Virus

a cura del Cesit dell'Università degli Studi di Firenze www.cesit.unifi.it

    Un virus informatico è un programma, spesso annidato all'interno di un programma “portatore” dall'apparenza innocua, che una volta lanciato esegue azioni più o meno dannose: si va dalla comparsa di scritte sullo schermo al danneggiamento di file e alla cancellazione di dati, fino alla modifica degli indici del disco rigido, rendendone assai difficile il recupero del contenuto. Il problema dei virus riguarda soprattutto Windows, ma ne esistono alcuni anche per Macintosh e Linux.
Qualcuno insinua che i programmi virus siano prodotti dalle stesse aziende che poi vendono gli antivirus, in realtà i creatori sono per lo più dei programmatori solitari che agiscono solo per il gusto della sfida e si appagano del proprio successo; la creazione di un virus efficace è infatti un'operazione che richiede profonde conoscenze di informatica e grandi capacità di programmazione.

    Oggi il veicolo di infezione di gran lunga più diffuso è la posta elettronica, ma il problema riguarda in generale qualsiasi trasferimento di file fra computer diversi (attraverso dischi, FTP o altro).
Installare un buon programma antivirus e tenerlo costantemente aggiornato costituisce sempre la miglior difesa contro i virus. Soprattutto l'aggiornamento è di fondamentale importanza per garantire una protezione veramente efficace, infatti il riconoscimento dei virus avviene attraverso un'"impronta" caratteristica (signature), e un programma antivirus non è in grado di riconoscere i nuovi virus finché non ne possiede l'impronta.
Attraverso i signature file (o definition file) le case produttrici mettono gratuitamente a disposizione on line tutte le informazioni sui nuovi “ceppi virali”; è bene effettuare l'aggiornamento almeno ogni 15-30 giorni.
Tutto questo, chiaramente, non mette al riparo dai virus appena creati. Un virus particolarmente efficace (come il famoso "I love you" del maggio 2000) riesce a diffondersi capillarmente in tutto il mondo nel giro di poche ore, prima ancora del tempo materialmente necessario per isolarlo, definirne l'impronta e renderla disponibile on line per l'aggiornamento. Nel momento in cui il virus nasce e viene diffuso, i programmi antivirus non hanno perciò nessuna efficacia contro di esso: i primi giorni di vita sono quelli in cui il virus compie il maggior numero di danni. Per avere la massima sicurezza è sufficiente mettere in pratica alcune semplici precauzioni descritte più avanti, senza affidarsi ciecamente all'antivirus.

    I programmi di antivirus si possono scaricare da Internet, sia attraverso TuCows (categoria Security, sottocategoria Anti-virus Scanners per i programmi e Anti-Virus Definitions per gli aggiornamenti), sia dai siti delle case produttrici. Fra i più diffusi citiamo: McAfee, Norton, F-secure, Panda, InoculateIt, F-prot. Gli ultimi due hanno il vantaggio di essere gratuiti per uso non commerciale, tutti gli altri sono invece a pagamento (alcune decine di dollari, licenza shareware) e sono generalmente disponibili anche in italiano.
Infine una raccomandazione: non si devono mai installare due antivirus contemporaneamente sulla stessa macchina, perché finiscono quasi sempre in conflitto. Se si vuole cambiare antivirus, bisogna prima disinstallare quello vecchio.

    Installare l'antivirus quando la macchina è già infetta è come chiudere la porta della stalla quando i buoi sono già scappati. Molti virus, una volta che hanno preso il controllo della macchina, non si lasciano cancellare dall'antivirus e vanno rimossi manualmente. La procedura può essere piuttosto lunga e complessa e richiede comunque l'intervento di una persona competente.
Ad ogni modo: se l'antivirus riesce ad andare in esecuzione (il che non è detto) si può almeno sapere il nome del virus e quali sono i file che ha infettato, dopodiché, usando un altro computer non infetto, si possono cercare su Internet informazioni su come rimuovere il virus dalla macchina.
Un sito molto interessante in tal senso è la Virus Encyclopedia della Symantec (la casa che produce il Norton Antivirus), in cui vengono spiegati (in inglese) gli effetti di ogni virus e quali sono le procedure per la sua rimozione manuale. Se si ha fortuna si possono anche trovare dei programmi specifici per la rimozione mirata di un virus (ATTENZIONE: scaricare questi programmi solo dai siti ufficiali!).

    Volete verificare se il vostro programma antivirus sta funzionando correttamente? Andate su questa pagina e provate a scaricare il falso virus "eicar" (non vi preoccupate, non c'è nessun pericolo).

Precauzioni

    Alcune semplici precauzioni, dettate dal buon senso, permettono di difendersi anche dai virus che sfuggono al programma antivirus. A tale scopo distinguiamo i virus in tre categorie:

    Programmi eseguibili, si tratta di programmi dall'apparenza innocua, in genere (ma non necessariamente) caratterizzati dall'estensione .exe, arrivano spesso come allegati a messaggi di posta elettronica. Il virus non si attiva se il programma non viene lanciato. Esistono virus che si appropriano della rubrica inviando una copia di se stessi a tutti gli indirizzi in essa contenuti, oppure virus che si allegano di nascosto a tutti i messaggi in partenza dalla macchina che hanno infettato. Può quindi accadere di ricevere un messaggio, apparentemente inviato da un amico o un conoscente, che contiene il virus come allegato.
Per proteggersi da questo tipo di virus è sufficiente una semplice regola: evitare di aprire i file allegati ai messaggi se non si è assolutamente certi della loro provenienza. Più precisamente:

    La stessa prudenza riguarda ovviamente anche tutti i file eseguibili che ci si procura per altra via, per esempio bisogna evitare di scaricare del software da siti sospetti o sconosciuti. Soprattutto nei siti pirata si rischia di incontrare un tipo particolare di virus detto Trojan (Cavallo di Troia). I trojan sono virus che di solito non procurano dei danni diretti, ma semplicemente predispongono la macchina per essere presa sotto controllo dai pirati informatici ed essere usata per le loro incursioni nella rete. In questo modo la macchina infettata dal trojan risulterà come origine degli attacchi informatici. È come quando i rapinatori rubano un'auto per effettuare il colpo in banca: la targa dell'auto non servirà per rintracciarli.

Macrovirus, sono ottenuti sfruttando le funzioni delle macro in documenti come, ad esempio, Word o Excel. Le macro sono istruzioni eseguibili inglobate all’interno dei documenti (pensate per automatizzare operazioni di uso frequente) e si attivano non appena il documento viene aperto. In una macchina infetta da macrovirus l'infezione si trasmette a tutti i documenti. Ogni file di Word, Excel, Access, ecc. è potenzialmente in grado di contenere un macrovirus nascosto e non basta essere certi delle provenienza del file, perché chi ha inviato l’allegato può averlo fatto in buona fede senza accorgersi dell’infezione.
L'unica difesa è la disattivazione di tutte le macro prima di aprire i documenti, comunque le versioni recenti di programmi come Word o Excel avvisano sempre l'utente dell'eventuale presenza di una macro prima di renderla attiva.

Script, si tratta dei virus più insidiosi fra quelli diffusi attraverso la posta elettronica, perché non si presentano come allegato, ma sfruttano invece la possibilità, offerta da diversi programmi, di poter scrivere messaggi di posta elettronica ricorrendo al linguaggio HTML in modo da migliorare l'aspetto grafico del testo. Dato che una pagina HTML può contenere istruzioni attive (dette script), un messaggio di questo tipo può essere costruito in modo da svolgere azioni potenzialmente pericolose sul computer del destinatario. I virus realizzati con gli script sono i più pericolosi perché si attivano da soli non appena il messaggio viene aperto per la lettura. L'utente può difendersi usando un programma di posta elettronica basato sul semplice testo semplice invece che sull'HTML, oppure, se possibile, impostando l'opzione che disabilita l'esecuzione automatica di tutti gli script.
Particolarmente esposti al pericolo degli script-virus sono i programmi Outlook e Outlook Express della Microsoft, che accettano e lanciano in automatico i VisualBasic Script (VBS).

a cura del Cesit dell'Università degli Studi di Firenze www.cesit.unifi.it