Sei sulla pagina 1di 8

Archive All Download Newest

I virus informatici [Attivit DOL - I6 Rago]


Virus Informatici bio.unipd.it Tipi Di Virus wowarea.com

Archive All Download Newest


Virus Informatici

bio.unipd.it

VIRUS INFORMATICI
Sommario: GENERALITA
Un virus informatico simile ad un virus biologico: si tratta di un piccolo programma, che contiene una sequenza di istruzioni di cui alcune sono deputate alla replicazione dellintero programma. Dopo la fase riproduttiva, i virus informatici iniziano a svolgere attivit di varia natura: distruttive e/o di ostruzionismo. I virus informatici, come quelli biologici, sono pericolosi per la tendenza che hanno a dare delle epidemie. Si diffondono tramite il trasferimento di files infetti da un computer ad un altro e, cosa ancor pi grave, possono attaccare computers collegati fra loro in rete. Mentre i virus della prima generazione attaccavano soltanto i file eseguibili (che nel sistema operativo DOS sono riconoscibili in quanto hanno un estensione .COM o .EXE), i virus attuali sono in grado di inquinare molti altri tipi di files e sono anche in grado di cambiare le istruzioni del BIOS caricate in RAM, di diffondersi attraverso gli stessi supporti fisici contenuti nel PC e di danneggiare fisicamente, persino lhardware. I virus informatici della prima generazione erano in grado di diffondersi, autoreplicandosi per mezzo degli stessi programmi che essi inquinavano. Tipicamente essi svolgevano due funzioni: inizialmente copiavano se stessi in programmi non infettati; in seguito, dopo un prestabilito numero di esecuzioni, eseguivano le loro istruzioni specifiche che consistevano nella visualizzazione di messaggi, nella cancellazione o nella alterazione di files, fino alla cancellazione del contenuto dellintero hard disk, nella peggiore delle ipotesi. In questi virus, la sequenza di istruzioni che si attaccava al programma sano era sempre la stessa. I programmi antivirus riuscirono a contrastare tale tipo di infezione definendo al loro interno delle librerie contenenti le stringhe (sequenze di caratteri) di riconoscimento per i diversi virus. Tali stringhe si riferivano ad alcune sequenze di istruzioni caratteristiche dei vari virus che via via venivano scoperti. In questo modo gli antivirus potevano neutralizzare linfezione, ma era necessario il loro continuo aggiornamento allo scopo di ampliare il contenuto delle librerie. Un sostanziale passo in avanti nello sviluppo dei virus fu rappresentato ai cosiddetti Virus TSR (Terminate and Stay Resident). Si trattava di virus che, una volta eseguiti insieme ad un programma infetto, rimanevano residenti nella memoria labile (memoria RAM) del computer e infettavano in maniera non obbligatoria altri programmi, solo qualora essi avessero particolari caratteristiche. La contromossa delle case produttrici fu di dotare tali programmi della capacit di marcare (vaccinare) i programmi sani in modo di poter riconoscere immediatamente uneventuale variazione a loro carico. Il successivo passo nellescalation dei virus fu la creazione dei Virus della Boot Area, cio del primo settore dellHard Disk o dei diskette che, semplificando, quella parte del disco che deputata al mantenimento delle conoscenze riguardanti lorganizzazione logica del contenuto del disco stesso.

I nuovi antivirus dovettero quindi provvedere a controllare la presenza di virus anche in queste aree critiche dei dischi. Tutto il sistema di riconoscimento dei virus a mezzo di stringhe venuto meno con la recente comparsa dei cosiddetti Virus Multipartiti o Mutanti, la cui peculiarit risiede nel fatto che possono cambiare fino a milioni di volte il loro codice eseguibile, cio la sequenza di istruzioni contenuta nei virus stessi. In alcuni casi cambiano le istruzioni, ma il comportamento rimane lo stesso; in altri casi cambiano anche le azioni che il virus compie. A tale famiglia di virus possono essere assimilati anche i cosiddetti Virus Extra Traccia che collocano una parte del loro codice sulle tracce dei dischi che loro stessi creano. In tutti questi casi, ovviamente, il riconoscimento per stringhe specifiche perde gran parte del suo significato. Per contrastare tali tipi di virus sono stati creati degli antivirus che effettuano ricerche euristiche, o che effettuano un controllo runtime. La ricerca euristica si basa sul seguente assunto: ogni virus, quando entra in funzione, usa delle specifiche sequenze di istruzioni per: Nascondersi Assumere il controllo del PC Modificare i programmi eseguibili ecc Avendo a disposizione una libreria delle funzioni impiegate dai vari virus si pu pensare di intercettare anche virus sconosciuti purch per attivarsi utilizzino tali funzioni. Il problema che si pone in questo caso che i virus possono impiegare delle routine di funzionamento perfettamente legali, utilizzate anche dai normali progammi. Conseguentemente si rischia di creare degli antivirus troppo sensibili che riconoscono come virus anche dei programmi normali, o degli antivirus troppo poco sensibili che consentono ad alcuni virus di agire indisturbati. Una ulteriore e fondamentale questione relativa al fatto che chi, per primo, fra virus ed antivirus, riesce a prendere il controllo del PC, ha ovviamente le maggior possiblita di risultare vincitore. Lo stesso tipo di problema si pone con i cosiddetti sistemi di rilevamento runtime (trappole intelligenti) che agiscono con diverse modalit ma che, in definitiva, hanno anchessi efficacia solo qualora prendano il controllo del PC prima dei virus. Ad aggravare la situazione sono comparsi due altri tipi di virus: Virus dellI/O< Virus delle directory In questi casi il livello di azione del virus estremamente sofisticato in quanto essi riescono ad assumere il controllo del PC indipendentemente dal sistema operativo impiegato intervenendo a livello del BIOS. Da non molto tempo sono infine comparsi dei nuovi tipi di virus, i cosiddetti Virus delle Macro che si appiccicano a files documento generati per esempio con Microsoft Word per Windows, Microsoft Excel ecc Bisogna prestare particolare attenzione a questi virus in quanto essi si possono facilmente trasmettere mediante lo scambio di files di tipo documento (es. posta elettronica), anche fra sistemi operativi diversi (MacOS e DOS/Windows, magari passando per Unix). Questi virus si pongono in memoria quando viene caricato il documento infetto che li contiene e quando vengono compiute determinate operazioni (salvataggio automatico, ricerca e sostituzione di parti di testo ecc) essi prendono il controllo del programma in questione, in barba ad eventuali antivirus che non possono/debbono interferire con le normali attivit del programma. Cos pu capitare che al momento del salvataggio finale, sparisca dal disco fisso unintera directory per effetto di un ordine di cancellazione (perfettamente lecito dal punto di vista funzionale) impartito dal virus stesso. Ovviamente il documento infetto trasmetter linfezione a qualunque altro documento dello stesso tipo aperto durante

la medesima sessione di lavoro e questo, a sua volta, se aperto in un altro PC trasmetter a sua volta linfezione ad altri documenti presenti in un altro PC. I virus delle macro possono manifestarsi con una molteplicit di problemi quali: Possibilit di salvare il documento solo in formato .txt Cancellazione di icone Occupazione eccessiva di memoria fino al blocco totale del sistema Cancellazione di intere directory di files dati ecc Contro questi virus sono attivi solo gli antivirus pi recenti. Tutte le considerazioni fatte fin qui e la continua evoluzione dei virus consente di affermare che: Non esiste un antivirus migliore degli altri I migliori antivirus in circolazione, in media, mancano il bersaglio nei confronti del 10-12% dei virus presenti nel territorio in un certo momento Non e dotandosi di 5-6 antivirus che si risolve il problema della prevenzione e/o della disinfestazione. In conclusione molto dipende dalluso che un utente fa del proprio PC e in funzione di ci vanno prese opportune misure. Esiste una serie di misure di prevenzione che comunque conviene adottare e che rendono pi difficili le infezioni o pi facile il ripristino della situazione.

COSA FARE IN CASO DI INFEZIONE


Si possono ipotizzare due situazioni: DANNO GIA AVVENUTO INFEZIONE SCOPERTA IN TEMPO Nel primo caso lutente si accorge della presenza del virus in quanto, per esempio, avvenuta una formattazione a basso livello dellHard Disk. Lunica cosa da fare, in questi casi, ripristinare il contenuto dellHD con i dati di un recente backup, dopo opportuna opera di disinfestazione. Accanto allimportanza di disporre di un backup c anche da rilevare limportanza di possedere i diskette originali del sistema operativo e dei singoli programmi, protetti in scrittura e quindi sicuramente non infetti. La procedura di disinfezione nei casi pi gravi comporta: Formattazione dellHD, definizione delle partizioni e reinstallazione del Sistema Operativo. Reinstallazione dei programmi a partire dai diskettes originali, protetti in scrittura e sicuramente non infetti. Effettuzione di un RESTORE dei soli dati a partire da una copia di backup recente. NESSUN PROGRAMMA ESEGUIBILE DOVRA ESSERE RIPRESO DALLE COPIE DI BACKUP: potrebbe essere infetto. Se si sospetta un virus delle macro, prima di aprire i documenti sar opportuno controllarli con dei programmi antivirus per verificare che non siano infetti. Se linfezione invece scoperta in tempo, prima che provochi danni irreparabili, si possono fare numerose cose: Spegnere il computer e riaccenderlo lanciando il sistema operativo dal drive A, con un floppy protetto in scrittura. Eseguire dei controlli con antivirus atti a verificare la presenza del/dei virus. Fare un backup dei SOLI DATI delle applicazioni di uso corrente. Formattare lHard Disk, dopodich si ricondotti al caso del danno gi avvenuto. E da sconsigliare in linea generale la semplice disinfezione con i programmi appositi: spesso essi nel tentativo di eliminare il virus alterano in maniera definitiva il programma disinfettato che, pertanto, deve essere, comunque, reinstallato. Qualora si verifichi uninfezione, NECESSARIO controllare tutti i diskettes di cui si dispone con un programma di scansione, perch linfezione potrebbe ripetersi.

Si perder del tempo nel controllo, ma sar tempo speso bene!!! Per qualche tempo dopo linfezione conviene vigliare nei confronti di nuove infezioni: qualche diskette infetto pu essere stato dimenticato e non esser stato sottoposto allopera di controllo. Un virus informatico pu diffondersi rapidamente in una rete locale o in un computer senza che nessuno se ne accorga; pertanto conviene adottare delle norme di sicurezza: bio.unipd.it

Tipi Di Virus

wowarea.com Tipi di virus

Un virus e essenzialmente un programma in grado di produrre una copia di se stesso, e, soprattutto, contenente istruzioni capaci di arrecare danni al sistema nel quale viene eseguito. Esistono vari tipi di virus: Virus di file Sono virus che infettano i files eseguibili, come ad esempio quelli con estensione .exe oppure .com. Ogni eseguibile e composto piu o meno da tre parti: una parte di testata (header), una parte di dati, ed una parte contenente le istruzioni vere e proprie. La testata contiene un rimando (una istruzione di salto) all inizio del blocco di istruzioni. Il virus modifica questo rimando in modo di farlo puntare alla fine del file, dove viene inserito un blocco di istruzioni dannose (il corpo del virus) e comunque, alla fine di tale blocco, rimanda al punto di inizio del blocco di istruzioni originarie. Gli antivirus sono dotati di un motore di scansione che rileva la presenza di questi rimandi fittizi e la presenza di una stringa di identificazione, cioe una sequenza di istruzioni caratteristica di un dato virus. A tale scopo posseggono un database contenente tutte le stringhe dei virus conosciuti. La conclusione ovvia e: per poter essere efficace, un antivirus deve avere un database aggiornato periodicamente. In caso contrario viene a mancare un presupposto essenziale che rende la sua azione quasi nulla. Virus di boot I sistemi operativi dei computers sono formati da un insieme di programmi solitamente residenti su disko. All atto dell avvio la macchina ricerca un area del disko che contiene delle informazioni vitali del disko stesso (MBR Master Boot Record). Una volta letta quest area, la machina e in grado di riconoscere le caratteristiche del disko, come ad esempio il numero dei settori. Successivamente viene letto il record di avvio, che e un area che contiene le istruzioni per caricare il sistema operativo. Il sitema operativo puo essere fatto partire dal disko fisso del computer, oppure da un floppy disk. In ogni caso la macchina va a leggere sempre il primo settore del disko, che, nel caso del disko fisso contiene l MBR, e ne caso del floppy contiene direttamente il record di avvio. Il virus agisce spostando il blocco di istruzioni necessarie all avvio del sistema operativo (record di avvio) in una zona diversa del disko. Successivamente copia se stesso nella zona che precedentemente conteneva il record di avvio. L ultima istruzione del virus sara quella che rendera nuovamente disponibile il vero record di avvio al sistema. In questo modo il virus (che e un programma) viene attivato ad ogni avvio della macchina. Se si lascia un floppy disk nel PC spento, all atto dell accensione, la macchina ne rilevera la presenza, e tentera di caricare il sistema operativo dal floppy. Andra cosi a leggere il primo settore, che come sappiamo contiene il virus. Virus companion In ambiente MsDos, se nella stessa directory sono presenti 2 file con lo stesso nome, uno con l estensione .com, e l altro con l estensione .exe, il sistema esegue sempre il file con estensione .com prima. I virus di tipo companion creano una copia di se stessi con lo stesso nome del file con estensione .exe da infettare. Ma con estensione .com! Quindi, se viene lanciato il file eseguibile pippo (pippo.exe), il sistema utilizzera il file pippo.com (che non esisteva originariamente in quanto si tratta del virus). Questo tipo di virus non e attivo in ambiente Windows 95, ma se viene eseguito all interno di una finestra Dos, torna ad essere pericoloso!

Virus del file system Qesto tipo di virus modifica la FAT (File Allocation Table) del sistema. La FAT contiene l indice dei nomi e degli indirizzi dei files. Il virus la modifica in modo da essere eseguito prima del programma originale. Virus di macro Questa e una delle ultime generazioni di virus. Utilizzano delle caratteristiche di certi programmi come Word o Excel. Questi programmi contengono un apposito linguaggio che puo essere utilizzato per creare delle macro. Una macro non e altro che un insieme di operazioni (come ad esempio l apertura di un documento o il suo salvataggio con un nome). E possibile costruire dei modelli da associare ai documenti, che permettano l esecuzione delle macro all atto della loro apertura. Il virus e in questo caso una macro: contenente operazioni distruttive! Virus a tempo Si tratta di virus che dormono all interno dei files infetti, e si risvegliano solamente al verificarsi di determinate condizioni , come ad esempio allo scadere di una certa data o di un certo orario. Virus ANSI Si tratta di virus che sfruttano la possibilita (in ambiente MsDos) di associare ai i tasti del computer delle stringhe di caratteri che possono formare dei comandi. Il virus puo ad esempio associare alla lettera v il comando format c:, oppure al tasto INVIO il comando del *.exe! Queste associazioni vengono effettuate all interno del file config.sys. Cavalli di troia Non si tratta di veri e propri virus, in quanto non sono in grado di replicarsi, ma sono molto pericolosi. Non sono identificabili, perche si celano sotto le spoglie di un normale programma. E famoso il cavallo di troia PKZIP300.EXE, che non contiene la nuova versione del programma PKZIP (la cui ultima release non e mai arrivata a 3.0!). Copyright 1998-2005 Wowarea wowarea.com Archive All Download Newest