Lezione Virus Informatici
VIRUS INFORMATICI
Un virus informatico è simile ad un virus biologico: si
tratta di un piccolo programma, che contiene una sequenza
di istruzioni di cui alcune sono deputate alla replicazione
(riproduzione) dell'intero programma.
Dopo la fase "riproduttiva", i virus informatici iniziano a
svolgere attività di varia natura: distruttive e/o di
ostruzionismo.
I virus informatici, come quelli biologici, sono pericolosi per
la tendenza che hanno a dare delle epidemie.
Si diffondono tramite il trasferimento di files infetti da un
computer ad un altro e, cosa ancor più grave, possono
attaccare computers collegati fra loro in rete.
Mentre i virus della prima generazione attaccavano
soltanto i file eseguibili (che nel sistema operativo DOS
sono riconoscibili in quanto hanno un estensione .COM o
.EXE), i virus attuali sono in grado di inquinare molti altri
tipi di files e sono anche in grado di cambiare le istruzioni
del BIOS caricate in RAM, di diffondersi attraverso gli
stessi supporti fisici contenuti nel PC e di danneggiare
fisicamente, persino l'hardware.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
Virus di prima generazione
I virus informatici della prima generazione erano in grado di
diffondersi, autoreplicandosi per mezzo degli stessi
programmi che essi inquinavano. Tipicamente essi
svolgevano due funzioni:
1. inizialmente copiavano se stessi in programmi non
infettati;
2. eseguivano le loro istruzioni specifiche che consistevano
nella visualizzazione di messaggi, nella cancellazione o nella
alterazione di files, fino alla cancellazione del contenuto
dell'intero hard disk, nella peggiore delle ipotesi.
In questi virus, la sequenza di istruzioni che si attaccava
al programma sano era sempre la stessa.
I programmi antivirus riuscirono a contrastare tale tipo di
infezione definendo al loro interno delle "librerie" contenenti
le sequenze di istruzioni che permettevano il riconoscimento
per i diversi virus.
Quindi queste sequenze di istruzioni erano caratteristiche dei
vari virus che via via venivano scoperti ed in questo modo gli
antivirus potevano neutralizzare l'infezione, ma era
necessario il loro continuo aggiornamento allo scopo di
ampliare il contenuto delle librerie.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
Virus Mutanti
La peculiarità dei Virus Multipartiti o Mutanti, risiede nel
fatto che possono cambiare fino a milioni di volte il loro
codice eseguibile, cioè la sequenza di istruzioni contenuta
nei virus stessi. In alcuni casi cambiano le istruzioni, ma il
comportamento rimane lo stesso; in altri casi cambiano
anche le azioni che il virus compie.
In tutti questi casi, ovviamente, il riconoscimento per stringhe
specifiche perde gran parte del suo significato.
Per contrastare tali tipi di virus sono stati creati degli antivirus
che effettuano ricerche euristiche.
La ricerca euristica si basa sul seguente assunto: ogni virus,
quando entra in funzione, usa delle specifiche sequenze di
istruzioni per:
- Nascondersi
- Assumere il controllo del PC
- Modificare i programmi eseguibili ecc...
Avendo a disposizione una libreria delle funzioni impiegate dai
vari virus si può pensare di intercettare anche virus
sconosciuti purchè per attivarsi utilizzino tali funzioni.
Il problema che si pone in questo caso è che i virus possono
impiegare delle routine di funzionamento perfettamente
legali,
utilizzate anche
dai normali progammi.
Conseguentemente si rischia di creare degli antivirus
"troppo sensibili" che riconoscono come virus anche dei
programmi normali, o degli antivirus "troppo poco
sensibili" che consentono ad alcuni virus di agire
indisturbati.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
Due altri tipi di virus:
1. Virus dell'I/O
2. Virus delle directory
In questi casi i virus riescono ad assumere il controllo del PC
indipendentemente dal sistema operativo impiegato
intervenendo a livello del BIOS.
I cosiddetti Virus delle Macro si appiccicano a files
documento generati per esempio con Microsoft Word
per Windows, Microsoft Excel ecc...
Bisogna prestare particolare attenzione a questi virus in quanto
essi si possono facilmente trasmettere mediante lo scambio
di files di tipo "documento" (es. posta elettronica), anche fra
sistemi operativi diversi (MacOS e DOS/Windows, magari
passando per Unix).
Questi virus si pongono in memoria quando viene caricato il
documento infetto che li contiene e quando vengono
compiute determinate operazioni (salvataggio automatico,
ricerca e sostituzione di parti di testo ecc...) essi prendono il
controllo del programma in questione. Così può capitare che
al momento del salvataggio finale, sparisca dal disco fisso
un'intera directory per effetto di un ordine di cancellazione
(perfettamente lecito dal punto di vista funzionale) impartito
dal virus stesso. Ovviamente il documento infetto
trasmetterà l'infezione a qualunque altro documento dello
stesso tipo aperto durante la medesima sessione di lavoro e
questo, a sua volta, se aperto in un altro PC trasmetterà a
sua volta l'infezione ad altri documenti presenti in un altro
PC.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
COSA FARE IN CASO DI INFEZIONE
Si possono ipotizzare due situazioni:
1. DANNO GIA' AVVENUTO
2. INFEZIONE SCOPERTA IN TEMPO
Nel primo caso l'utente si accorge della presenza del virus in
quanto, per esempio, è avvenuta una formattazione a basso
livello dell'Hard Disk. L'unica cosa da fare, in questi casi, è
ripristinare il contenuto dell'Hard Disk con i dati di un
recente backup, dopo opportuna opera di disinfestazione.
Accanto all'importanza di disporre di un backup c'è anche da
rilevare l'importanza di possedere floppy originali del
sistema operativo e dei singoli programmi, protetti in
scrittura e quindi sicuramente non infetti.
La procedura di pulitura nei casi più gravi comporta:
1. Formattazione dell'HD, definizione delle partizioni e
reinstallazione del Sistema Operativo.
2. Reinstallazione dei programmi a partire dai diskettes originali,
protetti in scrittura e sicuramente non infetti.
3. Effettuzione di un ripristino dei soli dati a partire da una copia
di backup recente.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
Se l'infezione è scoperta in tempo, prima che provochi danni
irreparabili, si possono fare numerose cose:
1. Spegnere il computer e riaccenderlo lanciando il sistema
operativo dal drive A, con un floppy protetto in scrittura.
2. Eseguire dei controlli con antivirus atti a verificare la
presenza del/dei virus.
3. Fare un backup dei SOLI DATI delle applicazioni di uso
corrente.
4. Formattare l'Hard Disk.
E' da sconsigliare in linea generale la semplice disinfezione
con i programmi appositi: spesso essi nel tentativo di eliminare
il virus alterano in maniera definitiva il programma disinfettato
che, pertanto, deve essere, comunque, reinstallato.
Cose da ricordare
Qualora si verifichi un'infezione, è NECESSARIO controllare
tutti i floppy di cui si dispone con un programma di
scansione, perchè l'infezione potrebbe ripetersi. Si perderà del
tempo nel controllo, ma sarà tempo speso bene!!!
Per qualche tempo dopo l'infezione conviene "vigilare" nei
confronti di nuove infezioni: qualche floppy infetto può essere
stato dimenticato e non esser stato sottoposto all'opera di
controllo.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
Come si diffondono i virus informatici?
Perchè un virus possa penetrare nel computer è necessario
che esso venga a contatto col supporto che contiene il virus
(cioè il programma virus).
In questo modo il programma virus si autoinstalla sulla
macchina e provoca (o a tempo o immediatamente) i danni
per cui è stato creato.
Un computer può venire a contatto con un virus attraverso:
- Un dischetto floppy.
- Un CD-ROM
- La rete interna
-La rete Internet
Naturalmente il programma virus non compare mai nelle
cartelle contenute nel dischetto, per cui non possiamo
individuarlo con una lettura del supporto. Un virus può essere
eliminato solo da un supporto riscrivibile, come dischetti
floppy e hard disk, ma non da un CD-ROM, che non è
riscrivibile.
– Dott.ssa Susan Costantini -
Lezione Virus Informatici
Come ci si può difendere dai virus informatici?
1. Fare molta attenzione quando si inserisce un dischetto o un
CD-ROM nel computer, nel senso di verificarne la
provenienza in modo da essere sicuri che non contengano
virus. Buona norma è non utilizzare dischetti esterni, usati su
altri computer, o CD-ROM masterizzati in casa.
2.
Installare un programma antivirus e mantenerlo
costantemente aggiornato. Questo avverte se si sta
inserendo un dischetto o un CD-ROM infetto. In questo modo
si può ripulire il supporto o precludere l'operazione. E' buona
norma provvedere saltuariamente ad una scansione del
disco fisso alla ricerca di una eventuale presenza di virus,
per eliminarli.
3. Proteggere i computer collegati in rete interna. In questo
caso, comunque esistono programmi antivirus per la rete,
che garantiscono un certo grado di sicurezza.
4.
Proteggere i computer dalla rete Internet. Internet
rappresenta il veicolo più interessante per la diffusione di un
virus. Appena ci si collega, chiunque può penetrare nel
nostro computer e installare virus o controllarci. Ancora più
pericoloso è scaricare file e programmi da siti non troppo
seri, che non garantiscono il loro prodotto. L'unico modo per
difenderci è attivare tutte le protezioni previste dal browser
(Explorer o Netscape) e installare, comunque un programma
antivirus.
– Dott.ssa Susan Costantini -