Sconti Amazon
mercoledì 23 aprile 2003 di 953047 Letture

Speciale sui migliori software antivirus

Se una volta il rischio di vedere il proprio personal computer vittima di un'infezione era piuttosto ridotto (l'Internet di massa era ancora lontana...) e i principali virus si diffondevano principalmente attraverso lo scambio di floppy disk tra amici e colleghi, oggi la diffusione della posta elettronica e l'utilizzo intensivo del web, hanno portato alla nascita di nuove tipologie di virus, favorendone enormemente la diffusione. L'evoluzione dei sistemi operativi ha poi paradossalmente dato una spinta al proliferare di nuovi virus, sempre più pericolosi e sempre più abili a replicarsi.

L'arrivo dei linguaggi di scripting ha reso lo sviluppo di virus molto più semplice: i virus worm (script worm) sono infatti scritti il più delle volte in Visual Basic Script (VBS) e le competenze tecniche necessarie per la progettazione di un virus di questo tipo sono oggi estremamente ridotte rispetto al passato. Pensate che, addirittura, già da tempo sono comparsi in rete software che includono in sé routine di base e stralci di codice già pronti per creare, in men che non si dica, nuovi worm. L'evoluzione del software ha quindi portato, insieme con i benefici che tutti conosciamo (maggiore semplicità nell'utilizzo delle applicazioni, nello sviluppo di programmi, nella gestione del sistema operativo...) anche molti svantaggi: il sistema operativo è divenuto un oggetto sempre più complesso (deve poter gestire un numero sempre maggiore di periferiche, di protocolli, si è aperto sempre di più alla rete Internet...) tanto che alcuni bug e vulnerabilità (non messi a nudo durante le fasi di beta testing) vengono proprio sfruttati da parte dei cosiddetti Network worm o Internet worm per far danni.

Grazie proprio a carenze di sicurezza del sistema operativo, non tempestivamente risolte, i virus di tipo Internet worm sono in grado di insediarsi "indisturbati" all'interno del sistema "vittima".

Basti pensare ai danni che il virus Nimda (il primo a sfruttare in modo intensivo le vulnerabilità del sistema operativo) ha causato nel 2001, a livello mondiale. La sua principale caratteristica è quella di sfruttare una vulnerabilità insita all'interno di Windows per autoeseguirsi e per diffondersi, così, indisturbato. Con Nimda si è voluto dimostrare che a volte, nonostante non vengano aperti allegati infetti, il proprio sistema può essere ugualmente "contagiato" qualora non si abbia provveduto ad installare le necessarie patch a risoluzione delle varie vulnerabilità. Nimda è in grado di sfruttare le risorse condivise nelle reti locali per diffondersi ulteriormente. Ciò significa che il worm esamina la rete cui appartiene il computer infetto ricercando le cartelle condivise che permettono la scrittura. Non appena viene trovata una cartella con i diritti di scrittura, Nimda la rinomina ed inserisce, al suo interno, il codice virale. Il worm sfrutta poi una vulnerabilità di IIS (il server web usato da parte del 30% dei server di tutto il mondo; fonte Netcraft Web Server Survey) denominata IIS Web Directory Traversal per la quale era stata già rilasciata una patch ma che evidentemente pochi avevano provveduto ad installare. Gli utenti che si collegavano ad un server web infetto, ricevevano così la richiesta di scaricare un file .eml (estensione associata alle e-mail di Outlook) che conteneva, in allegato, il pericolosissimo worm. Chi faceva uso della versione 5.0 di Internet Explorer riceveva la richiesta di download del file virale mentre chi usava la versione 5.5 senza aver installato le opportune patch veniva automaticamente colpito dal virus.

I worm, di qualunque genere essi siano, trovano nella posta elettronica il principale (nonché ideale) mezzo di diffusione. Sempre più di frequente, infatti, è possibile imbattersi in loro come semplici allegati ai messaggi di posta.

Fino a qualche tempo fa, i virus di qualunque genere - non potevano nuocere se non ne veniva eseguito il codice virale da parte dell'utente (generalmente, con il classico "doppio clic"). Oggi i virus worm stanno facendo di tutto per fare in modo di essere attivati anche senza il "doppio clic": ciò può rendersi possibile, appunto, sfruttando vulnerabilità del sistema operativo, del client di posta elettronica o del browser Internet (Nimda docet...).

Chi sviluppa virus, comunque, usa calarsi nella mentalità dell'utente normale cercando di stabilire quali possano essere gli stratagemmi migliori affinché la propria "creatura maligna" abbia le maggiori probabilità di essere avviata. Qualora infatti il worm non sia in grado di sfruttare le vulnerabilità di un sistema per "auto-eseguirsi" (ad esempio qualora Windows, Internet Explorer ed il client di posta siano stati correttamente aggiornati con le ultime patch di sicurezza), vengono comunque spesso attribuiti - all'allegato infetto che riceviamo via posta elettronica - nomi invitanti o curiosi. Alcuni virus worm uniscono, poi, nel corpo della e-mail, messaggi del tipo Ciao. Questo è il documento che stavi aspettando... oppure esortano ad aprire l'allegato dichiarando che contiene materiale pornografico, stravagante o foto osé...

Uno dei consigli migliori è quindi sempre quello di non lasciarvi ingannare delle e-mail che vi arrivano e vi invitano ad aprire file allegati.

Cavalli di Troia. I cosiddetti Trojan horse (Cavalli di Troia) sono invece piccoli programmi che non si replicano, così come fanno i virus, ma che sono in grado di causare danni o comunque di compromettere la sicurezza del personal computer ove vengono eseguiti. Come il corrispondente esemplare in legno, utilizzato da Ulisse per espugnare Troia, i trojan horse nascondono dietro alle sembianze di un gioco o di un'utilità, la loro natura maligna.

I Cavalli di Troia, suddivisibili a loro volta in backdoor e Remote Administration Trojan, aprono poi un varco che consente attacchi dall'esterno rendendo così il proprio personal computer assolutamente vulnerabile. Alcuni di essi inviano messaggi di posta elettronica o avvisi ad "hacker" remoti, comunicando l'indirizzo IP di volta in volta associato alla macchina "vittima", affinché questa possa essere agevolmente violata.

Grazie alla diffusione dei client peer to peer (per esempio WinMX, Kazaa, eDonkey/e-Mule, IMesh,...) per lo scambio di file tra utenti remoti, i Cavalli di Troia hanno trovato nuova linfa vitale: se tali programmi vengono scaricati ed eseguiti sul proprio personal computer, i nostri dati personali possono facilmente diventare preda di malintenzionati. SubSeven, uno dei Cavalli di Troia più pericolosi, permette ad un hacker remoto di assumere addirittura il controllo totale sul personal computer infetto.

In alternativa, chi fa uso dei Cavalli di Troia, usa pubblicarli sui newsgroup - sotto mentite spoglie -, li invia come allegati a messaggi di posta elettronica, li rende prelevabili da siti web celandone il comportamento "offensivo", li diffonde tramite software di messaggistica istantanea come (come ICQ, MSN, AIM) o via IRC. Spesso si invitano gli utenti a scaricare ed eseguire un trojan indicandolo come un aggiornamento indispensabile per il sistema operativo.

Macro virus. Insieme ai worm, i macro virus sono i virus che oggi sono più diffusi. Una macro consiste in una serie di istruzioni che permettono di automatizzare dei processi evitando di dover compiere operazioni ripetitive manualmente. Tutti i programmi del pacchetto Microsoft Office permettono l'utilizzo di macro all'interno di documenti da essi prodotti: i macro virus sfruttano questa funzionalità per compiere azioni maligne sul personal computer infetto. Una volta aperto (ad esempio quale allegato ad un normale messaggio di posta elettronica) un documento Word o Excel infetto da macro virus, solitamente - oltre ad essere causati danni più o meno gravi ai dati memorizzati sul disco fisso - provvede a modificare il file "modello" (template) in base al quale vengono creati tutti gli altri. In questo modo tutti i documenti creati, ad esempio, con Word od Excel verranno automaticamente infettati con lo stesso macro virus.

Abbiamo ricordato solo i virus worm, i macro virus e i trojan virus perché, in proporzione, sono oggi pochi i casi di infezione da virus di altra tipologia.

A conferma di ciò, i primi dieci virus per diffusione, nel mese di Marzo 2003 - secondo le statistiche Kaspersky - erano tutti worm o macro (il trend non è ovviamente destinato a cambiare...). Guida la classifica del numero di infezioni registrate a livello mondiale, il worm Klez con il 37,6% dei computer colpiti; seguono Sobig con il 10,75%, Lentin con il 9,03%, Avron col 3,3%. Al quinto posto un macro virus (Word97.Thus) che colpisce documenti creati con Microsoft Word (2,62% delle infezioni globali).


Buoni regalo Amazon
Speciale sui migliori software antivirus - IlSoftware.it