Cos’è un virus del computer?

Un virus del computer è un pezzo di codice “malvagio” che si riproduce copiando se stesso nei programmi, nella sezione di avvio del PC o nei documenti e modifica il funzionamento del computer. Il virus ha bisogno di qualcuno che, consapevolmente o meno, lo faccia diffondere senza farlo sapere al proprietario del computer. Un worm è invece un programma autonomo che non ha bisogno di duplicarsi o dell’intervento dell’uomo per diffondersi. Virus e worm sono spesso chiamati malware.

Un virus può diffondersi aprendo un allegato di un’email, cliccando su un file eseguibile, visitando un sito infetto oppure vedendo una pubblicità infetta di un sito. Può diffondersi anche attraverso un dispositivo rimovibile infetto, come una pennetta USB. Una volta che un virus ha infettato l’host, può infettare altri software del sistema o altre risorse, modificare le funzioni principali o le applicazioni, oppure copiare, cancellare o crittografare i dati. Alcuni virus cominciano a duplicarsi non appena infettano l’host, mentre altri restano dormienti fino a quando non si verifica un’azione particolare.

Molti virus includono anche dei sistemi particolari per bypassare i moderni antivirus, gli antimalware e i sistemi di sicurezza. L’ascesa dello sviluppo di malware polimorfi, i quali possono cambiare il loro codice man mano che si diffondono, ha reso più difficile l’identificazione dei virus.

Tipi di virus

Infettatori di file: Gli infettatori di file si legano ai programmi, generalmente ai file .com o .exe. Alcuni di essi possono infettare qualsiasi programma richiedente l’esecuzione, come file .sys, .ovl, .prg e .mnu. Quando il programma viene caricato, al virus succede lo stesso. Altri virus di questo tipo arrivano in programmi completi che possono essere scaricati dagli allegati delle email.

Virus delle macro: I virus delle macro sfruttano i comandi macro in applicazioni come Microsoft Word. In Word, le macro sono delle sequenze di comandi o di tasti incorporate nei documenti. I virus delle macro possono aggiungere i loro codici malevoli alle sequenze macro programmate dall’utente. Microsoft ha comunque disabilitato di default le macro nelle versioni recenti di Word, di conseguenza gli hacker hanno studiato delle tecniche per far abilitare la funzione alle vittime. Dato che questi virus stanno tornando in voga, Microsoft ha aggiunto una funzionalità in Office 2016 con la quale gli addetti alla sicurezza di un’azienda possono abilitare le macro sicure e disabilitare quelle sconosciute.

Virus di overwrite: I virus di overwrite sono studiati appositamente per distruggere i dati di un file o di un’applicazione. Dopo aver infettato il sistema, un virus di questo tipo inizia a sovrascrivere i file con il proprio codice. Questi virus possono prendere di mira applicazioni o file specifici o sovrascrivere sistematicamente tutti i file in un dispositivo infetto. Un virus di overwrite può installare un nuovo codice in applicazioni o file specifici al fine di diffondersi in altri file, applicazioni o sistemi.

Virus polimorfi: Un virus polimorfo è un tipo di malware capace di mutare il proprio codice senza cambiare però le proprie funzionalità. Questo processo consente al virus di evitare gli antimalware che si basano sull’identificazione delle firme digitali del malware: una volta che la firma viene identificata il virus è capace di cambiare il proprio codice così da non essere più identificato.

Virus residenti: I virus residenti si insediano nella memoria del sistema e non è necessario il file originale del virus per infettare altri dispositivi, quindi anche se il virus originale dovesse essere eliminato sarà sufficiente compiere una specifica azione o eseguire un’applicazione per riattivare la versione immagazzinata nella memoria. I virus residenti sono problematici in quanto insediandosi nella RAM non vengono identificati dai sistemi di protezione.

Virus rootkit: Un virus rootkit è in grado di installare un rootkit non autorizzato nel sistema infettato, dando agli hacker la possibilità di fare qualunque cosa con il dispositivo. I virus rootkit sono stati progettati per bypassare gli antivirus, dato che inizialmente questi ultimi controllavano solo programmi e file. Oggi tuttavia i migliori antivirus sono in grado di identificare e contrastare i rootkit.

Infettatori del sistema di boot: I virus che infettano il sistema di boot si attaccano a programmi contenuti nei dispositivi rimovibili. Quando la vittima dell’attacco inserisce il dispositivo nel PC e successivamente esegue il riavvio, il malware si attacca al sistema di boot e si auto-esegue ogni volta che il sistema viene acceso. Questi virus oggi sono poco diffusi dal momento che i dispositivi odierni tendono a non affidarsi più di tanto ai dispositivi rigidi per l’archiviazione di file.

Storia dei virus del computer

Il primo virus conosciuto fu realizzato nel 1971 da Robert Thomas, un ingegnere di BBN Technologies. Conosciuto come “Creeper”, il virus di Thomas infettava i mainframe di ARPANET e mostrava il messaggio “Catch me if you can”.

Il primo virus “malevolo” ad essere trovato è stato “Elk Cloner”, che infettava i sistemi operativi degli Apple II attraverso i floppy disk e mostrava un messaggio divertente sui computer infetti. Elk Cloner, realizzato dal quindicenne Richard Skrenta nel 1982, è stato progettato solamente allo scopo di prendere in giro, ma ha dimostrato che era possibile installare un virus malevolo nel computer di una persona e impedire a quest’ultima di rimuoverlo.

Il termine “computer virus” è stato utilizzato solamente dal 1983. In quell’anno Fred Cohen, uno studente laureato alla University of California, ha scritto un articolo accademico intitolato “Computer Viruses — Theory and Experiments” e ha attribuito al suo consulente accademico e co-fondatore della RSA Security Leonard Adleman la coniazione del termine “computer virus”.

Virus famosi

Fra i primi virus realizzati, occorre menzionare “Brain”, apparso per la prima volta nel 1986 ed è considerato il primo virus MS-DOS per PC. Esso era un virus del sistema di boot e una volta installato nel PC si insediava nella memoria ed infettava tutti i dischi inseriti nel computer.

Il virus “Jerusalem”, anche conosciuto come “Friday the 13th”, è stato scoperto nel 1987 e si è diffuso in Israele per mezzo dei floppy disk e degli allegati delle email. Il virus DOS infettava un sistema e cancellava tutti i file e i programmi quando il calendario segnava Venerdì 13.

Il virus “Melissa”, apparso per la prima volta nel 1999, è stato distribuito attraverso gli allegati delle email. Se i sistemi infettati avevano Microsoft Outlook, il virus veniva mandato alle prime cinquanta persone nella lista dei contatti. Il virus infettava anche le macro in Microsoft Word e indeboliva i sistemi di sicurezza.

Il Trojan “Archiveus”, apparso nel 2006, è stato il primo caso di ransomware che utilizzava una forte crittografia per crittografare i file e i dati degli utenti. Archiveus prendeva di mira i sistemi Windows, usava gli algoritmi di crittografia RSA (le versioni precedenti di ransomware utilizzavano una tecnologia di crittografia più debole e facilmente neutralizzabile) e chiedeva alle vittime di acquistare dei prodotti da una farmacia online.

Il Trojan “Zeus”, uno dei virus più conosciuti e diffusi nella storia, è apparso per la prima volta nel 2006 ma si è evoluto nel corso degli anni e continua tuttora a creare problemi con le nuove versioni. Zeus era inizialmente utilizzato per infettare sistemi Windows e rubare le credenziali bancarie e le informazioni dell’account alle vittime. Il virus si diffondeva con attacchi di phishing, con download drive-by e con tecniche man-in-the-browser. Il kit di malware Zeus è stato modificato dai cybercriminali per impedirne il riconoscimento da parte degli antivirus e per creare nuove varianti del Trojan come “ZeusVM”, che utilizza delle tecniche di steganografia per nascondere i suoi dati.

“Cabir” è il primo esempio di virus per telefoni che prendeva di mira l’ormai defunto sistema operativo Nokia Symbian. Si pensa che il virus sia stato creato da un gruppo originario della Repubblica Ceca e della Slovacchia chiamato 29A, che lo ha mandato a diverse compagnie produttrici di antivirus, come Symantec negli USA o Kaspersky Lab in Russia. Cabir è considerato una proof-of-concept dal momento che prova che è possibile creare un virus per i cellulari, fatto che una volta non era ritenuto possibile.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *