Caratteristiche e Differenza tra Virus, Worm e Trojan Horse
Virus
Si tratta sicuramente della classe più conosciuta. Una volta lanciato in esecuzione, il programma è in grado di replicarsi infettando altri file. Uno dei metodi è quello di copiare il proprio codice all’interno del file eseguibile di un’altra applicazione, questo è possibile inserendosi o all’inizio, col rischio però di sovrascrivere l’header, o in coda in modo da essere eseguito dopo l’esecuzione del programma originale. Altri file particolarmente vulnerabili sono i documenti di applicazioni che permettono di utilizzare linguaggi di programmazione più o meno complessi per la realizzazione di alcune operazioni (Macro). La loro diffusione avviene prevalentemente per mezzo di supporti fisici (floppy disk prima, chiavette USB oggi), email e programmi di file sharing, ma finché non vengono caricati in memoria non arrecano alcun danno.
Per sopravvivere tendono a replicarsi in zone nascoste del sistema, alcuni arrivano fino al boot sector dell’hard disk, e cercano di disabilitare eventuali software antivirus attivi su quel sistema. Per favorire la prolificazione invece, sono nati i virus polimorfici e metamorfici. Queste nuove generazioni sono in grado di criptare il proprio codice binario all’atto della replicazione in modo da sfuggire ai sistemi antivirus basati su ftrme e mentre i primi mantengono comunque una prima parte in chiaro (la routine di decriptazione) i secondi sono in grado di mutare completamente il proprio codice arrivando anche a scomporlo in più parti da inserire in zone separate del file infettato.
Worm
A differenza dei virus, i worm non hanno bisogno di infettare altri file per propagarsi, poiché sono in grado di modificare il sistema operativo che li ospita in modo da venire eseguiti ogni volta che la macchina si avvia e rimanere attivi fino al suo spegnimento o fino ad un intervento esterno che termini il relativo processo. Spesso questi programmi non arrecano danni direttamente, il loro scopo infatti è passare inosservati, ma possono avere effetti collaterali quali consumo di risorse e introduzione di ulteriore malware. I principali mezzi di trasmissione sono email, file sharing e sfruttamento dei bug di software diffusi. Per diffondersi tramite email possono integrare al loro interno tutto il necessario per generarle autonomamente (con un motore SMTP) oltre ovviamente ad implementare i metodi di difesa dagli antivirus visti in precedenza: disabilitazione delle suite si sicurezza, polimorfismo e metamorfismo.
Inoltre procedendo autonomamente possono portare ad un notevole traffico di email che spesso riportano un indirizzo del mittente falsificato con la conseguenza che i provvedimenti presi dai vari server di posta, all’atto della rilevazione del worm, risultano inefficaci se non addirittura controproducenti (es. inserimento in black-list di indirizzi estranei ai fatti). Un’alternativa molto comune e anche più difficile da contrastare è la diffusione mediante lo sfruttamento di bug, spesso noti, di programmi molto diffusi. In questi casi l’utente non ha nessuna possibilità di controllo poiché il meccanismo è completamente automatico e l’unica soluzione possibile è l’aggiornamento costante sia del sistema operativo che dei software installati. Di notevole rilievo è il ruolo di questa classe di malware nella proliferazione di botnet, ovvero di reti di computer infetti alle dipendenze di gruppi criminali e alla base di alcune categorie di attacchi informatici.
Trojan Horse
Diminutivo di Trojan Horse ovvero Cavallo di troia. Il nome deriva dalla somiglianza del suo funzionamento con quello dell’antico dono che permise ai greci di espugnare Troia. Questo tipo di malware infatti si presenta come un programma, solitamente gratuito, che mette a disposizione dell’utente funzioni più o meno utili invogliandolo ad eseguire il codice, celando però le vere finalità. L’attrazione delle funzionalità offerte ha un ruolo molto importante, questi programmi infatti spesso non sono in grado di auto replicarsi, di conseguenza le uniche vie per una larga diffusione sono l’inserimento del codice all’interno di worm o convincere il maggior numero di persone a scaricare il programma dal web.
Questo malware solitamente è costituito da due file, quello che viene diffuso è il file server, mentre quello che rimane in mano all’attaccante è il file client che permette di comandare a distanza le macchine vittime del file server. Le principali finalità sono la creazione di backdoor o l’installazione di keylogger, con il file ultimo di carpire informazioni sensibili.
