PortableExe... -File exe x Win95 - 32bit)
Vxd:
(Device Driver - D. D. - File vxd x Win95 - 32bit)

Al momento, ci sono pochi virus in questa categoria.

Macro Virus

Questi sono virus più usati al momento. Hanno il vantaggio di essere multi-piattaforma cioè funzionano su Win e su Mac. Le applicazioni a rischio per questi virus sono:

Ms-Word 9x  (File .doc)

Ms-Excel9x   (File .xls)

e quasi tutti gli altri programmi che consentono l'uso di Macro. Questi virus vengono scritti in Visual Basic.

Terza Classificazione:

Companion Virus

La creazione di questi virus è molto semplice come del resto anche la loro eliminazione. Il comportamento di questi virus è molto semplice: sfruttano la priorità d'esecuzione dei file “.com”.

Es.

In un adirectory ci sono due file

1)Run.exe

2)Run.com

Se si vuole eseguire uno dei due ma noi si indica l'estensione il sitema Microsoft esegue il file .com.

Il funzionamento di questi virus è molto semplice, essi cercano i file .exe e copiano (nelle loro dir) i virus ma con l'estensione “.com”; così all'avviamento dell'applicazione viene aperto il virus e non il programma desiderato.  

Ad Azione Diretta

Questi virus infettano un file eseguibile e appena questo viene aperto il virus cerca nelle directory altri file "infettabili" in modo da propagare l'infezione.

Virus Tsr

Questa è un atipologia di virus molto avanzata, essa consiste nel far avere al virus priorità su tutto, perfino sul sistema operativo stesso.

Virus Stealth

Simile alla categoria precedente i virus Stealth riescono a prendere il controllo delle funzioni base del Dos e ad eliminare ogni sintomo dell'infezione che è avvenuta. La categoria Stealth ha ancora tre ulteriori suddivisioni:

Size Hiding

Se il virus è lungo 100 kb, la dimensione di tutti i file che verranno infettati verrà aumentata di 100Kb. Rende difficile la sua identificazione grazie all'identificazione del comando "dir", quindi il virus sottrae il valore aggiunto in precedenza facendoli così non sembrare infetti.

Mbr Stealth

Questa è la categoria che infetta l'Mbr (Master Boot Record), salva una copia del vecchio Master e la restituisce quando un Antivirus va a leggere l'Mbr in modo da non non rendere "visibile" l'infezione.

Clean On-The-Fly

Ottima tipologia di virus che utilizza un sistema molto utile per non essere identificato, infatti questi virus intercettano l'operazione di lettura dei file infetti e prima che questi vengano letti li ripulisce facendo sembrare non infetti i file al controllo, poi una volta controllato il file il virus procede a reinfettarlo.

                                       

Virus Encrypted (cifrati)

Questi sono quei virus formati da righe di codice e in genere vengono scritti in Assembler (Linguaggio un  po’ vecchiotto ma molto utile che lavora vicino al cuore del sistema).

Virus Polimorfici

Questo tipo di virus utilizza la tecnica di cifratura in modo da essere riconoscibile solo dal motore crittografico del virus stesso, oppure vengano utilizzati tools esterni. In questo modo il virus (e gli eventuali file infetti da esso) sono difficilmente individuabili.

Giuseppe Altomonte 
 

Riferimenti per approfondimenti

http://www.avp.ch/avpve/classes/boot.stm

http://nsi.org/Library/Compsec/virusnfo.html

http://www.viruslist.com/

http://www.rfc-editor.org/rfcsearch.html

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!