Per comodità dei ricercatori, suddividendoli in base al modo in cui sono scritti o al modo in cui si diffondono, i virus sono stati classificati in alcune macrocategorie. Ecco le principali. Virus di file (file infector virus). Questi virus si annidano …
Per comodità dei ricercatori, suddividendoli in base al modo in cui sono
scritti o al modo in cui si diffondono, i virus sono stati classificati in alcune macrocategorie. Ecco le
principali.
Virus di file (file infector virus). Questi virus si annidano in file di programma eseguibile, ad
esempio quelli con suffisso Exe o Com
nei
sistemi operativi Ms Dos e Windows. Entrano in azione quando tali programmi
vengono lanciati. La gran parte di questi virus si riattiva quando si avvia il
computer e rimane sempre in memoria. Quando si replicano in un altro
programma, questo diventa esso stesso un portatore di virus.
Virus del settore di avvio (boot sector virus). Questi virus si inseriscono nel cosiddetto
settore di avvio
dei
dischi usati per caricare il sistema operativo all’accensione. Molto diffusi sino
ad alcuni anni fa, si diffondevano nei floppy disk che contenevano il sistema
operativo Dos. Ogni volta che si avvia il sistema usando un disco infettato da uno
di questi virus, esso entra in azione: si carica in memoria sino allo
spegnimento, quasi sempre senza intralciare il caricamento del sistema operativo
ma svolgendo la propria azione di copia (ad esempio, su tutti i floppy disk
inseriti nel lettore) ed eventuali azioni di danneggiamento dei dati. Ogni
dischetto inserito diventa un veicolo per diffondere il virus, se usato per
avviare un altro sistema.
Virus del settore principale di avvio (master boot sector
virus).
Sono praticamente identici ai virus del settore di avvio. Quello
che cambia è che i virus del settore principale copiano i dati contenuti nel settore
di avvio in una diversa posizione del disco rigido, sostituendosi ad
essi. Il risultato è che in sistemi Windows Nt o
2000 che usano partizioni Ntfs infettate da questo tipo di virus il sistema
non parte, mentre i sistemi Windows 95, 98 e Me si
avviano egualmente, caricando di regola in memoria tale virus.
Virus multipartiti. Sono tra i virus più complessi da
realizzare e tra i più pericolosi. Infatti, possono infettare sia i settori di
avvio dei dischi (come i virus dei settori di avvio), sia i programmi (come i
virus di file). Il comportamento classico è che se anche si elimina il virus dai
file infetti, rimanendo attivo anche nel settore di avvio provvede a reinfettare
appena possibile (di regola, al boot successivo) tali file. Il discorso vale
anche al contrario: eliminando il virus dal settore di avvio, ma lanciando
uno dei file infetti, tale virus si ricopierà nuovamente anche nel settore di
avvio del disco di sistema.
Virus di macro (macrovirus).
Sono i più recenti e attualmente i più diffusi, spesso molto pericolosi.
Infettano soltanto i file di dati, quindi non i programmi. Per la precisione,
solo i file di documenti che possono contenere le cosiddette macro
definizioni
. Queste sono sequenze di
istruzioni scritte con programmi tipo Visual Basic e destinate a essere caricate e
usati con gli applicativi delle suite Office (Word, Excel, Powerpoint e Access) e
tutti i programmi compatibili. Le macro servono infatti ad automatizzare certe operazioni
nei documenti, come per esempio richiedere l’immissione di campi in un
modulo precedentemente approntato. In realtà, le operazioni eseguibili tramite
macro possono comprendere anche la cancellazione e la modifica dei file,
l’accesso ai dati riservati del sistema e molto altro
ancora, sino a generare potenzialmente veri e propri programmi di virus degli
altri tipi. I virus di macro sono relativamente più facili da realizzare
dei tipi precedenti, perciò ne esistono moltissimi. Inoltre, se creati in modo
adeguato, possono essere portabili e quindi funzionare anche su vari
sistemi operativi, ossia con tutti quelli che hanno suite di programmi
in grado di leggere il medesimo file e quindi di eseguire le
macrodefinizioni (come per esempio Macintosh).
Worm. Il worm,
che significa verme in inglese, può usare vari strumenti per diffondersi: la rete Tcp/Ip
locale, la posta elettronica e altre vie. Un virus è un programma
studiato per diffondersi da un file all’altro tra computer. Il worm può invece usare
una rete (una Lan aziendale, o la posta elettronica) e spesso non ha
bisogno dell’intervento dell’uomo per entrare in azione e diffondersi. Perché un
virus tradizionale raggiunga il suo scopo, ovvero l’infezione, bisogna invece lanciare un
programma oppure eseguire delle macro. Lo scopo in genere è comunque quello di infettare
il maggior numero di computer. In teoria, via Internet si potrebbero diffondere
worm come controlli nella tecnologia ActiveX di Microsoft o in
quella degli applet Java di Sun Microsystem. Ma questo non è ancora capitato, almeno
per quanto sappiamo. Nonostante ciò, in teoria è possibile infettare
con questi codici di programma il proprio sistema semplicemente navigando
in certi siti o eseguendo allegati di posta elettronica. I moderni
antivirus sono però in grado di avvisare e proteggere da questi codici
potenzialmente pericolosi, durante la navigazione e la lettura della posta
elettronica.
Cavalli di Troia. Questa non è propriamente una categoria di
virus, ma un modo di definire il veicolo di diffusione di certi programmi
maligni. Come suggerisce il nome, sono celati all’interno di altri programmi,
spesso innocui, utili o di tipo shareware o commerciale. Una distinzione
importante, stabilita da molti studiosi, è che i Cavalli di Troia non sono virus
puri perché non si replicano, ma entrano in azione per compiere la propria
azione di disturbo o danneggiamento. Il problema è che spesso anche virus che si
replicano si diffondono all’interno di programmi innocui o utili, o come
allegati di posta elettronica, perciò questa suddivisione arbitraria può causare
qualche confusione.
