Difendersi da Internet: Virus, Dialer, Spam di Armando Valentino

TIPI DI VIRUS

Untitled Document

2.2  - TIPI DI VIRUS:

2.2.1 - Virus e Macrovirus

I virus più comuni tendono ad infettare i file accodandosi al file eseguibile con estensioni tipiche “.exe” o “.com” e tendono poi a riprodursi all’interno dei file che l’eseguibile stesso crea.

Un file infetto si riconosce dal fatto che le sue dimensioni sul disco risultano aumentate in modo inspiegabile.

Alcuni virus si nascondono nel settore di Boot del disco rigido o dei floppy disk. Siccome il sistema operativo del PC si avvia leggendo il settore di Boot del disco, alla partenza del computer si attivano i virus.

I virus che infettano i settori di Boot sono scritti in linguaggio macchina e tendono a diffondersi su altri dischi. I primi virus, negli anni ’90 erano quasi tutti di questo tipo.

 

Nascondendosi nel settore di Boot viene caricato in memoria ad ogni accensione del computer e quando si utilizzano floppy disk infettano il settore di Boot del Floppy disk con la possibilità di diffondersi ad altri dischi quando il floppy viene usato su altri computer.

Negli anni ’90 il floppy disk era uno dei mezzi più utilizzati per scambiare dati.

 

I più famosi virus di questo tipo sono stati  Stoned e Form.

 

I Virus Multipartito sono una combinazione dei due tipi, ed infettano sia il settore di Boot del disco rigido, sia i file.

I virus odierni infettano anche altri file di sistema con estensioni *.drv , *.dll,  *.bin, *.sys, *.ovl .

 

I Macrovirus [E4][F4][S4] sono virus scritti utilizzando il linguaggio VBA, utilizzato per la programmazione delle macro all’interno dei programmi Office Microsoft. Sono software eseguibili solo all’interno dei programmi Microsoft e vengono incorporati nei file di Word ed Excel.

Questi macrovirus possono sfruttare il linguaggio VBA per effettuare operazioni sul disco dell’utente o utilizzare componenti del sistema operativo.

Un esempio di Macrovirus molto famoso è il Macrovirus Melissa [E5][F5][S5]che infetta i documenti Word e spedisce una copia di se stesso ai primi 50 nomi presenti nella rubrica di outlook.

Per potersi diffondere utilizza la posta elettronica e la sua azione porta a danneggiare molti server di posta su internet e aziendali, causando danni economici.

Si  nasconde in un File di Word che viene inviato tramite un messaggio di posta elettronica, in cui nell’oggetto c’è scritto la frase “messaggio importante da…” seguito da un nome di persona, che può essere un amico o un collega di lavoro o un conoscente, traendo in inganno chi riceve la posta.

Nel testo del messaggio c’è poi una frase del tipo “questo è il documento che mi hai chiesto, non  farlo vedere a nessuno”.

 

Quando l’utente apre il file di Word il virus entra in azione eseguendo una macro (insieme di comandi automatizzati simili ad un programma software) che prende i primi 50 nomi dalla rubrica di Outlook, facendo una copia di se stesso, ed invia un messaggio ai 50 nomi. Tutto questo avviene senza che l’utente potesse accorgersi di niente.

In questo modo sembra che la l’utente stesso ha inviato il messaggio.

Chi riceve il messaggio subisce lo stesso inganno del primo utente. I messaggi inviati diventano rapidamente così tanti da impedire in breve tempo l’uso della posta tramite internet. Il problema è stato risolto grazie ad un software antivirus in grado di rilevare il virus e distruggerlo.

Il virus Melissa anche se è un virus di tipo Macro si diffonde secondo le caratteristiche dei virus Worm, tramite posta elettronica.

 

In genere il meccanismo di azione dei Virus e dei Macrovirus è quello di attaccarsi in coda ad un file, lasciando in esso la sua impronta virale. Quando il file viene attivato di nuovo il virus mette in atto la sua azione di diffusione infettando altri file.

 

Altri macrovirus sono: Chernobyl [E6][F6] e Larouex che infettano file Excel.

 


2.2.2 - Trojan  Horse

 

 

I Trojan Horse [E7][F7][S6] sono virus usati dai pirati informatici per prendere il controllo di un computer remoto.

Non sono capaci di infettare da soli i nuovi computer e non riescono da soli a replicarsi, ma hanno bisogno dell’aiuto dell’utente per farlo. Per riuscire ad interagire con l’utente fanno ricorso a tecniche di ingegneria sociale, proponendo per esempio di scaricare software che sono utili, ma che nascondono invece virus Trojan Horse.

 

Il nome stesso (cavallo di troia) fa ricordare la storia di Ulisse e del cavallo di troia. Un gigantesco cavallo di legno che era stato lasciato dai greci sul luogo dello scontro con i troiani, facendo credere loro che se i soldati di Troia avrebbero portato il cavallo nella loro città avrebbero vinto la guerra contro i greci. I Troiani ignari portarono il cavallo nella loro città, non sapendo che all’interno del cavallo si nascondevano i soldati greci che volevano distruggere Troia.

 

Allo stesso  modo questo tipo di virus inganna gli utenti facendo credere che stanno scaricando software utile, ed invece nasconde un virus, molto pericoloso.

Questo è un tipo di virus particolare formato da due parti. Una parte Client e una parte Server.

La parte Server è quella che infetta il computer dell’utente, la parte Client risiede sul computer di chi crea l’attacco.

 

Quando il server si attiva sulla macchine dell’utente, il virus permette al pirata informatico di impossessarsi della machina e di prendere il controllo completo, permettendo al computer remoto, dove risiede il client, qualsiasi tipo di operazione, come trasferimento di file, ricerca di password e controllo della rete.

 

I Trojan possono compiere, ad insaputa dell’utente, azioni illegali , la cui responsabilità cadrà sull’utente stesso, come avviene per le truffe on-line.  Al pirata è possibile conoscere tutto quello che scriviamo con la tastiera del computer, scoprire numeri di carta di credito e password di accesso a servizi di home banking.

La loro azione malevole viene svolta in maniera così perfetta e nascosta che diventa difficile scoprire quello che accade se non si ha a disposizione un software antivirus.

È evidente che i danni provocati dai Trojan possono essere molto pesanti, anche da un punto di vista economico. Conoscendo i dati privati degli utenti, come sono le password e il nome utente per accedere ai conti correnti bancari o i codici delle carte di credito, si possono rubare molti soldi agli utenti.

 

I Trojan Horse vengono spesso anche usati per diffondere Worm e Virus.

Esempio di virus di questo tipo sono: BackOrifice [E8][F8][S7] e Netbus.

 

2.2.3 -  Worm

I Worm [E9][F9][S8] non sono dei veri e propri virus nel senso della parola, perché non si replicano infettando altri file, ma allo stesso modo dei virus hanno lo scopo di rendere inutilizzabile il computer oggetto del loro bersaglio. Si diffondono attraverso le reti di telecomunicazioni e tendono a saturare il canale di comunicazione occupando tutta la banda a disposizione e le capacità di calcolo del computer portandolo al blocco. Sono mascherati da normali programmi o file.

Esempi di virus Worm sono Sasser [E10][F10][S9] e Blaster [E11][F11][S10].

 

Blaster è stato scoperto il 13/08/2003. Infetta il sistema attraverso la porta di rete TCP 135.

Intasa i servizi di rete del sistema provocando un errore del sistema. L’errore del sistema è tale che causa lo spegnimento e il riavvio del Computer. Lo spegnimento e il riavvio del computer avviene in continuazione, impedendone l’uso all’utente.

Infetta i sistemi operativi Windows 200/XP.

Sasser è stato scoperto il 30/04/2004. Infetta il Computer quando connesso alla porta di rete TCP 445. Anche questo provoca il riavvio del Computer tramite errori di sistema. Infetta i sistemi Windows 200/XP.

 

L’ autore di Sasser è stato condannato a 21 mesi di carcere. Era un ragazzo minorenne, studente di informatica.

 

Per riconoscere il tipo di virus che ha provocato un’infezione al nostro sistema, possiamo dire che:

 

se il software dannoso non si replica è un  Trojan Horse, se si replica senza bisogno di un vettore, come possono essere i file  è una forma di Worm, se si replica aggiungendo una copia di se stesso ad un file è un Virus o Macrovirus.

   4/16   

Approfondimenti/commenti:

    Nessuna voce inserita

Inserisci approfondimento/commento

Indice percorso Edita
Edurete.org Roberto Trinchero