Un virus e' un programma, un'insieme di istruzioni (linee di programma), che consente di replicarsi ed e' stato creato per compiere alcune azioni, reagendo in modi previsti al verificarsi di determinate condizioni. Quando un file è attaccato da un virus, quest'ultimo inserisce nelle linee di codice di quel file, il suo codice virale, in modo tale che ogni qualvolta venga eseguito quel file il virus entra in azione. Quindi in sostanza il virus "si aggiunge" al file.

Con i virus delle prime generazioni, ciò avveniva in modo diretto ed abbastanza semplice. Le istruzioni del programma virale obbligavano il PC ad andare a cercare un qualunque eseguibile e a copiarle all'interno o alla fine dello stesso programma. In tal modo quel programma, ormai infetto, ad ogni esecuzione successiva attaccava il virus a un altro programma qualunque e così l'infezione si propagava. Questa tecnica, provocava rapidamente un deterioramento della F.A.T. (File Allocation Table), poiché se il programma sano iniziava e finiva in un preciso punto del disco fisso, il suo allungamento forzato, per effetto del virus, andava speso a coprire parti del disco in cui erano collocati altri programmi e ne generava il mal funzionamento o il blocco del sistema. Per ovviare all'inconveniente i costruttori di virus, scissero il virus in due parti: la prima parte dava istruzioni al computer perché leggesse il programma infettato come se fosse diventato di lunghezza maggiore, esattamente come sarebbe avvenuto; poi costringeva il PC a leggere ed eseguire le istruzioni virali poste nella seconda parte del virus che era collocata alla fine del programma originario sano; infine, eseguite per intero le istruzioni virali, che consentivano d'infettare in modo identico un altro programma, era portata a termine l'esecuzione del programma originale. In tal modo la F.A.T. veniva correttamente modificata e l'ignaro utente non si accorgeva della presenza del virus fino a quando esso attivava la funzione distruttiva.

 Il file infetto logicamente deve essere eseguibile o che esegue delle procedure automatiche. Un file di testo ad esempio non potrà mai contenere un virus, in quanto non si esegue. In teoria anche un file creato con Word o Excel non potrebbe contenere virus, ma questi programmi offrono la possibilità di eseguire delle macro nelle quali si possono aggiungere linee di codice virale in maniera del tutto, o quasi, trasparente ed essere eseguite all'apertura del file. Le condizioni di funzionamento che vengono prese come riferimento per attivare la fase distruttiva, sono le più varie e possono essere un giorno dell'anno (che viene letto attraverso l'orologio del PC), ad una certa ora in un determinato giorno; un definito numero di avviamenti del PC successivi alla prima infezione; uno specificato numero di infezioni già attuate etc. etc. I classici file eseguibili sono quelli con estensione .COM - .EXE - .BAT, tuttavia essi hanno una struttura interna diversa.
I file .COM vengono caricati in memoria così come sono, mentre quelli .EXE vengono caricati seguendo le indicazioni contenuti nel header. Però, ai soli fini dell'esecuzione, per il DOS è di scarsa importanza che un file abbia una o l'altra estensione: entrambe indicano che il file deve essere eseguito e il sistema operativo verificherà solo successivamente quale è la vera struttura del file e precisamente quando lo caricherà in memoria. È su questo particolare che si gioca la scelta di collocare il virus con poche istruzioni all'inizio e con tutto il resto alla fine del programma da infettare.

Il virus ha un nome che viene attribuito dallo scopritore, e talvolta ha attinenza con gli effetti provocati. Esistono famiglie di virus o ceppi virali, in quanto i virus non sono figli unici, ma spesso discendono da una comune progenie. Chi crea un virus può farlo ex-novo, o modificandone uno esistente. Inoltre impulso a modificare il virus viene dal fatto che questo può essere scoperto e riconosciuto dagli antivirus. Il virus modificato e' un virus nuovo almeno in parte, e quindi non sempre riconoscibile dagli antivirus fino a quando il suo codice non viene scoperto, e inserito nelle versioni successive dei programmi antivirus.

Oltre a cancellare i dati dal disco duro, i virus sono anche in grado di danneggiare il tuo materiale, annullando il flash bios della scheda madre o di altre periferiche essenziali. (Il virus W95.CIH, durante la sua attivazione, - il 26 di ogni mese - tenta di distruggere il flash bios delle mother boards).

Come si trasmettono
I virus si trasmettono passando file (tramite dischetti, rete, ftp, allegati di posta elettronica), o lavorando e scrivendo con un dischetto su un computer infetto. E' possibile lavorare in un computer potenzialmente infetto e non infettarsi, attraverso un dischetto protetto da scrittura. Naturalmente potremo solo stampare o effettuare delle modifiche senza però poterle salvare.Oggi la diffusione si ha attraverso la posta elettronica: una tattica è quella di inviare un messaggio trabochetto, che ci avverte di un pericoloso virus che si annida in un apparentemente innocuo messaggio che potrebbe arrivarci. Siamo invitati girare il messaggio al maggior numero di persone e, a titolo di referenza, ci viene fatto notare che la comunicazione arriva da una nota azienda informatica (alternativamente IBM e Microsoft, o altre). Attenzione però, un virus non si può trasmettere tramite il semplice messaggio di posta elettronica, ma solo tramite file allegato al messaggio di posta elettronica. 

Il messaggio di posta usa il set di caratteri ascii ristretto (due alla settima) che da 128 caratteri disponibili. Il set di caratteri esteso (due alla ottava, che fornisce gli ulteriori 128 caratteri per arrivare a 256) varia da paese a paese. Qualsiasi file trasmesso nel corpo del messaggio arriverebbe diverso, e quindi "non funzionante" a seconda dei server per i quali e' transitato.
Ecco perché se si scrive un messaggio di posta elettronica con le lettere accentate (caratteri del set ascii esteso) queste vengono sostituite da altri caratteri, provocando un errore di visualizzazione. Infatti per trasmettere file si usa l'allegato, con i vari standard per la trasmissione (MIME; BINHEX) proprio per evitare questo problema. Un messaggio di posta elettronica che non contenga file allegati e' assolutamente innocuo e, al limite, può contenere insulti o cose non interessanti, ma nulla di più.
Anche se il messaggio contiene un file infetto, il messaggio in se non e' pericoloso, ma solo il file e solo se questo viene aperto ed eseguito. Il virus esiste ma non e' informatico: l'infezione non e' reale ma virtuale, ed e' nel panico generato dal messaggio. L'utente ignaro legge il messaggio, e spaventato accetta il consiglio e gira il messaggio a tutti i suoi conoscenti, amici più cari etc.
Il flusso dei falsi allarmi diventa esponenziale fra varie comunità di utenti e il virus ha fatto il suo effetto, complici gli ignari e preoccupati utenti. A questo proposito si può guardare al sito della Symantec (Norton), la pagina
http://www.symantec.com/avcenter/hoax.html

Le azioni di un virus

  • E' ospite in un file, in un settore di boot ,o in un documento.
    (a seconda che si tratti di un virus di un file eseguibile, di un virus di boot o di un macro virus di Word)

  • Il Virus si autoreplica: cioè al verificarsi di determinate condizioni (che vedremo in dettaglio piu' avanti) aggiunge il proprio codice al file che attacca. Il risultato e' un file modificato
    che permette al Virus di agire.

  • Compie tutte queste operazioni in maniera nascosta e senza il consenso dell'utente.

Periodo di incubazione e trasmissione del Virus e come accorgersene

A seconda del tipo di infezione, i "primi sintomi" possono essere vari. Spesso la presenza del Virus e' a sintomatica e senza effetti dannosi immediati, in quando se l'utente se ne accorgesse subito non sarebbe possibile la propagazione dell'infezione tra gli utenti
Infatti esiste un vero e proprio periodo di incubazione del Virus, durante il quale l'utente riesce a lavorare ugualmente e il virus si espande, se l'utente scambia i propri file con altre persone.


 Virus di Eseguibile
La data di sistema può essere alterata, possono verificarsi eventi strani e non motivati, mai osservati, fino a quando il computer non viene bloccato dal Virus, e solo allora compaiono messaggi rivelatrici del virus. Il file eseguibile infettato ha una dimensione necessariamente maggiore del file originale, e puo' avere anche data e ore modificate.

 Macrovirus di Word
Il file infettato ha alcune operazioni inibite: Da Word e' impossibile salvarlo in altri formati (file/salva con nome/tipo di documento) e compare come .dot (modello di documento) anche se ha l'estensione .doc. In alcuni casi e' addirittura impossibile scegliere altre directory e unita'. Il programma salva il documento aperto anche se non sono state apportate modifiche (sta scrivendo sul file aperto il codice dell'infezione). In questo caso conviene vedere se nel file sono presenti istruzioni macro che noi non abbiamo creto (da Word "strumenti/macro" per visualizzare le macro presenti). In questo caso la macro sarà proprio il Virus. Tutte queste caratteristiche possono o meno verificarsi, o se ne possono verificare altre, a seconda del tipo di Virus. Ad esempio, per i file di Macro, Office 97 prevede un opzione (strumenti/opzioni/standard/ spuntare la casella "attiva protezione da virus di macro") per avvertire l'utente che si sta aprendo un documento contenente macro.

Effetti dei Virus
Su Internet sono disponibili molte risorse che ci indicano gli effetti dei virus.
Alla url http://www.metro.ch/avpve/ e' consultabile il database di AVP virus encyclopedia dove possiamo ricercare gli effetti dei virus per nome. Altre risorse utili e consigliabili sono i newsgroup, come it.comp.virus.

 

Ritorna alla pagina precedente