Lezione Virus Informatici VIRUS INFORMATICI Un virus informatico è simile ad un virus biologico: si tratta di un piccolo programma, che contiene una sequenza di istruzioni di cui alcune sono deputate alla replicazione (riproduzione) dell'intero programma. Dopo la fase "riproduttiva", i virus informatici iniziano a svolgere attività di varia natura: distruttive e/o di ostruzionismo. I virus informatici, come quelli biologici, sono pericolosi per la tendenza che hanno a dare delle epidemie. Si diffondono tramite il trasferimento di files infetti da un computer ad un altro e, cosa ancor più grave, possono attaccare computers collegati fra loro in rete. Mentre i virus della prima generazione attaccavano soltanto i file eseguibili (che nel sistema operativo DOS sono riconoscibili in quanto hanno un estensione .COM o .EXE), i virus attuali sono in grado di inquinare molti altri tipi di files e sono anche in grado di cambiare le istruzioni del BIOS caricate in RAM, di diffondersi attraverso gli stessi supporti fisici contenuti nel PC e di danneggiare fisicamente, persino l'hardware. – Dott.ssa Susan Costantini - Lezione Virus Informatici Virus di prima generazione I virus informatici della prima generazione erano in grado di diffondersi, autoreplicandosi per mezzo degli stessi programmi che essi inquinavano. Tipicamente essi svolgevano due funzioni: 1. inizialmente copiavano se stessi in programmi non infettati; 2. eseguivano le loro istruzioni specifiche che consistevano nella visualizzazione di messaggi, nella cancellazione o nella alterazione di files, fino alla cancellazione del contenuto dell'intero hard disk, nella peggiore delle ipotesi. In questi virus, la sequenza di istruzioni che si attaccava al programma sano era sempre la stessa. I programmi antivirus riuscirono a contrastare tale tipo di infezione definendo al loro interno delle "librerie" contenenti le sequenze di istruzioni che permettevano il riconoscimento per i diversi virus. Quindi queste sequenze di istruzioni erano caratteristiche dei vari virus che via via venivano scoperti ed in questo modo gli antivirus potevano neutralizzare l'infezione, ma era necessario il loro continuo aggiornamento allo scopo di ampliare il contenuto delle librerie. – Dott.ssa Susan Costantini - Lezione Virus Informatici Virus Mutanti La peculiarità dei Virus Multipartiti o Mutanti, risiede nel fatto che possono cambiare fino a milioni di volte il loro codice eseguibile, cioè la sequenza di istruzioni contenuta nei virus stessi. In alcuni casi cambiano le istruzioni, ma il comportamento rimane lo stesso; in altri casi cambiano anche le azioni che il virus compie. In tutti questi casi, ovviamente, il riconoscimento per stringhe specifiche perde gran parte del suo significato. Per contrastare tali tipi di virus sono stati creati degli antivirus che effettuano ricerche euristiche. La ricerca euristica si basa sul seguente assunto: ogni virus, quando entra in funzione, usa delle specifiche sequenze di istruzioni per: - Nascondersi - Assumere il controllo del PC - Modificare i programmi eseguibili ecc... Avendo a disposizione una libreria delle funzioni impiegate dai vari virus si può pensare di intercettare anche virus sconosciuti purchè per attivarsi utilizzino tali funzioni. Il problema che si pone in questo caso è che i virus possono impiegare delle routine di funzionamento perfettamente legali, utilizzate anche dai normali progammi. Conseguentemente si rischia di creare degli antivirus "troppo sensibili" che riconoscono come virus anche dei programmi normali, o degli antivirus "troppo poco sensibili" che consentono ad alcuni virus di agire indisturbati. – Dott.ssa Susan Costantini - Lezione Virus Informatici Due altri tipi di virus: 1. Virus dell'I/O 2. Virus delle directory In questi casi i virus riescono ad assumere il controllo del PC indipendentemente dal sistema operativo impiegato intervenendo a livello del BIOS. I cosiddetti Virus delle Macro si appiccicano a files documento generati per esempio con Microsoft Word per Windows, Microsoft Excel ecc... Bisogna prestare particolare attenzione a questi virus in quanto essi si possono facilmente trasmettere mediante lo scambio di files di tipo "documento" (es. posta elettronica), anche fra sistemi operativi diversi (MacOS e DOS/Windows, magari passando per Unix). Questi virus si pongono in memoria quando viene caricato il documento infetto che li contiene e quando vengono compiute determinate operazioni (salvataggio automatico, ricerca e sostituzione di parti di testo ecc...) essi prendono il controllo del programma in questione. Così può capitare che al momento del salvataggio finale, sparisca dal disco fisso un'intera directory per effetto di un ordine di cancellazione (perfettamente lecito dal punto di vista funzionale) impartito dal virus stesso. Ovviamente il documento infetto trasmetterà l'infezione a qualunque altro documento dello stesso tipo aperto durante la medesima sessione di lavoro e questo, a sua volta, se aperto in un altro PC trasmetterà a sua volta l'infezione ad altri documenti presenti in un altro PC. – Dott.ssa Susan Costantini - Lezione Virus Informatici COSA FARE IN CASO DI INFEZIONE Si possono ipotizzare due situazioni: 1. DANNO GIA' AVVENUTO 2. INFEZIONE SCOPERTA IN TEMPO Nel primo caso l'utente si accorge della presenza del virus in quanto, per esempio, è avvenuta una formattazione a basso livello dell'Hard Disk. L'unica cosa da fare, in questi casi, è ripristinare il contenuto dell'Hard Disk con i dati di un recente backup, dopo opportuna opera di disinfestazione. Accanto all'importanza di disporre di un backup c'è anche da rilevare l'importanza di possedere floppy originali del sistema operativo e dei singoli programmi, protetti in scrittura e quindi sicuramente non infetti. La procedura di pulitura nei casi più gravi comporta: 1. Formattazione dell'HD, definizione delle partizioni e reinstallazione del Sistema Operativo. 2. Reinstallazione dei programmi a partire dai diskettes originali, protetti in scrittura e sicuramente non infetti. 3. Effettuzione di un ripristino dei soli dati a partire da una copia di backup recente. – Dott.ssa Susan Costantini - Lezione Virus Informatici Se l'infezione è scoperta in tempo, prima che provochi danni irreparabili, si possono fare numerose cose: 1. Spegnere il computer e riaccenderlo lanciando il sistema operativo dal drive A, con un floppy protetto in scrittura. 2. Eseguire dei controlli con antivirus atti a verificare la presenza del/dei virus. 3. Fare un backup dei SOLI DATI delle applicazioni di uso corrente. 4. Formattare l'Hard Disk. E' da sconsigliare in linea generale la semplice disinfezione con i programmi appositi: spesso essi nel tentativo di eliminare il virus alterano in maniera definitiva il programma disinfettato che, pertanto, deve essere, comunque, reinstallato. Cose da ricordare Qualora si verifichi un'infezione, è NECESSARIO controllare tutti i floppy di cui si dispone con un programma di scansione, perchè l'infezione potrebbe ripetersi. Si perderà del tempo nel controllo, ma sarà tempo speso bene!!! Per qualche tempo dopo l'infezione conviene "vigilare" nei confronti di nuove infezioni: qualche floppy infetto può essere stato dimenticato e non esser stato sottoposto all'opera di controllo. – Dott.ssa Susan Costantini - Lezione Virus Informatici Come si diffondono i virus informatici? Perchè un virus possa penetrare nel computer è necessario che esso venga a contatto col supporto che contiene il virus (cioè il programma virus). In questo modo il programma virus si autoinstalla sulla macchina e provoca (o a tempo o immediatamente) i danni per cui è stato creato. Un computer può venire a contatto con un virus attraverso: - Un dischetto floppy. - Un CD-ROM - La rete interna -La rete Internet Naturalmente il programma virus non compare mai nelle cartelle contenute nel dischetto, per cui non possiamo individuarlo con una lettura del supporto. Un virus può essere eliminato solo da un supporto riscrivibile, come dischetti floppy e hard disk, ma non da un CD-ROM, che non è riscrivibile. – Dott.ssa Susan Costantini - Lezione Virus Informatici Come ci si può difendere dai virus informatici? 1. Fare molta attenzione quando si inserisce un dischetto o un CD-ROM nel computer, nel senso di verificarne la provenienza in modo da essere sicuri che non contengano virus. Buona norma è non utilizzare dischetti esterni, usati su altri computer, o CD-ROM masterizzati in casa. 2. Installare un programma antivirus e mantenerlo costantemente aggiornato. Questo avverte se si sta inserendo un dischetto o un CD-ROM infetto. In questo modo si può ripulire il supporto o precludere l'operazione. E' buona norma provvedere saltuariamente ad una scansione del disco fisso alla ricerca di una eventuale presenza di virus, per eliminarli. 3. Proteggere i computer collegati in rete interna. In questo caso, comunque esistono programmi antivirus per la rete, che garantiscono un certo grado di sicurezza. 4. Proteggere i computer dalla rete Internet. Internet rappresenta il veicolo più interessante per la diffusione di un virus. Appena ci si collega, chiunque può penetrare nel nostro computer e installare virus o controllarci. Ancora più pericoloso è scaricare file e programmi da siti non troppo seri, che non garantiscono il loro prodotto. L'unico modo per difenderci è attivare tutte le protezioni previste dal browser (Explorer o Netscape) e installare, comunque un programma antivirus. – Dott.ssa Susan Costantini -