|
 Tipi
e Tecnologie di Virus
Esistono tanti tipi e tante tecnologie dei
virus:
I
virus di programma attaccano i file di programma, che solitamente hanno queste estensioni
: .COM, .EXE, .SYS, .DLL, .OVL, o .SCR. i programmi che vengono attaccati più
comunemente dai virus sono i programmi DOS standard con estensioni .COM e .EXE.
Come tutti i programmi essi devono essere creati per un
sistema operativo specifico. La maggio parte dei virus è scritta per il DOS e
dunque non potrà mai funzionare in
Macintosh ma, potrà funzionare nei sistemi Windows perché essi supportano i
files in formato DOS.
Torna all'indice
Tutti i dischi rigidi e i dischetti hanno un record di avvio, il primo settore fisico su un dischetto oppure il primo settore logico di una partizione del disco rigido.
Questi virus mirano ad infettare i record di avvio dei dischi rigidi o dei
dischetti. Un modo tipico in cui un computer viene infettato nel record di
avvio consiste nel riavviare il computer con un dischetto infetto inserito
inavvertitamente nell'unità. Anche se il dischetto non è di avvio, il virus si
attiva e si diffonde.
I virus di avvio, a differenza di quelli di programma, possono infettare i sistemi DOS, Windows 3.x, Windows 95/98, Windows NT e persino i
sistemi Novell Netware. Questo dipende dal fatto che essi utilizzano
caratteristiche intrinseche del computer (invece del sistema operativo) per
diffondersi e attivarsi.
Un virus molto pericoloso e famoso,Stoned.Michelangelo , il 6 marzo scrive byte casuali su ogni
cilindro del disco rigido, danneggiando i dati originali. In una frazione di
secondo, le aree utilizzate all'avvio del computer e che non contengono file
vengono cancellate. È praticamente impossibile evitare che il virus distrugga
tutti i dati presenti sul disco rigido dopo che la routine distruttiva è stata
attivata.
Torna all'indice
I virus stealth sono particolari virus che cercano di nascondersi dalle
rilevazioni usando tecniche quali l'intercettazione delle operazioni di lettura
sul disco per fornire una copia non infetta dell'elemento originale al posto
della copia infetta (virus stealth di lettura), (stealth parziale), o entrambi.
Ad esempio, il virus Whale è un virus a stealth parziale. Esso infetta i file
di programma .EXE e altera le voci delle cartelle dei file infetti quando altri
programmi tentano di leggerle. Il virus Whale aggiunge 9216 byte a un file
infetto. Poiché i cambiamenti delle dimensioni dei file sono indice della
presenza di un virus, il virus sottrae successivamente lo stesso numero di byte
(9216) dalle dimensioni di file indicate nella voce di directory/cartella per
indurre l'utente a credere che le dimensioni del file non sono cambiate.
Torna all'indice
Gran parte dei virus informatici infetta i files sempre allo stesso modo e con
lo stesso codice.Un programma antivirus può rilevare il codice virale in quanto esso resta invariato e riesce a scovare il virus.
Onde evitare una rilevazione così facile, i virus polimorfici,
a
differenza dei virus semplici, mescolano il loro codice virale con quello del
programma infetto in modo tale da non far sembrare nessuna infezione uguale ad
un'altra e quindi rendono la rilevazione da parte di software antivirus più
complessa .
Torna all'indice
Questi virus rappresentano l'eccezione alla regola che vuole che
un virus infetti un file e quindi che si copi in esso.
Il virus accompagnatore crea invece un nuovo file e si affida al comportamento del DOS per entrare in esecuzione al posto del file di programma normalmente eseguito. I virus accompagnatori ricorrono a un'ampia gamma di strategie. Alcuni virus accompagnatori creano un file .COM con un nome identico a un file .EXE già esistente. Ad esempio, il virus accompagnatore potrebbe creare un file dal nome CHKDSK.COM e collocarlo nella stessa directory di CHKDSK.EXE. Ogni volta che il DOS deve scegliere tra l'esecuzione di due file con lo stesso nome, dove una ha l'estensione .EXE e l'altro l'estensione .COM, il sistema operativo esegue il file .COM.
Torna all'indice
E' importante sottolineare che i virus multivalenti possono essere sia virus di programma che di
avvio.
Ad esempio, se si esegue un programma di elaborazione di testo infettato
dal virus Tequila, il virus si attiva e infetta il record di avvio del disco
rigido. Successivamente, la prossima volta che si avvia il computer, il virus
Tequila si attiva nuovamente e inizia a infettare qualsiasi programma
utilizzato, sia che si trovi su disco rigido o su dischetto.
Torna all'indice
Virus creati appositamente per infettare i programmi Windows.
Torna all'indice
I virus che infettano i programmi agenti (come quelli che scaricano software da
Internet, ad esempio, JAVA e ActiveX).
Torna all'indice
I programmi per il trattamento dei testi si sono evoluti e non
permettono solo di scrivere testi ma anche di realizzare veri e propri programmi
macro con la possibilità che essi siano eseguiti automaticamente all'apertura
del documento infetto.
La maggior parte dei virus delle macro, una volta eseguiti, si
trasmettono al modello generale do Word, il Normal.dot, e a tutti i documenti
attivi.Una volta che la macro è stata inserita nel Normal.dot tutti i nuovi
documenti creati conterranno la macro virale, e tutti i documenti che verranno
aperti saranno infettati.
Infine si può dire che l'applicazione
funge da sistema operativo. Un unico virus delle macro può diffondersi a una
qualsiasi piattaforma in cui l'applicazione è installata e in esecuzione. Ad
esempio, un singolo virus delle macro che utilizzi Microsoft Word potrebbe
ragionevolmente diffondersi a Windows 3.x, Windows 95/98, Windows NT e al
Macintosh.
Torna all'indice
Gli Internet worm sono dei virus che si trasmettono via Internet, di solito
via e-mail.
Prendiamo ad esempio "Iloveyou" o "NewLove", questi
virus, quando viene avviato avviato un file infetto, si inviano automaticamente
a tutti gli indirizzi memorizzati nella rubrica di Outlook.
Torna all'indice
|
