TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
Virus e antivirus, l'eterna lotta fra il bene e il male
VIRUS INFORMATICI
Sommario:




GENERALITA'
COSA FARE IN CASO DI INFEZIONE
I 10 COMANDAMENTI ANTI-VIRALI (SAFE "HEX")
REGOLE DI SICUREZZA
1
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
GENERALITA'
 Un virus informatico è simile ad un virus biologico: si tratta di un piccolo
programma, che contiene una sequenza di istruzioni di cui alcune sono
deputate alla replicazione dell'intero programma.
Dopo la fase "riproduttiva", i virus informatici iniziano a svolgere attività di
varia natura: distruttive e/o di ostruzionismo.
I virus informatici, come quelli biologici, sono pericolosi per la tendenza che
hanno a dare delle epidemie.
Si diffondono tramite il trasferimento di files infetti da un computer ad un
altro e, cosa ancor più grave, possono attaccare computers collegati fra loro in
rete.
Mentre i virus della prima generazione attaccavano soltanto i file eseguibili (che nel
sistema operativo DOS sono riconoscibili in quanto hanno un estensione .COM o
.EXE), i virus attuali sono in grado di inquinare molti altri tipi di files e sono anche in
grado di cambiare le istruzioni del BIOS caricate in RAM, di diffondersi attraverso
gli stessi supporti fisici contenuti nel PC e di danneggiare fisicamente, persino
l'hardware.
I virus informatici della prima generazione erano in grado di diffondersi,
autoreplicandosi per mezzo degli stessi programmi che essi inquinavano.
Tipicamente essi svolgevano due funzioni:
1. inizialmente copiavano se stessi in programmi non infettati;
2. in seguito, dopo un prestabilito numero di esecuzioni, eseguivano le loro
istruzioni specifiche che consistevano nella visualizzazione di messaggi,
nella cancellazione o nella alterazione di files, fino alla cancellazione del
contenuto dell'intero hard disk, nella peggiore delle ipotesi.
2
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
In questi virus, la sequenza di istruzioni che si attaccava al programma sano era
sempre la stessa.
I programmi antivirus riuscirono a contrastare tale tipo di infezione definendo al loro
interno delle "librerie" contenenti le stringhe (sequenze di caratteri) di
riconoscimento per i diversi virus.
Tali stringhe si riferivano ad alcune sequenze di istruzioni caratteristiche dei vari
virus che via via venivano scoperti.
In questo modo gli antivirus potevano neutralizzare l'infezione, ma era necessario il
loro continuo aggiornamento allo scopo di ampliare il contenuto delle librerie.
Un sostanziale passo in avanti nello sviluppo dei virus fu rappresentato ai cosiddetti
Virus TSR (Terminate and Stay Resident).
Si trattava di virus che, una volta eseguiti insieme ad un programma infetto,
rimanevano residenti nella memoria labile (memoria RAM) del computer e
infettavano in maniera non obbligatoria altri programmi, solo qualora essi avessero
particolari caratteristiche.
La contromossa delle case produttrici fu di dotare tali programmi della capacità di
"marcare" (vaccinare) i programmi sani in modo di poter riconoscere
immediatamente un'eventuale variazione a loro carico.
Il successivo passo nell'escalation dei virus fu la creazione dei Virus della Boot
Area, cioè del primo settore dell'Hard Disk o dei diskette che, semplificando, è
quella parte del disco che è deputata al mantenimento delle conoscenze riguardanti
l'organizzazione logica del contenuto del disco stesso.
I nuovi antivirus dovettero quindi provvedere a controllare la presenza di virus anche
in queste aree critiche dei dischi.
Tutto il sistema di riconoscimento dei virus a mezzo di stringhe è è venuto meno con
la recente comparsa dei cosiddetti Virus Multipartiti o Mutanti, la cui peculiarità
3
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
risiede nel fatto che possono cambiare fino a milioni di volte il loro codice
eseguibile, cioè la sequenza di istruzioni contenuta nei virus stessi.
In alcuni casi cambiano le istruzioni, ma il comportamento rimane lo stesso; in altri
casi cambiano anche le azioni che il virus compie. A tale famiglia di virus possono
essere assimilati anche i cosiddetti Virus Extra Traccia che collocano una parte del
loro codice sulle tracce dei dischi che loro stessi creano.
In tutti questi casi, ovviamente, il riconoscimento per stringhe specifiche perde gran
parte del suo significato.
Per contrastare tali tipi di virus sono stati creati degli antivirus che effettuano ricerche
euristiche, o che effettuano un controllo runtime.
La ricerca euristica si basa sul seguente assunto: ogni virus, quando entra in funzione,
usa delle specifiche sequenze di istruzioni per:
1. Nascondersi
2. Assumere il controllo del PC
3. Modificare i programmi eseguibili ecc...
Avendo a disposizione una libreria delle funzioni impiegate dai vari virus si può
pensare di intercettare anche virus sconosciuti purchè per attivarsi utilizzino tali
funzioni.
Il problema che si pone in questo caso è che i virus possono impiegare delle routine
di funzionamento perfettamente legali, utilizzate anche dai normali progammi.
Conseguentemente si rischia di creare degli antivirus "troppo sensibili" che
riconoscono come virus anche dei programmi normali, o degli antivirus "troppo
poco sensibili" che consentono ad alcuni virus di agire indisturbati.
Una ulteriore e fondamentale questione è relativa al fatto che chi, per primo, fra virus
ed antivirus, riesce a prendere il controllo del PC, ha ovviamente le maggior
possiblita' di risultare vincitore.
4
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
Lo stesso tipo di problema si pone con i cosiddetti sistemi di rilevamento runtime
(trappole intelligenti) che agiscono con diverse modalità ma che, in definitiva, hanno
anch'essi efficacia solo qualora prendano il controllo del PC prima dei virus.
Ad aggravare la situazione sono comparsi due altri tipi di virus:
1. Virus dell'I/O<
2. Virus delle directory
In questi casi il livello di azione del virus è estremamente sofisticato in quanto essi
riescono ad assumere il controllo del PC indipendentemente dal sistema operativo
impiegato intervenendo a livello del BIOS.
Da non molto tempo sono infine comparsi dei nuovi tipi di virus, i cosiddetti Virus
delle Macro che si appiccicano a files documento generati per esempio con
Microsoft Word per Windows, Microsoft Excel ecc...
Bisogna prestare particolare attenzione a questi virus in quanto essi si possono
facilmente trasmettere mediante lo scambio di files di tipo "documento" (es. posta
elettronica), anche fra sistemi operativi diversi (MacOS e DOS/Windows, magari
passando per Unix).
Questi virus si pongono in memoria quando viene caricato il documento infetto che li
contiene e quando vengono compiute determinate operazioni (salvataggio
automatico, ricerca e sostituzione di parti di testo ecc...) essi prendono il controllo del
programma in questione, in barba ad eventuali antivirus che non possono/debbono
interferire con le normali attività del programma.
Così può capitare che al momento del salvataggio finale, sparisca dal disco fisso
un'intera directory per effetto di un ordine di cancellazione (perfettamente lecito dal
punto di vista funzionale) impartito dal virus stesso. Ovviamente il documento infetto
5
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
trasmetterà l'infezione a qualunque altro documento dello stesso tipo aperto durante la
medesima sessione di lavoro e questo, a sua volta, se aperto in un altro PC trasmetterà
a sua volta l'infezione ad altri documenti presenti in un altro PC.
I virus delle macro possono manifestarsi con una molteplicità di problemi quali:
a.
Possibilità di salvare il documento solo in formato .txt
b. Cancellazione di icone
c. Occupazione eccessiva di memoria fino al blocco totale del sistema
d. Cancellazione di intere directory di files dati ecc...
Contro questi virus sono attivi solo gli antivirus più recenti.
Tutte le considerazioni fatte fin qui e la continua evoluzione dei virus consente di
affermare che:
1. Non esiste un antivirus migliore degli altri
2. I migliori antivirus in circolazione, in media, mancano il bersaglio nei
confronti del 10-12% dei virus presenti nel territorio in un certo momento
3. Non e' dotandosi di 5-6 antivirus che si risolve il problema della prevenzione
e/o della disinfestazione.
In conclusione molto dipende dall'uso che un utente fa del proprio PC e in
funzione di ciò vanno prese opportune misure.
Esiste una serie di misure di prevenzione che comunque conviene adottare e che
rendono più difficili le infezioni o più facile il ripristino della situazione.
COSA FARE IN CASO DI INFEZIONE
Si possono ipotizzare due situazioni:
1. DANNO GIA' AVVENUTO
2. INFEZIONE SCOPERTA IN TEMPO
6
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
Nel primo caso l'utente si accorge della presenza del virus in quanto, per esempio, è
avvenuta una formattazione a basso livello dell'Hard Disk. L'unica cosa da fare, in
questi casi, è ripristinare il contenuto dell'HD con i dati di un recente backup,
dopo opportuna opera di disinfestazione.
Accanto all'importanza di disporre di un backup c'è anche da rilevare l'importanza di
possedere i diskette originali del sistema operativo e dei singoli programmi, protetti
in scrittura e quindi sicuramente non infetti.
La procedura di disinfezione nei casi più gravi comporta:
1. Formattazione dell'HD, definizione delle partizioni e reinstallazione del
Sistema Operativo.
2. Reinstallazione dei programmi a partire dai diskettes originali, protetti in
scrittura e sicuramente non infetti.
3. Effettuzione di un RESTORE dei soli dati a partire da una copia di
backup recente.
NESSUN PROGRAMMA ESEGUIBILE DOVRA' ESSERE RIPRESO
DALLE COPIE DI BACKUP: potrebbe essere infetto.
4. Se si sospetta un virus delle macro, prima di aprire i documenti sarà
opportuno controllarli con dei programmi antivirus per verificare che non
siano infetti.
Se l'infezione è invece scoperta in tempo, prima che provochi danni irreparabili, si
possono fare numerose cose:
1. Spegnere il computer e riaccenderlo lanciando il sistema operativo dal
drive A, con un floppy protetto in scrittura.
2. Eseguire dei controlli con antivirus atti a verificare la presenza del/dei
virus.
3. Fare un backup dei SOLI DATI delle applicazioni di uso corrente.
7
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
4. Formattare l'Hard Disk, dopodichè si è ricondotti al caso del danno già
avvenuto.
E' da sconsigliare in linea generale la semplice disinfezione con i programmi
appositi: spesso essi nel tentativo di eliminare il virus alterano in maniera definitiva il
programma disinfettato che, pertanto, deve essere, comunque, reinstallato.
Qualora si verifichi un'infezione, è NECESSARIO controllare tutti i diskettes di cui
si dispone con un programma di scansione, perchè l'infezione potrebbe ripetersi. Si
perderà del tempo nel controllo, ma sarà tempo speso bene!!!
Per qualche tempo dopo l'infezione conviene "vigliare" nei confronti di nuove
infezioni: qualche diskette infetto può essere stato dimenticato e non esser stato
sottoposto all'opera di controllo.
I 10 COMANDAMENTI ANTI-VIRALI (SAFE "HEX")
1. Limitare lo scambio di diskettes contenenti files .EXE, .COM, .OVR,
.OVL, .SYS, .DOC, .XLS fra computers.
Per principio sottoporre a controllo (scansionare) qualsiasi diskette di
provenienza sospetta prima di eseguire uno qualsiasi dei files in esso
contenuti.
2. Ridurre l'uso di programmi shareware e di pubblico dominio se non se ne
conosce la provenienza.
3. Non inserire il proprio "disco sistema" in un altro computer se non in
condizione di "protezione in scrittura".
4. Proteggere in"scrittura" tutti i propri diskette di sistema o contenenti
programmi eseguibili.
5. Se si utilizza un computer che necessita di un "bootstrap" da floppy, usare
un floppy disk protetto in scrittura.
8
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
6. Non attivare mai da floppy un sistema basato su hard disk a meno di
utilizzare un disco di sistema, protetto in scrittura e sicuramente non
infetto.
7. Non eseguire mai programmi di origine sconosciuta. Se proprio lo si
dovesse fare, avvalersi di un programma antivirus di "SCANSIONE" che
esamini il contenuto del diskette in modo di rilevare la eventuale presenza
di virus.
8. Limitare la trasmissione di files eseguibili (.COM, .EXE, .OVL, .OVR) e di
sistema (.SYS) tra computers in rete.
9. Non utilizzare i file server di rete come stazioni di lavoro.
10.Non aggiungere mai dati o files ai floppy contenenti programmi originali.
REGOLE DI SICUREZZA
Un virus informatico può diffondersi rapidamente in una rete locale o in un computer
senza che nessuno se ne accorga; pertanto conviene adottare delle norme di sicurezza:
1. Sviluppare una cultura della sicurezza come prerequisito per l'utilizzo del
computer.
2. Diminuire il più possibile i rischi di "infezione" da sorgenti interne e/o
esterne.
3. Sapere come recuperare i dati e i programmi dopo un'infezione virale.
4. Effettuare frequenti BACKUP dei dati e programmi "critici".
5. Effettuare CONTROLLI PERIODICI con programmi "antivirus".
6. Sviluppare procedure per contenere un'infezione quando incontrata.
7. Tutelare i settori più delicati dell'disco fisso (Boot area e Master Boot
Record).
9
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
Sintomi più frequenti di infezione
Rallentamento del computer: il computer lavora molto più lentamente del solito.
Impiega molto tempo ad aprire applicazioni o programmi. Il sistema operativo
impiega molto tempo ad eseguire semplici operazioni che solitamente non
richiedono molto tempo;

Impossibilità di eseguire un determinato programma o aprire uno
specifico file;

Scomparsa di file e cartelle: i file memorizzati in determinate cartelle (di
solito quelle appartenenti al sistema operativo o a determinate applicazioni)
sono scomparse perché cancellate dal virus. Potrebbero scomparire intere
cartelle e directory;

Impossibilità di accesso al contenuto di file: all'apertura di un file, viene
visualizzato un messaggio di errore o semplicemente risulta impossibile
aprirlo. Un virus potrebbe aver modificato la File Allocation Table (FAT)
provocando la perdita degli indirizzi che sono il punto di partenza per la
localizzazione dei file;

Messaggi di errore inattesi o insoliti: visualizzazione di finestre di dialogo
contenenti messaggi assurdi, buffi, dispettosi o aggressivi;

Riduzione di spazio nella memoria e nell’hard disk: riduzione significativa
dello spazio libero nell’hard disk; quando un programma è in esecuzione, viene
visualizzato un messaggio indicante memoria insufficiente per farlo (sebbene
questo non sia vero e ci siano altri programmi aperti);
10
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo

Settori difettosi: un messaggio informa della esistenza di errori nella parte di
disco sulla quale si sta lavorando e avverte che il file non può essere salvato o
che non è possibile eseguire una determinata operazione;

Modifiche delle proprietà del file: il virus modifica alcune o tutte le
caratteristiche del file che infetta. Di conseguenza risultano non più corrette o
modificate le proprietà associate al file infettato. Tra le proprietà più colpite:
data/ora (di creazione o dell’ultima modifica), la dimensione…;

Errori del sistema operativo: operazioni normalmente eseguite e supportate
dal sistema operativo determinano messaggi di errore, l’esecuzione di
operazioni non richieste o la mancata esecuzione dell’operazione richiesta;

Duplicazione di file: se ci sono due file con lo stesso nome ma con estensione
rispettivamente EXE e COM, quello con estensione COM sarà un virus. I virus
fanno così perché in caso di presenza di due file con lo stesso nome il sistema
operativo eseguirà sempre per primo quello con estensione COM;

Ridenominazione di file: un virus può rinominare i file infettati e/o file
specifici;

Problemi di avvio del computer: il computer non si avvia o non si avvia nella
solita maniera;

Blocchi del computer: nonostante l’apertura di pochi o nessun programma e la
mancanza di un pesante carico sul sistema, questo si blocca (‘crasha’),
rendendo necessario l’utilizzo del Task Manager per rimuovere il task bloccato
o riavviare il computer;

Interruzione del programma in esecuzione senza che l’utente abbia eseguito
operazioni inaspettate o fatto qualcosa che potrebbe aver provocato questo
risultato;
11
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo

Apertura e chiusura del lettore Cd/DVD senza intervento dell’utente;

Tastiera e/o mouse non funzionanti correttamente: la tastiera non scrive ciò
che è digitato dall’utente o esegue operazioni non corrispondenti ai tasti
premuti. Il puntatore del mouse si muove da solo o indipendentemente dal
movimento richiesto dall’utente;

Scomparsa di sezioni di finestre: determinate sezioni (pulsanti, menu, testi
etc…) che dovrebbero apparire in una particolare finestra sono scomparse o
non vengono visualizzate. Oppure, in finestre nelle quali non dovrebbe
apparire nulla, appaiono invece icone strane o con contenuto insolito (ad
esempio nella taskbar di Windows

Riavvio spontaneo del computer;

Antivirus disattivato automaticamente;

Programmi all'improvviso non più funzionanti o malfunzionanti;

Lentezza della connessione Internet;

Emissione da parte del computer di suoni insoliti;

Microsoft Internet Explorer si blocca o comunque funziona male dando
continui errori (ad esempio non riesce a chiudere la finestra delle applicazioni)
Si tenga comunque presente che i sintomi appena descritti potrebbero essere
riconducibili a cause diverse da virus. Nel caso di presenza di uno o più di questi
sintomi, è comunque consigliabile l'esecuzione di una scansione antivirus del
sistema;
12
TFA
VIRUS INFORMATICI
________________________________________________________________________________
Prof. Massimo Garofalo
13