Cosa sono i nuovi virus che circolano in Rete e come è possibile difendersi. Qualche consiglio per evitare problemi
2 agosto 2004 Se una volta il rischio di vedere il
proprio personal computer vittima di un’infezione era piuttosto ridotto
(l’Internet di massa era ancora lontana) e i principali virus si diffondevano
principalmente attraverso lo scambio di floppy disk tra amici e colleghi, oggi
la diffusione della posta elettronica e l’utilizzo intensivo del web, hanno
portato alla nascita di nuove tipologie di virus , favorendone enormemente la diffusione. L’evoluzione dei sistemi operativi ha poi paradossalmente dato una spinta al proliferare di nuovi virus, sempre più pericolosi e sempre più abili a replicarsi.
L’arrivo dei linguaggi di scripting ha reso lo sviluppo di
virus molto più semplice: i virus worm (script worm) sono
infatti scritti il più delle volte in Visual Basic Script (Vbs) e le competenze
tecniche necessarie per la progettazione di un virus di questo tipo sono oggi
estremamente ridotte rispetto al passato. Da tempo sono comparsi in rete
software che includono in sé routine di base e stralci di codice già pronti per
creare, in men che non si dica, nuovi worm. L’evoluzione del software ha quindi
portato, insieme con i benefici che tutti conosciamo (maggiore semplicità
nell’utilizzo delle applicazioni, nello sviluppo di programmi, nella gestione
del sistema operativo) anche molti svantaggi: il sistema operativo è divenuto un
oggetto sempre più complesso (deve poter gestire un numero sempre maggiore di
periferiche, di protocolli, si è aperto sempre di più alla rete Internet…)
tanto che alcuni bug e vulnerabilità (non messi a nudo durante
le fasi di beta testing) vengono proprio sfruttati da parte dei cosiddetti
network worm o Internet worm per far danni. Grazie proprio a
carenze di sicurezza del sistema operativo, non tempestivamente risolte, i virus
di tipo Internet worm sono in grado di insediarsi “indisturbati”
all’interno del sistema “vittima”.
Basti pensare ai danni che il virus Nimda (il primo a sfruttare in modo
intensivo le vulnerabilità del sistema operativo) ha causato nel 2001, a livello
mondiale. La sua principale caratteristica è quella di sfruttare una
vulnerabilità insita all’interno di Windows per autoeseguirsi e per
diffondersi, così, indisturbato. Con Nimda si è voluto dimostrare che a volte,
nonostante non vengano aperti allegati infetti, il proprio sistema può essere
ugualmente “contagiato” qualora non si abbia provveduto ad installare le
necessarie patch a risoluzione delle varie vulnerabilità. Nimda è in grado di
sfruttare le risorse condivise nelle reti locali per diffondersi ulteriormente.
Ciò significa che il worm esamina la rete cui appartiene il computer infetto
ricercando le cartelle condivise che permettono la scrittura. Non appena viene
trovata una cartella con i diritti di scrittura, Nimda la rinomina ed inserisce,
al suo interno, il codice virale.
Il worm sfrutta poi una vulnerabilità di Iis (il server web usato da parte
del 30% dei server di tutto il mondo) denominata Iis Web directory traversal per
la quale era stata già rilasciata una patch ma che evidentemente pochi avevano
provveduto ad installare. Gli utenti che si collegavano ad un server web
infetto, ricevevano così la richiesta di scaricare un file .eml (estensione
associata alle e-mail di Outlook) che conteneva, in allegato, il pericolosissimo
worm. Chi faceva uso della versione 5.0 di Internet Explorer riceveva la
richiesta di download del file virale mentre chi usava la versione 5.5 senza
aver installato le opportune patch veniva automaticamente colpito dal virus.
I worm, di qualunque genere essi siano, trovano nella
posta elettronica il principale (nonché ideale) mezzo di
diffusione
. Sempre più di frequente, infatti, è possibile imbattersi in loro come semplici allegati ai messaggi di posta.
Fino a qualche tempo fa, i virus di qualunque genere – non potevano nuocere se non ne veniva eseguito il codice virale da parte dell’utente (generalmente, con il classico “doppio clic”). Oggi i virus worm stanno facendo di tutto per fare in modo di essere attivati anche senza il “doppio clic”: ciò può rendersi possibile, appunto, sfruttando vulnerabilità del sistema operativo, del client di posta elettronica o del browser Internet (Nimda docet…).
Chi sviluppa virus, comunque, usa calarsi nella mentalità dell’utente normale cercando di stabilire quali possano essere gli stratagemmi migliori affinché la propria “creatura maligna” abbia le maggiori probabilità di essere avviata. Qualora infatti il worm non sia in grado di sfruttare le vulnerabilità di un sistema per “auto-eseguirsi” (ad esempio qualora Windows, Internet Explorer ed il client di posta siano stati correttamente aggiornati con le ultime patch di sicurezza), vengono comunque spesso attribuiti – all’allegato infetto che riceviamo via posta elettronica – nomi invitanti o curiosi. Alcuni virus worm uniscono, poi, nel corpo della e-mail, messaggi del tipo Ciao. Questo è il documento che stavi aspettando… oppure esortano ad aprire l’allegato dichiarando che contiene materiale pornografico, stravagante o foto osé.
Uno dei consigli migliori è quindi sempre quello di
non lasciarvi ingannare delle e-mail
che vi arrivano e vi invitano ad aprire file allegati.
Cavalli di Troia. I cosiddetti Trojan horse (Cavalli di Troia) sono invece piccoli programmi che non si replicano, così come fanno i virus, ma che sono in grado di causare danni o comunque di compromettere la sicurezza del personal computer ove vengono eseguiti. Come il corrispondente esemplare in legno, utilizzato da Ulisse per espugnare Troia, i trojan horse nascondono dietro alle sembianze di un gioco o di un’utilità, la loro natura maligna.
I Cavalli di Troia, suddivisibili a loro volta in backdoor e Remote administration trojan, aprono poi un varco che consente attacchi dall’esterno rendendo così il proprio personal computer assolutamente vulnerabile. Alcuni di essi inviano messaggi di posta elettronica o avvisi ad “hacker” remoti, comunicando l’indirizzo Ip di volta in volta associato alla macchina “vittima”, affinché questa possa essere agevolmente violata.
Grazie alla diffusione dei client peer to peer (per esempio WinMx, Kazaa, eDonkey/e-Mule, IMesh,…) per lo scambio di file tra utenti remoti, i Cavalli di Troia hanno trovato nuova linfa vitale: se tali programmi vengono scaricati ed eseguiti sul proprio personal computer, i nostri dati personali possono facilmente diventare preda di malintenzionati. SubSeven, uno dei Cavalli di Troia più pericolosi, permette ad un hacker remoto di assumere addirittura il controllo totale sul personal computer infetto.
In alternativa, chi fa
uso dei Cavalli di Troia, usa pubblicarli sui newsgroup
– sotto mentite spoglie -, li invia come allegati a messaggi di posta elettronica, li rende prelevabili da siti web celandone il comportamento “offensivo”, li diffonde tramite software di messaggistica istantanea come (come Icq, Msn, Aim) o via Irc. Spesso si invitano gli utenti a scaricare ed eseguire un trojan indicandolo come un aggiornamento indispensabile per il sistema operativo.
Macro virus. Insieme ai
worm, i macro virus sono i virus che oggi sono più diffusi. Una macro consiste
in una serie di istruzioni che permettono di automatizzare dei processi evitando
di dover compiere operazioni ripetitive manualmente. Tutti i programmi del
pacchetto Microsoft Office permettono l’utilizzo di macro all’interno di
documenti da essi prodotti: i macro virus sfruttano questa funzionalità per
compiere azioni maligne sul personal computer infetto. Una
volta aperto (ad esempio quale allegato ad un normale messaggio di posta
elettronica) un documento Word o Excel infetto da macro virus, solitamente –
oltre ad essere causati danni più o meno gravi ai dati memorizzati sul disco
fisso – provvede a modificare il file “modello”
(template) in base al quale vengono creati tutti gli altri. In questo modo tutti i documenti creati, ad esempio, con Word od Excel verranno automaticamente infettati con lo stesso macro virus.
Gran parte dei virus worm più
diffusi hanno un denominatore comune: per attivarsi sfruttano generalmente
vulnerabilità del sistema operativo (di solito quelle di Windows) che permettono
loro di eseguire il proprio codice virale senza la necessità del classico
“doppio clic” da parte dell’utente. Di solito, poi, i virus worm inseriscono dei riferimenti all’interno di speciali chiavi, contenute all’interno del registro di sistema, che consentono loro di riattivarsi automaticamente ad ogni riavvio di Windows.
Alla fine i consigli sono sempre gli stessi. Tenere
l’antivirus aggiornato (tutti i software in circolazione hanno
l’opzione per l’aggiornamento automatico via Web), aggiornate periodicamente
anche Windows e valutate la possibilità di utilizzare per esempio client di
posta differenti da Outlook o browser differenti da Internet Explorer. Molti
virus sfruttano infatti delle debolezze di questi software per propagarsi.
Cosa non rileva l’antivirus. L’antivirus
non è, comunque, uno strumento “tuttofare”. Alcuni di essi possono non
riconoscere certi cavalli di Troia, altri ancora non rilevano la presenza di
keyloggers (si tratta di software che registrano le azioni e i tasti premuti).
L’antivirus non è neppure in grado di mettere a nudo
l’attività di software maligni (ad esempio i cosiddetti
“spyware”) né di diagnosticare la presenza di falle di sicurezza né
deficienze nella configurazione del sistema che potrebbero facilitare attacchi
remoti. Per chi volesse sapere di più sulle modalità con le quali i virus
tentano di insediarsi sui nostri sistemi, vi rimandiamo all’ottima VirusList di
Kaspersky (www.viruslist.com)
