Trojan

I trojan, spesso definiti erroneamente anche troiani, si differenziano da worm e virus per il fatto che non possono riprodursi autonomamente. Il trojan deve il suo nome alle affinità con il cavallo ideato da Ulisse e si presenta all'utente come un programma avente una funzione ben precisa e determinata. In aggiunta a questa funzione, però, i trojan hanno anche una parte di programma nascosta che apre una via di accesso all'interno del computer infettato, rendendolo totalmente vulnerabile senza che l'utente neanche se ne accorga.

I metodi utilizzati dai trojan per nascondersi sono praticamente infiniti. Possono nascondersi nei comandi della riga di comando per gli amministratori di sistemi UNIX come passwd, ps, netstat (semplici rootkit) o come "Remote Access Trojan" (troiani di accesso remoto, i cosiddetti RAT, definiti anche backdoor). Questi programmi dannosi vengono spediti come salvaschermo o giochi tramite e-mail. Basta un unico avvio per scatenare l'azione dannosa del cavallo di Troia sul sistema.

 

Worm

Al contrario dei virus, un worm non si lega ai file eseguibili. Si diffonde trasferendosi su altri PC attraverso le reti o le connessioni dei computer.

 

Worm di rete

I worm analizzano sulle reti alcune porte di computer scelti a caso e, se un attacco è possibile, utilizzano i punti deboli dei protocolli (es. IIS) o la relativa implementazione per diffondersi. I worm conosciuti di questo tipo sono "Lovesan/Blaser" e "CodeRed".

Sasser utilizza un errore di overflow del buffer nel servizio Local Security Authority Subsystem Service (LSASS) e infetta i computer durante la connessione a Internet.

 

Worm di e-mail

Nella diffusione per e-mail, il worm è in grado di utilizzare i programmi di posta esistenti, come Outlook o Outlook Express, o un proprio motore di posta SMTP. A prescindere dal traffico di rete presente e dalle risorse del sistema elevate, i worm possono contenere funzioni ancora più dannose. Esempi rappresentativi di questo tipo di worm sono "Beagle" e "Sober".

 

Worm di Peer-to-Peer

I worm di P2P copiano se stessi nelle condivisioni Peer-to-Peer di siti di scambio come "Emule", "Kazaa" ecc. Qui attendono le proprie vittime con nomi allettanti di software recenti o di persone famose.

 

Worm di Instant Messaging

I worm di messaggistica istantanea si diffondono utilizzando i programmi per chat. Per il trasferimento dei file non utilizzano solo le funzioni. Sempre più di frequente inviano un link a una pagina Web dannosa. Alcuni worm di messaggistica istantanea sono perfino in grado di chattare con le potenziali vittime.

 

Virus

Anche i virus tendono a riprodursi e ad espandersi su altri computer. A tal scopo si agganciano ad altri file oppure si annidano nel settore di avvio dei supporti dati. Si infiltrano sul PC, spesso in modo inosservato, da supporti di dati esterni (ad es. dischetti), tramite le reti (anche Peer-to-Peer), per e-mail o da Internet.

 

I virus si possono collocare in molti punti del sistema operativo ed agire attraverso i canali più disparati. Si distinguono i seguenti gruppi:

 

Virus del settore di avvio

I virus del settore di avvio o virus MBR (= Master Boot Record) si annidano prima dell'effettivo settore di avvio di un supporto dati e fanno in modo che, durante l'avvio di tale supporto, il sistema legga dapprima il codice del virus e successivamente il settore di avvio originale. In questo modo il virus può insinuarsi inosservato nel sistema ed essere eseguito dal disco rigido anche durante l'avvio. Spesso il codice del virus resta nella memoria anche dopo l'infezione. Simili virus sono definiti residenti in memoria. Durante la formattazione dei dischetti il virus viene quindi trasferito, diffondendosi così anche su altri computer. Il virus del settore di avvio può attivarsi non solo nei processi di formattazione. Il comando DOS "DIR", ad esempio, può avviare la trasmissione del virus da un dischetto infetto. A seconda della routine dannosa, i virus del settore di avvio possono essere altamente pericolosi o semplicemente fastidiosi. Il virus di questo tipo più vecchio e più diffuso porta il nome di "Form".

 

Virus dei file

Molti virus sfruttano la possibilità di nascondersi nei file eseguibili. A tal fine il file ospite può essere cancellato/ sovrascritto oppure il virus si allega al file. Nell'ultimo caso il codice eseguibile del file continua a funzionare. Quando si richiama il file eseguibile, il sistema esegue dapprima il codice del virus scritto solitamente in assembler e successivamente avvia il programma originario (se non è stato cancellato).

 

Virus multipartita

Questo gruppo di virus è particolarmente pericoloso poiché infetta sia il settore di avvio (o la tabella di partizione) che i file eseguibili.

 

Virus Companion

In DOS i file COM vengono eseguiti da file EXE omonimi. Nei tempi in cui i computer erano controllati solo o spesso da comandi delle righe di comando, era un meccanismo efficace per eseguire in modo inosservato un codice dannoso su un computer.

Macrovirus

Anche i macrovirus si agganciano ai file. Essi tuttavia non sono autoeseguibili. I macrovirus non sono neanche scritti in assembler, ma in un linguaggio macro come Visual Basic. Per poter eseguire i virus è necessario un interprete di un linguaggio macro, come si trova integrato in Word, Excel, Access e PowerPoint. Altrimenti i macrovirus possono agire con gli stessi meccanismi dei virus dei file. Anche questi possono nascondersi ed infettare il settore di avvio oppure creare virus Companion.

 

Virus stealth e rootkit

I virus stealth o virus invisibili utilizzano speciali meccanismi di protezione per sottrarsi al rilevamento da parte dei programmi antivirus. A questo scopo, assumono il controllo tramite diverse funzioni del sistema. Una volta creato questo stato, i virus non possono più essere rilevati durante il normale accesso a file o aree del sistema. Ingannano il programma antivirus presentando il file infetto in uno stato non infetto o rendono il file invisibile al programma di protezione antivirus. I meccanismi di mimetizzazione dei virus stealth agiscono solo dopo che il virus risiede nella memoria di lavoro.

 

Virus polimorfi

i virus polimorfi contengono dei meccanismi che consentono di modificare il proprio aspetto ad ogni infezione. Parti del virus vengono decodificate a tale scopo. La routine di decodifica integrata nel virus genera un nuovo codice per ogni copia e in parte anche nuove routine di codifica. Inoltre è possibile scambiare o distribuire in modo casuale le sequenze dei comandi che non sono necessarie per il funzionamento del virus. In questo modo si possono creare miliardi di varianti di un unico virus. Per poter eliminare e riconoscere con certezza i virus decodificati ed i virus polimorfi, spesso non è sufficiente l'impiego dei classici database antivirus, ma sono necessari programmi speciali. Le attività per l'analisi e la creazione di contromisure adatte possono richiedere risorse notevoli. Pertanto, senza esagerare, i virus polimorfi possono essere considerati la classe regina tra i virus.

 

Intended Virus

Per Intended Virus si indica un virus parzialmente difettoso che infetta un file ma che è incapace di riprodursi.

 

Virus di e-mail

I virus che infettano le e-mail fanno parte del cosiddetto gruppo "blended threats" (= minaccia mista). Un simile malware combina le caratteristiche dei trojan, dei worm e dei virus. Con la comparsa del virus Bubbleboy, è stata rilevata la possibilità di trasmettere un virus sul PC già attraverso la visione in anteprima di un messaggio HTML. Il pericoloso codice del virus si nasconde nei messaggi in formato HTML e sfrutta la falla di sicurezza di Microsoft Internet Explorer. Il pericolo di questi "virus combinati" non deve essere sottovalutato.