Cenni sui Virus – Concetti di Base

(wikipedia) Virus è un frammento di software, composto da un insieme di istruzioni, appartenente alla categoria dei malware, che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di sé stesso, generalmente senza farsi rilevare dall’utente. Comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso, per essere attivato, deve infettare un programma ospite, o una sequenza di codice che viene lanciata automaticamente, in genere va ad infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che deve infettare.

Si possono distinguere due fasi di un virus:

- quando è solo presente su un supporto di massa (disco fisso, floppy, CD, …) il virus è inerte, anche se copiato sul proprio PC non è in grado di fare nulla fino a quando non viene eseguito il programma che lo ospita;

- quando è stato caricato in memoria RAM il virus diventa attivo ed inizia ad agire.

I virus informatici più semplici sono composti da due parti essenziali, sufficienti ad assicurarne la replicazione:

- una routine di ricerca, che si occupa di ricercare dei file adatti ad essere infettati dal virus e controlla che gli stessi non ne contengano già una copia

- una routine di infezione, con il compito di copiare il codice del virus all’interno di ogni file selezionato dalla routine di ricerca in modo che venga eseguito ogni volta che il file infetto viene aperto, in maniera trasparente rispetto all’utente

- una routine di attivazione, che contiene i criteri in base ai quali il virus decide se effettuare o meno l’attacco

- il payload, una sequenza di istruzioni in genere dannosa per il sistema ospite, come ad esempio la cancellazione di alcuni file

- routine di decifratura, contenente le istruzioni per decifrare il codice del virus;

- routine di cifratura, di solito criptata essa stessa, che contiene il procedimento per criptare ogni copia del virus;

- una routine di mutazione, che si occupa di modificare le routine di cifratura e decifratura per ogni nuova copia del virus.

TANTI TIPI DI VIRUS:

virus polimorfico
un virus, di solito, viene criptato, modifica il codice della routine di decriptazione ad ogni nuova infezione (lasciando ovviamente invariato l’algoritmo) mediante tecniche di inserimento di codice spazzatura.

virus metamorfico
simile al virus polimorfico, è però in grado di mutare completamente il proprio codice, è più potente del virus polimorfico in quanto alcuni software antivirus possono riconoscere un virus dal codice anche durante l’esecuzione.

exe/com virus
virus che infettano i file eseguibili .EXE, e .COM

companion virus
agisce su file a livello DOS (ormai rari).

virus di boot
un tipo di virus ormai poco diffuso, che infetta il boot sector dei dischi (floppy disk o hard disk)

macrovirus
può essere contenuto generalmente in un documento di Microsoft Word, Microsoft Excel o Microsoft PowerPoint e consiste in una macro; può diffondersi a tutti i documenti che vengono aperti con quella particolare applicazione.

retrovirus
virus che si annida nei programmi antivirus e li mette fuori uso.

virus multipiattaforma
ci sono stati vari tentativi per creare virus che infettassero più sistemi operativi funzionanti sotto la stessa architettura hardware e lo stesso processore, ma si sono rilevati degli insuccessi o hanno avuto un successo molto limitato. Un esempio è il virus winux [1] che in teoria può infettare sia i sistemi operativi della Microsoft che quelli unix-like (es: GNU/Linux) giranti sotto CPU x86.