Quello che viene considerato il primo virus della storia si chiama Elk Cloner e fu scritto nel lontano 1982. Elk Cloner, infatti, per la prima volta riuscì ad uscire autonomamente dai laboratori presso i quali era stato sviluppato cominciando a diffond …
Quello che viene considerato
il primo virus della storia si
chiama Elk Cloner e fu scritto
nel lontano 1982. Elk Cloner, infatti,
per la prima volta riuscì ad
uscire autonomamente dai laboratori
presso i quali era stato
sviluppato cominciando a diffondersi all’esterno.
Fu sviluppato per il sistema
operativo Apple DOS 3.3 e l’unico
veicolo per la sua diffusione
era rappresentato dai floppy disk.
Da quella data in poi nacquero
migliaia di virus che divennero
oggetti sempre più diversi
rispetto ai “progenitori” con lo svilupparsi di nuove modalità
di comunicazione e con l’avvento
di nuovi sistemi operativi.
Il 26 Marzo 1999 è la data della
diffusione in Rete di Melissa,
quello che viene considerato il
primo vero worm. La prima copia
di Melissa venne inviata sul
newsgroup alt.sex: lo sviluppatore
David Smith (che fu successivamente
condannato a 20
mesi di carcere ed alla sanzione
di 5.000 dollari) inserì il codice
virale di Melissa all’interno di
un documento in formato Microsoft
Word. Aprendo tale documento
veniva visualizzata
una lista di password per l’accesso
a siti pornografici ma,
contemporaneamente, andava
in esecuzione il codice virale.
Melissa, una volta insediatosi
sul sistema, era in grado di auto-
spedirsi ai contatti presenti
nella rubrica del client di posta
utilizzando Outlook 97 od Outlook
98 (non erano supportati
altri client, nemmeno Outlook
Express). Melissa (e le successive
varianti) erano in grado di
prelevare anche documenti personali
dal disco fisso e spedirli a
terzi inserendo anche il proprio
codice nocivo. Melissa fu il primo
worm in perfetto stile: di per
sé è un “macro virus” (si attiva
all’apertura di un documento
Word infetto), si presenta come
allegato ad una e-mail, fa uso di
frasi che inducano l’utente all’apertura
dell’allegato infetto
(ingegneria sociale), una volta
andato in esecuzione sul sistema
si invia autonomamente ai
contatti presenti in rubrica.
Nel mese di Maggio 2000 cominciò
la diffusione del worm
Loveletter che sarebbe poi stato
ricordato (almeno sino al
2004) come il virus ad aver causato
più danni alle aziende.
Conosciuto anche come ILoveYou
o Love letter worm fu il
primo virus a mettere sapientemente
in pratica le tecniche di
social engineering.
Loveletter, infatti, si presentava
sotto forma di una normale
e-mail dall’oggetto “ILOVEYOU”
e con l’allegato “LOVELETTER-
FOR-YOU.TXT.vbs” che
molti utenti non mancarono di
aprire subito pensando si trattasse
di un messaggio d’amore.
L’allegato, inoltre, ad una prima
occhiata, apparve ai più assolutamente
sicuro vista l’estensione
.TXT (è noto che i file di testo
non possono essere veicolo
d’infezione non potendo contenere
codice eseguibile). In
realtà il creatore del worm –
Onel A. de Guzman, studente
della AMA Computer University,
Filippine – sfruttando il fatto
che gran parte degli utenti di
Windows mantiene attivata la
funzione del sistema operativo
che s’incarica di nascondere le
estensioni per i tipi di file conosciuti
(abilitata in modo predefinito
sin dall’installazione), ha
attribuito al file contenente il
codice del suo virus il nome
“LOVE-LETTER-FOR-YOU.TXT”
aggiungendo infine anche l’estensione
.VBS (Visual Basic
Script) che, trattandosi di una
estensione conosciuta, Windows
non visualizza. I VBScript
non erano stati in precedenza
adeguatamente presi in considerazione
per la possibilità di
essere sfruttati anche per scopi
dannosi: si tratta di una sorta di
“dialetto” del linguaggio di programmazione
Visual Basic, eseguibili
direttamente da Windows
grazie alla presenza dell’interprete
installato “di serie”.
Loveletter è stato così in grado
di “abbindolare” un numero
enorme di utenti di tutto il mondo
causando danni ingenti: una
volta eseguito sul sistema, il
worm si assicurava l’avvio ad
ogni ingresso in Windows inserendo
una serie di riferimenti
nel registro, si sostituiva a molti
tipi di file reperiti sui dischi
collegati al personal computer,
nascondeva file MP3 quindi si
spediva automaticamente ai
contatti presenti nella rubrica
di Outlook. Il worm tentava, infine,
di avviare un componente
con lo scopo rubare tutte le
password presenti sul sistema
vittima.
Nuova pietra miliare nella
storia dei virus fu Code Red, i
cui più esempi in Rete iniziarono
ad apparire a metà Luglio
2001. Code Red è il primo worm
ad infettare altri sistemi non già
grazie ad un intervento dell’utente
(il classico “doppio clic”),
magari spronato ad aprire un allegato
dalla curiosità, ma in seguito
alla mancanza di un aggiornamento
di sicurezza. Il
worm, infatti, prendeva di mira
i server web che utilizzavano
Microsoft Internet Information
Server (IIS) non opportunamente
aggiornato.
Una vulnerabilità del sistema
operativo o di uno dei suoi componenti
viene quindi per la prima
volta sfruttata per causare
l’infezione. Il worm, una volta infettato
il server web sulla quale
non era stata applicata l’apposita
patch di sicurezza, effettuava
un defacing della home page
dei siti presenti mostrando a
tutti i visitatori la frase “HELLO!
Welcome to
http://www.worm.com! Hacked
By Chinese!”. Code Red, inoltre,
andava alla ricerca di altri server
web “non patchati” da infettare
e tentava di effettuare attacchi
DoS verso numerosi siti
web uno tra i quali era quello
della Casa Bianca.
La lezione impartita da Code
Red non bastò: nel mese di Gennaio
2003, il worm SQLSlammer
causò un gran numero di attacchi
DOS generando un traffico
assolutamente insostenibile e
rallentando di fatto l’intera rete
Internet. SQLSlammer si diffuse
su così larga scala perché moltissimi
amministratori di rete,
semplicemente, “si dimenticarono”
di installare – ancora una
volta – una importantissima
patch di sicurezza per Microsoft
SQL Server, DBMS ampiamente
utilizzato in tutto il mondo.
Il codice di SQLSlammer è
estremamente compatto: il
worm non faceva altro che generare
gruppi di indirizzi IP in
modo casuale tentando di infettare
le macchine associate a ciascun
IP. La patch che avrebbe
permesso di evitare qualunque
problema era stata rilasciata da
Microsoft ben sei mesi prima:
l’accaduto evidenziò come le
politiche di sicurezza fossero
ancora argomento poco diffuso
anche in aziende decisamente
blasonate i cui sistemi furono,
in quell’occasione, subito colpiti
da SQLSlammer e diventarono
a loro volta veicolo per la diffusione
del worm.
Dopo l’imperversare del
worm Sobig ad Agosto 2003,
classificato come “trojan horse”,
nello stesso mese, a partire
da Ferragosto, Blaster ha cominciato
ad infettare tutti i sistemi
Windows sprovvisti della
patch di sicurezza MS03-026: l’adozione
di adeguate politiche di
sicurezza anche sui sistemi “casalinghi”
era una pratica poco
diffusa, assolutamente indispensabile,
invece, per evitare
di esporsi a rischi. Il virus non
usava la posta elettronica come
mezzo per l’infezione ma, una
volta insediatosi su una macchina,
cominciava a generare
indirizzi IP (corrispondenti ad
altrettante sistemi collegati ad
Internet) cercando di accedervi
sfruttando la vulnerabilità citata
in precedenza (nota anche
come Buffer overrun in RPC interface
DCOM/RPC). Nel caso in
cui la patch MS03-026 non risultava
installata, il worm riusciva
ad infettare la macchina presa
di mira dalla quale, poi, partivano
ulteriori attacchi verso altri
sistemi. In caso di infezione da
worm Blaster, il sintomo più evidente
era un riavvio inspiegabile
del personal computer durante
la connessione Internet
(veniva visualizzato un messaggio
d’errore relativamente al
servizio NTAUTHORITY\SYSTEM).
La prova di quanto fosse vasto
il problema è che ancor oggi,
a più di due anni dalla prima
infezione, il virus Blaster continua
ad infettare sistemi: in caso
di reinstallazione di Windows
NT/2000/XP/ Server 2003, provvedete
immediatamente ad applicare
la patch MS03-026 o, con
buona probabilità, qualche minuto
dopo esservi riconnessi
alla Rete, vi ritroverete con il sistema
infetto dal worm Blaster.
Panda Platinum 2006 si incarica
di verificare se sul sistema in
uso siano o meno mancanti le
patch di sicurezza che potrebbero
favorire un’infezione: è sufficiente
verificare la casella Attiva
protezione contro vulnerabilità
sia spuntata.
La finestra in figura qui a destra,
a partire da Agosto 2003, è
spesso sinonimo di infezione da
worm Blaster su sistemi Windows
XP. Blaster (alias Lovsan)
sfrutta la vulnerabilità di Windows
2000 e XP risolta da Microsoft
con il rilascio della patch
MS03-026. Una volta infettata
una macchina, il worm genera
insiemi di indirizzi IP da attaccare.
Se l’IP preso di mira non
dispone della patch di sicurezza
MS03-026, questo viene immediatamente
infettato (viene avviata
una connessione utilizzando
il protocollo TFTP – Trivial
File Transfer Protocol – che
permette di copiare il payload
del worm). Il messaggio d’errore
in figura viene mostrato dopo
un’avvenuta infezione su Windows
XP. Per interrompere il
riavvio del personal computer e
procedere con le operazioni di
rimozione del virus ed applicazione
della patch, è possibile
usare il comando shutdown -a
(da digitare al prompt dei comandi).
A Maggio 2004 si è registrata
una pressoché simile diffusione
per il worm Sasser: come il predecessore,
anche in questo caso
la repentina infezione di milioni
di sistemi Windows è stata
determinata dalla mancata applicazione
della patch di sicurezza
MS04-011, rilasciata da
Microsoft due mesi prima.
Nel mese di Gennaio 2004 i
produttori antivirus hanno lanciato
l’allerta per MyDoom: il
worm con la diffusione più ampia
in assoluto (viene veicolato
mediante una e-mail che sembra
un errore di trasmissione,
apre una backdoor sul sistema
infettato e prova a sferrare attacchi
DOS, principalmente verso
i siti di SCO, Microsoft e verso
molti motori di ricerca, Google
compreso), superiore a
quella registrata precedentemente
da Sobig.
Infine, ricordiamo Zotob:
worm che sfrutta molteplici vulnerabilità (non tempestivamente
“patchate” da parte di
amministratori ed utenti comuni)
di Windows 2000 e di Windows
XP e che ha causato, nel
corso del mese di Agosto 2005
numerosi danni anche ad aziende
ed istituzioni.
Come funzionano il riconoscimento
e l’aggiornamento delle
firme. Abbiamo detto che
Panda utilizza più approcci per
il riconoscimento di virus e
malware. Il contenuto di ogni file
controllato viene confrontato
con le informazioni inserite nell’archivio
delle definizioni virus.
Se l’antivirus rileva del codice
dannoso, può riparare il file tentando
di rimuovere quanto inserito
da parte di un virus. Azioni
alternative sono la messa in
“quarantena” del file infetto, il
blocco (viene impedito all’utente
di accedervi) o l’eliminazione
dello stesso.
Il pannello di controllo che
consente di regolare il comportamento
dell’antivirus nei confronti
di virus già “catalogati”
nell’archivio delle firme virali
del software, è la sezione Minacce
conosciute, accessibile
cliccando sul link Impostazioni
dalla finestra principale del programma
(riquadro Protezione).
Una volta installato, Panda
controlla automaticamente i file
con estensioni specifiche (file
eseguibile EXE e COM, file batch
.BAT, file .PIF e .CMD, file collegati
all’help in linea .HLP e
.CHM, documenti di Word .DOC
e .DOT, presentazioni Power-
Point .PPT, fogli di Excel .XLS,
pagine web .HTM e .HTML, salvaschermo
.SCR, file di sistema
.SYS, driver di periferica virtuale
.VXD, VBScript .VBS, immagini
JPEG ed altri ancora). Un
elenco completo è ottenibile accedendo
alla finestra principale
della suite (Stato di Platinum
2006), cliccando sul link Impostazioni,
premendo il pulsante
Imposta in corrispondenza della
voce Analizza file nel disco infine
cliccando su Estensioni. I
controlli possono contemplare,
a scelta dell’utente, anche al
contenuto dei file compressi
(Zip, Rar e così via).
È ragionevole, se lo si desidera,
estendere la scansione a tutti
i file memorizzati sul disco fisso
disattivando invece la scansione
euristica (lasciandola abilitata
per posta elettronica e
messaggistica istantanea; pulsante
Minacce sconosciute). In
questo modo si eviteranno falsi
positivi e non si penalizzeranno
le prestazioni del sistema.
La scheda Azioni permette di
stabilire il comportamento che
l’antivirus dovrà tenere allorquando
venga rilevata la presenza
di un virus o di un malware.
Nella scheda Esclusioni si
possono indicare cartelle da
non analizzare durante le operazioni
di scansione virus.
È possibile notare come Panda
escluda in modo automatico
le cartelle (System Volume
Information\_restore) correlate
con l’utilità Ripristino configurazione
di sistema. Tali cartelle,
infatti, vengono bloccate dal
sistema operativo e il loro contenuto
non è direttamente modificabile.
Nel caso in cui sia
presente un’infezione in un precedente
punto di ripristino di sistema,
si rischierebbe di vedere
comparire sempre un messaggio
d’allerta ma di non potere,
di fatto, eliminare il virus.
Per quanto riguarda i messaggi
di attenzione proposti da
Panda, oltre ai classici allarmi
visuali, il software permette di
inviare l’allerta ad un indirizzo
e-mail o ad un utente della rete
locale.
L’intero elenco dei virus e
delle altre minacce rilevabili
con Panda Platinum è consultabile
cliccando sul link Servizi,
posizionato nella colonna di sinistra
della finestra Stato.
Immettendo il nome di una
minaccia, si ottiene la lista di
tutte le eventuali varianti riconosciute:
ciascun link permette
di raggiungere la rispettiva
scheda pubblicata sul sito ufficiale
di Panda.
Oltre a proteggere il sistema
e i dati memorizzati sul disco
fisso dai malware che Panda riconosce
grazie all’archivio delle
firme virali (da qui la necessità
di aggiornare costantemente il
prodotto), l’antivirus sa anche
individuare e bloccare le attività
riconducibili ad oggetti maligni
ancora sconosciuti. L’insieme
delle funzionalità che Panda utilizza
per individuare componenti
potenzialmente nocivi le
cui caratteristiche non siano
state ancora classificate, fanno
capo alla tecnologia TruPrevent.
