Prima di
continuare, voglio farvi fare una piccola ripassata per quanto
riguarda il significato dei programmi malevoli e la differenza tra
Malware e Virus, per chi ancora comunemente confonde il Virus con il
Malware:
MALWARE
Il malware
è un particolare programma progettato con il solo scopo di arrecare
danni a chi lo utilizza. E' chiamato anche software malevolo
ed esso esisteva già da moltissimo tempo fa, dove la loro diffusione
avveniva solamente attraverso i cosiddetti floppy disk mentre al
giorno d’oggi avviene quasi sempre attraverso Internet, infatti
talvolta possono ancora essere utilizzate delle comuni chiavette USB.
In base al
comportamento che questo assume, è comunque possibile distinguere il
malware in due distinte macro categorie:
* Quelli che
per poter essere eseguiti hanno bisogno di
un programma ospite, come Virus, Trojan e
Backdoor (il più pericoloso);
* Quelli
invece che non hanno bisogno di un programma
ospite per poter essere eseguiti, come Worm, Zombie
e Rookit (il più pericoloso).
VIRUS
Un virus
(dove deriva dall'omonimo
virus biologico) è un particolare tipo di malware progettato
appositamente per replicarsi infettando altri file del computer. In
circolazione esistono comunque diverse tipologie di virus ma in
generale si possono distinguere cinque in particolare:
* Quelli che
infettano un determinato file eseguibile, con la scopo di attivarsi
non appena esso verrà eseguito;
* Quelli che
infettano nella memoria RAM, in maniera tale da infettare ogni altro
programma che prima o poi verrà eseguito;
* Quelli che
infettano il settore di avvio (Boot Sector) dell'Hard Disk, con
l'intento di attivarsi non appena verrà avviato il sistema
operativo. In questo modo il virus sarà già in esecuzione ancor
prima di un eventuale antivirus. Proprio per questo motivo alcune
volte capita di ritrovarsi l'antivirus completamente bloccato (e
quindi sono cavoli amari...);
* Quelli che
si mascherano dei programmi innocui sia per il sistema operativo che
per l'antivirus, e quindi possano riuscire a disarmarne tutte le
protezioni esistenti. Vengono chiamati anche virus furtivi;
* Quelli che
riescono a moltiplicarsi modificando il proprio codice e poi fin fine
riproducendosi, creando così una copia differente dalla precedente
ad ogni nuova evoluzione. Vengono chiamati anche virus polirmorfi.
Ora che avete
capito la differenza tra Malware e Virus, posso continuare.
TIPI
DI MALWARE
Di malware ne esistono di
moltissimi tipi, ma qui andrò di tutti i tipi di malware:
VIRUS
Il virus in genere si nasconde
all'interno di un programma ed esso è un programma che viene
eseguito più o meno inconsapevolmente e che infetta tutto il PC. Il
virus riesce a replicarsi come appunto dei microorganismi da qui il
nome tratto dalla biologia.
TROJAN
I Trojan o Trojan Horse (Cavalli di Troia in inglese) non hanno capacità di autoreplicarsi come i Virus, quindi devono essere consapevolmente inviati alla vittima. Sono molto diffusi e statisticamente 1 malware su 3 è un Trojan Horse. Possono avere compiti anche leciti ma anche istruzioni che vengono eseguite all'insaputa dell'utente. Funzionano come il celebre cavallo di Ulisse. Sono nascosti all'interno di un altro programma e uno dei loro obiettivi è quello di connettere il computer a server esterni per caricare altro malware o per prendere il controllo del PC. Hanno un diverso grado di pericolosità e per combatterli conta oltre che la prevenzione anche una rapida azione di contrasto con appositi software. Il più pericoloso tra i Trojan è il celebre Bagle chiamato anche l'Aids del PC che ha come scopo principale quello di disattivare gli antivirus in modo da lasciare campo libero a tutte le infezioni. Visto che un Trojan non è un virus per essere attivato ha bisogno dell'azione dell'utente quindi è opportuno lasciare nel computer per almeno 24 ore tutti i file .exe scaricati prima di installarli visto che i trojan hanno un periodo di latenza dalle 3 alle 6 ore.
BACKDOOR
/ BOT MALEVOLI
Le Backdoor (Porta sul retro
in inglese) consentono un accesso non autorizzato al sistema in cui
sono in esecuzione. Spesso si diffondono in simbiosi con un Worm o
Trojan. Possono anche avere una funzionalità positiva per permettere
l'accesso se si è perduta la password. Sono però usati anche dai
crackers per prendere possesso di un sistema per manometterlo, per
poi compiere un attacco DoS (Denial of Service).
WORM
A differenza dei Virus, gli Worm non si attaccano ad altri file aprendo tali file su un altro sistema ma operano in autonomia spesso sfruttando vulnerabilità del sistema operativo, del browser o del client di posta elettronica. Essi quindi non hanno bisogno del classico doppio click su un file per riprodursi. Utilizzano anche le reti di computer per trasmettersi a tutte le macchine che usano tale rete. Il sintomo della presenza di un worm è il rallentamento del computer e tali malware possono anche esportare codici denominati payloads per carpire dati dell'utente, cancellare file o creare botnet. Gli worm in alcune classificazioni sono considerati una sottocategoria dei virus.
ZOMBIE
Per
Zombie non si intende una macchina morta e risorta, ma un sistema
liberamente accessibile ed utilizzabile in remoto dall'esterno. Un PC
Zombie può essere usato per attuare crimini informatici a larga
diffusione come inviare mail di spam a milioni di indirizzi o
attaccare un sito per mandarlo offline con il cosiddetto attacco DoS.
Può
essere sorprendente guardare la mappa Google Maps quanti sono i
computer zombie delle botnet attive oggi nel mondo.
La
maggior parte dei computer zombie sono server aziendali o di uffici
che rimangono accesi 24 ore su 24 senza che nessun utente ci metta le
mani sopra.
I virus
che trasformano un computer in zombie però sono capaci di essere
invisibili quindi è facile che siano colpiti anche normali pc di
casa, utilizzati quotidianamente da utenti ignari.
La
maggior parte dei proprietari di PC non si rendono nemmeno conto che
i loro computer hanno fatto agli ordini di un altro.
ROOTKIT
e BOOTKIT
Il nome deriva da Root, ossia la radice di archiviazione e anche il livello più alto del sistema. Questi tipi di malware sono molto diversi da quelli comuni. In genere sono composti da un driver e da copie modificate di programmi normalmente presenti nel sistema. Vengono utilizzati come veicolo per introdurre altre infezioni grazie ai Trojan e Spyware. Sono piuttosto difficili da scoprire perché agiscono al livello di amministratore. Per rintracciarli non basta un antivirus ma occorrono degli strumenti specifici.
I
Bootkit sono una variante dei Rootkit che sono addirittura in grado
di sopravvivere ad una formattazione del sistema (un dolore
atroce...). Con i Bootkit i malintenzionati possono prendere il
controllo del computer relegandolo alla poco onorevole condizione di
zombie.
RANSOMWARE
Il
Ransomware (dove Ransom in inglese significa Riscatto) è una
forma di malware che impedisce all’utente di accedere ad aree del
proprio computer perchè riesce a crittografare i file o protegge
l’hard disk da accessi, per poi visualizzare un messaggio per
forzare l'utente ad avere due scelte, o paga per riavere i file (può
anche capitare che una volta pagato non si possano recuperare i file)
oppure li perderà per sempre, da qui il nome riscatto.
Questo
tipo di malware si diffonde come i worms, attraverso file scaricati o
vulnerabilità in servizi di rete.
SPYWARE
Come
dice dal nome serve per inviare informazioni sui dati sensibili
dell'utente al creatore dello Spyware. Sono in grado anche di
arrivare alle chiavi crittografate. Gli spyware meno pericolosi si
limitano a carpire la Cronologia ma ci sono anche quelli più
aggressivi in grado di arrivare ai numeri delle carte di credito,
alle credenziali di accesso ai siti e alla posta elettronica. Il
danno al computer è limitato perché lo scopo degli spyware è
quello di raccogliere informazioni.
ADWARE
Si
tratta di malware che pubblicizza cose all'insaputa dell'utente
aprendo pagine pubblicitarie che molto spesso non possono essere
chiuse. Questo tipo di malware non rallenterà tanto il PC quanto
l'uso che ne fa l'utente sempre alle prese con pagine pubblicitarie
che si aprono nei browser. Gli Adware sono usati anche dagli
sviluppatori per guadagnare con i programmi gratuiti. In alcuni
programmi gratuiti sono inseriti dei programmi sponsor che è bene
stare attenti a disabilitare in ogni installazione dei software che
li contengono. Non sono particolarmente pericolosi ma installano
barre nei browser ed è difficile una loro completa rimozione. I
Malvertising sono degli attacchi che originano direttamente dalle
pubblicità sulle pagine web.
KEYLOGGER
Sono
programmi malevoli in grado di registrare tutto quello che l'utente
digita sulla tastiera rendendo possibile il furto di password o del
numero della carta di credito. I keylogger sono installati nel
computer dai trojan o dagli worm. A differenza degli adware che sono
estremamente visibili, i keylogger invece non lo sono e agiscono
nascostamente dall'utente. Esistono anche Keylogger Hardware che sono
installati fisicamente nel computer e che vengono usati dai servizi
di intelligence e dalle forze di polizia per spiare veri o presunti
malfattori.
EXPLOIT
Mentre
un bug è una vulnerabilità di un sistema operativo, un Exploit
è un artificio per sfruttare tale vulnerabilità per infettare o
prendere il controllo del sistema operativo. Ci si può difendere
dagli exploit mantenendo il software sempre aggiornato visto che non
appena vengono scoperti i bug le aziende produttrici rilasciano delle
patch proprio per evitare gli exploit. Recentemente sono saliti
all'onore della cronaca le vicende della società Hacking Team che
pur avendo scoperto dei bug non li rivelava ma li usava per ricavare
informazioni per i propri clienti.
ROGUES / SCAREWARE
Essi si
spacciano per programmi Antivirus e dopo una finta scansione dicono
all’utente che il loro computer è pieno di virus e spingono
l’utente a comprare il programma per rimuovere i virus fintamente
individuati. Può capitare anche che può bloccare il computer fino a
quando l'utente non acquista il programma.
Procedere
all'acquisto, non solo significa buttare via soldi, ma anche fornire
i tuoi dati bancari a malintenzionati.
BHO
MALIGNI
I BHO
(Browser Helper Objects) sono componenti aggiuntive dei browsers,
come toolbars e plugins.
Molte
componenti sono utili agli utenti. Firefox e Chrome offrono agli
utenti la possibilità di integrare le funzioni del browser con
un’infinità di utili plugins. Ma alcune componenti sono inutili o
maligne e vengono classificati come BHO maligni (e considerati a
volte come una sottocategoria di adware).
I BHO
maligni includono ad esempio alcune toolbars dei browsers come
Babylon o FLV Runner: appesantiscono il browser, visualizzano
pubblicità mentre navighi e a volte modificano nascostamente
impostazioni del browser, come la pagina di avvio del browser. Altri
BHO maligni prendono il nome di hijackers (dirottatori) perchè
dirottano l’utente a pagine di scelta dello sviluppatore.
Altri
BHO maligni sono chiamati PUP (Potentially Unwanted Programs). I PUP
sono programmi generalmente installati come parte di altri programmi
gratuiti (su accordo commerciale tra l’azienda produttrice del
programma gratuito e quella produttrice del PUP).
L’utente
è avvisato al momento dell’installazione di un programma che verrà
installato anche un altro programma (il PUP).
A volte,
l’avviso relativo al PUP è poco chiaro e l’utente
automaticamente completa l’installazione, installando quindi sia il
programma desiderato che quello non desiderato.
Altre
volte, se l’utente sceglie di non installare il PUP perde la
possibilità di installare il programma gratuito.
Tutti i
BHO maligni in genere provocano percepibile rallentamento nella
navigazione e crash del browsers.
Si
possono rimuovere manualmente, ma a volte servono strumenti specifici
di rimozione o pulizia del browser.
DIALERS
I Dialer
agiscono sulle connessione via modem a chiamata, componendo
automaticamente e senza che l’utente se ne accorga dei numeri di
telefono per collegarsi a provider esteri costosissimi.
Ma non
avendo effetto sulle connessioni via cavo o ADSL sono una categoria
di malware ormai quasi inesistente, quindi si potrebbe anche
obsoleta.
Hijacker
È un
tipo di malware che si insinua nei browser per aprire automaticamente
delle pagine senza l'azione dell'utente. Sono spesso inclusi in
pacchetti di malware di altro genere.
Rabbit
malevoli / Bacteria / Wabbit
Sono
programmi malevoli che puntano a esaurire le risorse del computer
creando copie di sé stessi. Lo possono fare sia in memoria sia su
disco.
File
batch malevoli
I file
batch hanno estensione .bat su Windows e sono file di testo
interpretati dal Prompt dei comandi. Se usati in modo malevolo sono
pericolosi perché possono far compiere al PC delle azioni da
eseguire come se fossero indicate dall'amministratore tipo formattare
il computer.
Bomba
logica
Consiste in una porzione di codice inserito in un programma apparentemente innocuo. La bomba è configurata per esplodere quando si verificano determinate condizioni. L'esempio più comune è quello della bomba a tempo: quando si raggiunge un certo giorno ed una certa ora la bomba esplode; oppure può scattare per la presenza di determinati file.
Può
modificare, cancellare file, bloccare il sistema o svolgere altre
operazioni dannose.
ZIP
Bomb
Una bomba a decompressione, conosciuta anche come Zip Bomb o Zip of Death, è un tipo di attacco DoS. In particolare, si tratta di un archivio compresso malevolo, studiato per mandare in crash o rendere inutile il programma o il sistema che lo legge. È usato spesso per disabilitare un Anti-Malware, in maniera tale che un malware tradizionale possa poi inserirsi indisturbato nel sistema.
Piuttosto
che dirottare le normali operazioni del programma, una bomba a
decompressione permette al programma di funzionare normalmente, ma
l'archivio è fatto in maniera tale che decomprimendolo esso richieda
enormi quantità di tempo, spazio su disco e memoria.
Una
bomba a decompressione è solitamente un file di ridotte dimensioni
(poche centinaia di kB), per essere facilmente trasferito e non
destare sospetti. Comunque, quando il file viene decompresso il suo
contenuto è molto superiore a quanto il sistema possa supportare.
Il più
famoso è 42.zip, che ha come dimensioni pari a 42 KB di dati
compressi, contenente gruppi di 16 file zip annidati su sei livelli
(contenenti ognuno 4,3 GB di file, per un totale di 4,5 PB di dati
non compressi).
Documento scritto nel 26 Giugno e pubblicato come riproposto e convertito da articolo ufficialmente nel 23 Luglio 2017.
Documento scritto nel 26 Giugno e pubblicato come riproposto e convertito da articolo ufficialmente nel 23 Luglio 2017.