Caccia ai virus
Per prevenire e combattere virus, worm e Cavalli di Troia, munitevi di un buon antivirus e seguite alcune fondamentali regole di prevenzione.
A dispetto del nome che a volte portano (il romantico “I love you” o l’acchiappa-teenager “Kournikova”), i virus informatici sono a tutti gli effetti l’incubo informatico del nuovo millennio, spauracchio di chiunque abbia un collegamento alla Rete. Ma, in fin dei conti, cos’è un virus? Partiamo dal nome, da questa strana metafora di origine biologica. Quando vent’anni fa l’americano Fred Cohen scrisse, per la sua tesi di dottorato per un’università californiana, il primo codice di un virus, le sue intenzioni erano tutt’altro che criminose. Il suo scopo era quello di creare un programma che si replicasse autonomamente (come un “Blob”…) e che acquisisse i privilegi di sistema posseduti da altre applicazioni. In pratica, “che infettasse altri programmi e sistemi” (parola di Cohen). Da qui il nome, visto che, come accade in campo biologico, i virus necessitano di un “organismo” che li ospiti e che gli fornisca le strutture necessarie per riprodursi: purtroppo, a volte, proprio il nostro PC.
Questo epiteto evoca (giustamente) epidemie e altre nefaste conseguenze, sfruttando la vulnerabilità dei sistemi informatici e, soprattutto, la sempre crescente interconnessione dei computer grazie a Internet.
Tutti i malware vengono per nuocere
Un virus può creare danni irreparabili: distruggere dati, mettere fuori uso computer, comunicare informazioni riservate a terze persone, utilizzare macchine per scopi criminali (per esempio l’attacco a un sito Internet) e via dicendo. Con il termine “virus”, però, si indica tutta una classe di programmi nocivi, anche molto diversi tra loro. Vediamo di fare un po’ di chiarezza, e di scoprire contro cosa dobbiamo combattere.
Un termine generico che ingloba tutti questi parassiti informatici è malware, parola inglese creata dalla contrazione di “malicious” e “software” (ovvero “programma nocivo”) . Il malware è, quindi, un programma creato e distribuito con scopi dannosi, che può assumere diverse forme: virus, trojan, worm, ma anche di dialer (di quest’altro flagello, però, non ci occupiamo in queste pagine). Nel nostro caso prenderemo in considerazione i virus propriamente detti, i trojan e i worm.
Un virus è un piccolo programma che si insinua in un computer per svolgere qualche azione specifica, prevalentemente distruttiva. Ma come funzionano, praticamente? Per prima cosa il file “attaccato” è analizzato, viene letta l’intestazione dell’eseguibile (che contiene le informazioni fondamentali sul file) quindi il virus determina quanto spazio deve avere a disposizione per potersi inserire nel file, e crea questo “pertugio” nel quale si insinua. Il file è quindi modificato, così come la sua intestazione: è qui che si trova la firma del nuovo parassita. A questo punto il file modificato è salvato su disco e il virus continua a vivere nel suo nuovo habitat fin quando non viene rimosso, o cancellato totalmente il documento infetto. L’infezione di altri file avviene nel momento in cui il file eseguibile è avviato.
I trojan, o Cavalli di Troia, non sono propriamente virus, ma programmi che si nascondono generalmente all’interno di altri file (per esempio gli archivi compressi), per evitare di essere scoperti dagli antivirus. Il loro scopo è quello di comportarsi da porte aperte nei sistemi, mettendo il computer a disposizione di un hacker. Questo è possibile perché il trojan si compone di due programmi diversi: un client e un server. Il primo è residente sulla macchina del malintenzionato, il secondo si installa su quella della vittima e si avvia, in automatico, all’accensione del PC. In tal modo, quando si è on-line, chi controlla il server può disporre delle risorse del computer a proprio piacere: cancellare file, crearne di nuovi, scoprire le vostre password, monitorare le vostre azioni e ciò che scrivete sulla tastiera, resettare il sistema o, addirittura, renderlo inutilizzabile.
La terza categoria che prendiamo in considerazione è quella dei worm (verme), un particolare tipo di malware che, una volta installatosi nel PC ospite, è in grado di replicarsi e diffondersi ad altri computer ad esso collegati (in rete locale o via Internet). Il sistema più comune di diffusione dei worm è tramite messaggi di posta elettronica inviati via Internet. Purtroppo, negli ultimi mesi, si è assistito a una recrudescenza di questo fenomeno: chiunque ha potuta saggiare il fenomeno, vedendosi arrivare in e-mail virus di ogni tipo. Dal finto update di Microsoft (il virus Gibe) all’ormai celebre MyDoom, gli attacchi da parte di worm si stanno susseguendo con sempre rinnovato vigore.
Il vaccino si chiama Antivirus
Un antivirus, al giorno d’oggi, è assolutamente indispensabile. Molti rivenditori di PC li installano direttamente sui computer in vendita, ma a volte questo non accade. In tal caso, non azzardatevi a collegarvi a Internet: sarebbe come andare in motorino senza casco.
Un buon antivirus è un programma che, oltre a rinascere ed eliminare i virus noti, dev’essere in grado di far fronte a sempre nuove emergenze. Prima di tutto deve essere in grado di aggiornare costantemente (in gergo, update) le specifiche dei nuovi virus, chiamate “firme”. Ma soprattutto, quando questo non è possibile, deve prevedere dei meccanismi di riconoscimento di possibili nuovi virus, anche se solo con sistemi probabilistici (metodo definito “euristico”): in pratica deve riconoscere un codice potenzialmente nocivo.
Un antivirus non li limita solo a controllare tutti i file (di sistema o non) presenti sul computer, ma controlla anche l’integrità del settore di boot del PC e dei file di sistema, direttamente all’avvio della macchina. Deve inoltre controllare, in tempo reale, la memoria del computer, il Registro di configurazioni, il file system e, in generale, i processi in esecuzione. Deve essere in grado di scandire, a fondo, qualsiasi tipo di file: per esempio anche quelli compressi. Inoltre, cosa importantissima, deve controllare ogni e-mail (in particolare gli allegati) in entrata e in uscita. Deve saper trovare i virus che si annidano nelle macro di alcuni applicativi. Altra cosa fondamentale: deve creare un disco di emergenza, col quale far partire la macchina in caso di infezione. Nel caso trovi dei file infetti che non riesce a pulire, deve prevedere una procedura di messa in quarantena, in attesa di aggiornamenti che permettano di salvarlo.
Generalmente un antivirus ingloba un motore di scansione che rovista all’interno di tutti i file: li disassembla e, in tempo reale, vi ricerca all’interno la presenza di determinate sequenze di byte (le firme virali) che identificano i virus. Come detto, l’aggiornamento del database di queste firme risulta fondamentale.
Rimuovere i virus con AVG
Esistono decine di ottimi antivirus, che compiono tutte le operazioni sopra specificate: i più conosciuti sono certamente Norton Antivirus e McAfee VirusScan. In queste pagine, invece, vi proponiamo l’alternativa gratuita (in inglese) AVG (www.grisoft.com). Nella sezione Passo a passo di questo numero, a pagina IV, trovate una pratica guida all’utilizzo del programma.
Quando AVG trova un virus durante una scansione, lo segnala e prosegue per la sua strada. Solo alla fine dell’operazione (quando tutte le risorse sono state controllate) otterrete un report completo che comprende il numero di file controllati e, soprattutto, di quelli infetti. Segnatevi i nomi di questi parassiti e fate un giro sul sito www.grisoft.com, dove si trova un motore di ricerca (“Virus Encyclopaedia”) per scoprire come rimuovere l’infezione. Nella maggior parte dei casi AVG provvede da sé, in automatico: nella pagina “Test finished” troverete il numero di virus cancellati (“Virus removed by healing”). Se invece l’antivirus lancia il messaggio “Infected, embedded object”, questo significa che il virus è stato trovato, ma il file non può essere cancellato automaticamente. Spesso si tratta di file compressi, che dovrete cancellare manualmente. Se nell’archivio sono contenuti più file, potete decomprimerli in una nuova cartella e procedere a una nuova scansione, individuando i file infetti; in tal modo non perderete tutti i documenti.
La questione è un po’ più complicata se ad essere infettata è un’area di sistema. In questo caso, occorre utilizzare il disco di emergenza (che viene creato durante l’installazione del programma): riavviate il PC con il dischetto inserito nel lettore floppy. Il computer partirà in modalità DOS: dal prompt scrivete “Avg.exe” e premete Invio. Quando si avvia la schermata di AVG, selezionate il comando “Test and restore”.
Il decalogo per difendersi dalle infezioni
Prevenire le infezioni, è ormai una necessità imprescindibile: per questo esistono software appositi, detti antivirus. Ma a volte, questi, non sono sufficienti, e occorre mettere in atto sistemi di prevenzione che richiedono un impegno quotidiano, e soprattutto l’aderire a regole di condotta abbastanza semplici. Di seguito riportiamo dieci consigli per evitare di contrarre virus informatici. Sono alcuni tra i più importanti, non tutti. Fatene buon uso.
1 – La prevenzione è nulla, senza il controllo
Partendo dal presupposto che sul vostro sistema sia installato un buon antivirus, lanciate periodicamente una scansione del sistema. Alcuni virus potrebbero nascondersi in cartelle di sistema o, anche, nella cartella dei file temporanei del vostro browser.
Per lanciare la scansione di AVG, fate clic sul pulsante “Run complete test”. Una volta individuato un virus, un antivirus generalmente lo elimina, ripulendo il file infetto. Se questo non è possibile, il file viene messo in quarantena. A questo punto occorre stabilire se il file è indispensabile (per esempio un file di sistema) oppure no. Nel secondo caso, il documento può essere eliminato, risolvendo il problema alla radice. Se il file è indispensabile, invece, l’unica alternativa è quella di attendere un aggiornamento dell’antivirus in grado di sradicare l’infezione. Il file in quarantena, nel frattempo, non può essere utilizzato.
2 – Aggiornamento costante
Per far sì che l’antivirus sia affidabile, è necessario che sia costantemente aggiornato, che riceva periodicamente (quotidianamente, o anche più volte al giorno) le nuove definizioni dei virus più recenti, il nuovo elenco di firme virali. Alcuni laboratori impiegano poche ore, o anche meno, per mettere a punto una “cura” per i nuovi virus rilevati.
Collegatevi quindi alla Rete e fate partite l’update del vostro software antivirus: in AVG basta premere il pulsante “Virus Database”. Se si desidera ricevere aggiornamenti costanti e automatici, è sufficiente andare nel menu Service/Schedule and Update (o premere la combinazione di tasti CTRL+F9): nella finestra che appare, personalizzate i parametri presenti (se necessario, anche nelle impostazioni avanzate).
3 – Java non ti giova!
State attenti, durante la navigazione, agli ActiveX e alle Applet Java. Queste funzioni permettono l’esecuzione automatica di programmi che potrebbero essere dannosi. Un esempio concreto di questo tipo di virus era “Java.BeanHive”, un piccolo virus composto da 40 righe di codice che, dopo aver infettato una macro (tramite la Java Machine), si connetteva a un server Web, avviava la parte più consistente del virus, contagiando tutti i programmi Java. In pratica: i file venivano infettati con una piccola porzione del virus, la cui parte principale rimaneva on-line. Un sistema davvero subdolo, e molto efficace.
È possibile disattivare completamente la visualizzazione delle applet Java, onde evitare definitivamente problemi di questo tipo: se utilizzate Internet Explorer, andate in Strumenti/Opzioni e togliete il segno di spunta accanto alla voce “Compilatore Java JIT attivato”.
4 – Non aprite quell’allegato!
Non aprire mai un allegato ricevuto in e-mail prima di averlo passato al setaccio con l’antivirus, anche se proviene da mittenti conosciuti. Di seguito riportiamo le più comuni estensioni dei virus che si diffondono grazie alla posta elettronica.
| Estensione | Descrizione dell’estensione | Esempi di virus che utilizzano l’estensione |
| .PIF | Program Information File. File utilizzato in ambiente Windows per contenere informazioni riguardanti la modalità di esecuzione di un programma in ambiente MS-DOS. | Sobig (vedi Passo a passo del numero 95) Mydoom (vedi Passo a passo del numero 106)
Netsky (vedi Passo a passo del numero 109) Beagle |
| .SCR | L’estensione dei file che contengono gli screensaver (salvaschermo). | Mydoom (vedi Passo a passo del numero 106)
Bugbear (vedi Passo a passo del numero 71) Mylife |
| .TXT | File di testo creati, per esempio, con Blocco Note di Windows. | Loveletter, Love-Letter-For-You (nuova variante del celeberrimo “I love you”)
Magistr |
| .HTM, .HTML | HyperText Markup Language. Sono le estensioni che individuano le pagine Web. | Sobig (vedi Passo a passo del numero 95)
Klez (vedi Passo a passo del numero 64) |
| .BAT | Batch (automazione). Questi file permettono di sostituire delle operazioni manuali con elenchi preordinati di comandi. | Mydoom (vedi Passo a passo del numero 106)
Novarg |
| .COM | Command (comando). È un file MS-DOS (eseguibile) che contiene un insieme di istruzioni. | Netsky (vedi Passo a passo del numero 109) |
| .EXE | EXEcutable (eseguibile). Estensione di file nata con MS-DOS, che identifica i file di programma che possono essere mandati in esecuzione. | Mydoom (vedi Passo a passo del numero 106)
Beagle Yenik SoberC Blagle |
| .VBX | Visual Basic eXtension. È l’estensione che identifica i moduli di servizio del Visual Basic di Microsoft. | Netsky (vedi Passo a passo del numero 109) |
| .OCX | Acronimo di “OLE Custom Controls”. È l’estensione per i file che identificano i controlli ActiveX sviluppati da Microsoft. | Netsky (vedi Passo a passo del numero 109) |
| .VBS | Script di Visual Basic di Microsoft. Questa estensione è aggiunta a quella del file infetto. | Loveletter |
| .CMD | File che contiene dei comandi per Windows NT. | Mydoom (vedi Passo a passo del numero 106)
Novarg Swen |
5 – Il trucco delle doppie estensioni
Fate molta attenzione al trucco delle doppie estensioni (per esempio utilizzato dai virus “Anna Kurnikova” e BugBear). Un file allegato con estensione apparentemente innocua, potrebbe nasconderne un’altra (per esempio “.txt.vbs”). In alcuni casi questo trucco può prendere in castagna l’antivirus. Recentemente questo subdolo sistema è stato utilizzato dal worm Netsky.
Oltre al doveroso consiglio di non aprire file sospetti, un altro sistema per prevenire l’infezione è quello di obbligare Windows a visualizzare tutte le estensioni dei file, anche quelli associati alle più comuni applicazioni (che di solito nasconde). Aprite Esplora Risorse e andate in Strumenti/Opzioni cartella e togliete il segno di spunta dalla frase “Nascondi le estensioni per i tipi di file conosciuti”.
In ogni caso, l’antivirus AVG è in grado di riconoscere le doppie estensioni.
6 – L’infezione in… anteprima
A volte concentrarsi sugli allegati non è sufficiente: alcuni virus, particolarmente subdoli, utilizzano una tecnica raffinata, inserendo nel testo della e-mail un rimando a un sito Internet che avvia, in automatico, il virus. Quindi, anche solo visualizzando il contenuto del messaggio, si può essere infettati. Questo sistema è detto “Popup Object Exploit”, e sfrutta le falle di sicurezza di alcuni programmi di posta elettronica, come Outlook Express. Se utilizzate questo programma di posta, è necessario inibire la preview (la visualizzazione dell’anteprima) del messaggio. Andate in Visualizza/Layout e togliete il segno di spunta accanto alla voce “Visualizza riquadro di anteprima”.
7 – Tappate le falle di Microsoft!
Spesso i virus cercano di sfruttare le falle di sicurezza dei programmi (sistemi operativi o altri applicativi) installati sul vostro computer. Le case produttrici di software ne sono consce e cercano di correre ai ripari, una volta trovato un “baco”, nel più breve tempo possibile. Microsoft, per esempio, fornisce costantemente aggiornamenti per i propri prodotti. Per scaricarli è sufficiente andare in Start/Tutti i programmi/Windows update. Oppure potete collegarvi direttamente al sito Microsoft, all’indirizzo www.windowsupdate.com.
8 – Controllare la posta senza scaricarla
Se, nonostante i precedenti consigli, ritenete che scaricare la posta sul vostro computer non sia sicuro, esiste un metodo a prova di qualsiasi infezione. Controllare la posta elettronica senza scaricarla, direttamente sul server oppure tramite una Web-mail. Nel primo caso, occorre dotarsi di programmi appositi, che permettano di visualizzare le e-mail senza scaricarle sul proprio PC. Uno di questi è, per esempio, MailWasher: potete scaricarlo gratuitamente all’indirizzo Internet www.mailwasher.net. Il Passo a passo sul suo funzionamento è stato pubblicato sul numero 101.
9 – I virus nelle macro
Spesso i virus si annidano in file che, all’apparenza, dovrebbero essere innocui. Per esempio i file di Word ed Excel. In alcuni casi, infatti, questi documenti non contengono solo caratteri ASCII (testo o numeri o altri segni tipografici) ma anche delle macro, vale a dire procedure automatizzate che permettono di salvare una serie di operazioni, poi richiamabili con un semplice comando (o un tasto). I virus che vi si annidano sono scritti anch’essi con il linguaggio di programmazione delle macro (in genere, il Visual Basic), si auto avviano all’apertura del documento, restano residenti in memoria (e sono salvati nel file “Normal.dot”) e infettano tutti i file dello stesso tipo.
Come ci si accorge di aver contratto un macro virus? In genere, si è impossibilitati a convertire il documento infetto in altri formati e non è possibile nemmeno utilizzare il comando “Salva con nome”.
Per aumentare il controllo sulle macro, aprite il programma Microsoft (per esempio Word, ma i comandi sono comuni a tutti gli altri applicativi del pacchetto Office) e andate in Strumenti/Macro/Protezione e mettete un segno di spunta accanto alla prima opzione: “Molto elevato”. In ogni caso l’antivirus AVG controlla tutte le macro dei documenti Office, in automatico.
10 – Le vie dei virus sono infinite
Quando ancora la Rete Internet non aveva raggiunto l’attuale diffusione, il miglior mezzo per beccarsi un virus era quello di diffondere un floppy disk infetto. Ora le cose sono radicalmente cambiate. Il pericolo può annidarsi ovunque, on-line, e bisogna sempre stare attenti a dove si naviga e, soprattutto, a cosa si scarica.
Quando visitate siti non sicuri, evitate di scaricare file. Eppure i virus che si trasmettono via Internet possono anche trovare un canale privilegiato nelle connessioni via instant messanger come ICQ, mIRC o simili. Evitate di acconsentire alla ricezione di file sospetti, e non solo di eseguibili; anche gli archivi compressi con estensione ZIP e RAR possono nascondere spiacevoli sorprese. Recentemente i laboratori di Kaspersky hanno diramato una nota in cui mettono in guardia sul pericolo di Bizex, un worm che si diffonde attraverso ICQ.
Anche la rete peer to peer non è immune dai contagi: è il caso, per esempio, del worm Benjamin, che nel 2002 colpì gli utilizzatori del software Kazaa.
MyDoom, cronaca di un attacco
Il 2004 è iniziato all’insegna di MyDoom, un vero incubo per i sistemi informativi di mezzo mondo, sommersi da un’ondata di e-mail infette. Siamo andati a scoprire come si è potuta verificare una tale ondata virale e quale sia stata l’escalation delle infezioni.
In Italia, la notte dello scorso 26 gennaio nei laboratori di ricerca dei diversi produttori di antivirus si accese l’allarme rosso: un nuovo worm si stava diffondendo con sorprendente velocità in tutto il Web. Nel giro di pochi minuti si comprese l’elevata entità del possibile danno: il worm, già riconosciuto come MyDoom, si diffondeva tramite posta elettronica e tramite le reti peer-to-peer. La struttura del worm era abbastanza semplice. Si trattava di un file compresso (con estensione ZIP) di 22 Kilobyte, contenente tutte le informazioni necessarie al virus per installarsi nella macchina obiettivo e compiere il proprio duplice attacco: da un lato aprire una backdoor e dall’altro scaricare il proprio payload per portare un attacco DDoS. Per quanto riguarda la backdoor, si trattava dell’apertura di una porta TCP tra la 3127 e la 3198, tramite cui un malintenzionato avrebbe potrebbe utilizzare da remoto il computer infetto come proxy TCP, oppure per eseguire ulteriore codice maligno con privilegi da amministratore.
Il payload installato da MyDoom, invece, attendeva l’avvio della macchina in una data successiva a domenica primo febbraio, per poi cominciare a portare un attacco verso il sito internet di SCO (www.sco.com): un processo di richiesta simultanea della pagina venne ripetuta circa ogni secondo da tutti i computer infetti sparsi per il mondo.
L’entità del danno fu notevole. Dopo solo due giorni, a questo worm si affiancò una seconda variante, MyDoom.B, che prese di mira anche il sito Microsoft (www.microsoft.com). Mydoom ha infettato una e-mail su 10, un numero enorme rispetto all’altro spauracchio SoBig (che aveva raggiunto il picco di una e-mail su 17).
La cronologia degli eventi
Il 28 gennaio, in una nota resa pubblica sul proprio sito, F-Secure elevava MyDoom a peggior attacco virale nella storia dei virus, stimando che il 20-30% di tutto il traffico mondiale di posta elettronica fosse generato da questo worm. Sempre secondo la società di sicurezza finlandese, tre sono le motivazioni di questo successo:
- Ingegneria sociale: Il worm mascherava le e-mail infette al fine di farle somigliare a messaggi d’errore del sistema, invitando gli utenti ad aprire gli allegati. Inoltre, molti degli allegati erano file ZIP, normalmente ritenuti meno pericolosi.
- Fusi orari: Al contrario di molti predecessori, MyDoom ha iniziato la diffusione a metà giornata lavorativa degli Stati Uniti, infettando immediatamente molte grandi aziende.
- Raccolta aggressiva di indirizzi e-mail: Oltre a inviare copie di se stesso agli indirizzi contenuti nelle mailing list infettate, MyDoom creava autonomamente indirizzi di posta e riusciva anche a bypassare i trucchi per il mascheramento anti-spam degli indirizzi.
Come si può ben immaginare, questo worm farà storia e, molti realizzatori di virus ne seguiranno l’esempio per attaccare siti Internet in un modo che, come si è visto, risulta estremamente efficace. Per comprendere le modalità di attacco e la rapida diffusione, riportiamo di seguito la cronologia di quanto accaduto.
Lunedì 26 Gennaio 2004
Era quasi mezzanotte in Italia ma, negli Stati Uniti, tutte le aziende erano aperte e al lavoro quando MyDoom si affacciò in Rete. Questi elementi ne consentirono una rapidissima diffusione, fin dalle prime ore. Le aziende di sicurezza, in meno di un’ora, identificarono il worm e cominciarono a segnalare le procedure per limitare l’infezione. Dopo poco tempo, vennero realizzate le prime firme per i software antivirus ma, nonostante questo, la grande diffusione era oramai iniziata.
Martedì 27 Gennaio 2004
A meno di ventiquattro ore dall’inizio della diffusione, MyDoom venne già considerato il più veloce attacco virale della storia, molto peggio dei worm dell’agosto 2003 (Sobig e Blaster). Il virus era pronto per portare un attacco massiccio al sito di SCO a partire dal primo febbraio: per questo motivo l’azienda offrì un premio di 250.000 dollari a chi sarebbe riuscito a individuarne l’autore.
Mercoledì 28 Gennaio 2004
Venne individuata la variante MyDoom.B, identica alla precedente ma che, oltre al sito di SCO, prendeva di mira anche quello di Microsoft. Il colosso di Redmond offrì anch’esso una taglia di 250.000 dollari.
Giovedì 29 Gennaio 2004
All’interno del sorgente di MyDoom fu trovata la firma “Andy” e un messaggio del presunto autore: “I’m just doing my job, nothing personal, sorry” (Sto solo facendo il mio lavoro, niente di personale, scusate). I computer infetti dal worm divennero, a loro volta, le piattaforme per portare attacchi altrove.
Domenica 1 Febbraio 2004
MyDoom raggiunse il suo scopo, paralizzando il sito Internet di SCO Group.
Martedì 3 Febbraio 2004
Nonostante i propositi del worm, il sito di Microsoft continuò a essere attivo on-line.