MODULO 27 –> Dai virus al malware

Insegnamento di Informatica – a.a. 2015-16
Dai virus al malware
INSEGNAMENTO DI INFORMATICA – A.A. 2015-16
Francesco Ciclosi
Macerata, 18 dicembre 2015

Unimc - Dipartimento di Economia e Diritto - Corso di Laurea in Economia: banche, aziende e mercati
© Francesco Ciclosi – Settembre 2015 CC-BY-SA 4.0 – Common Deed – Legal Code
Che cos’è un virus informatico?
 Generalmente con il termine virus intendiamo
nient’altro che un semplice programma, sviluppato
in un determinato linguaggio di programmazione,
caratterizzato dalla capacità di riprodursi
facendo copie di se stesso
 Come ogni programma, un virus non è in grado di
comparire in modo spontaneo sul computer di un
utente, ma necessita di essere eseguito

I virus
 Esistono due macro tipologie di virus:
• quelli cosiddetti ITW (in the wild), ovvero in libera
circolazione nell’intera rete telematica mondiale
• quelli da laboratorio (zoo virus), che esistono
esclusivamente all’interno di laboratori di ricerca in reti
isolate e sorvegliate
 Come qualsiasi altro codice, anche i virus sono
soggetti a errori di programmazione che possono
inficiarne il corretto funzionamento

I componenti di un virus (1/2)
 Generalmente i virus sono costituiti da due
componenti principali e da tre componenti
opzionali:
• Routine di ricerca (principale)
• Routine d’infezione (principale)
• Routine di attivazione (opzionale)
• Payload (opzionale)
• Routine antirilevamento (opzionale)

I componenti di un virus (2/2)

La routine di ricerca
 Si occupa della lettura dei dischi alla ricerca di un
determinato obbiettivo
• Es.: il boot sector di un floppy
• Es.: i file creati con un certo applicativo
 A questa routine è inoltre demandata
l’identificazione dei file precedentemente
infettati, al fine di prevenire una contaminazione
recidiva dello stesso target da parte del virus

La routine d’infezione
 Entra in azione al termine della routine di ricerca
 Ha l’obbiettivo d’iniziare il processo d’infezione
del target precedentemente identificato
 La discrezione di tale processo è vitale per la
diffusione del virus stesso
 La sopravvivenza del virus è strettamente legata
alla sua capacità di saper rimanere occultato il più
a lungo possibile

La routine di attivazione
 Ha il compito d’indicare al virus il momento più
idoneo al lancio dell’attacco
 Eventi di attivazione tipici possono essere
costituiti da date o accadimenti significativi
• Es.: il livello di occupazione di un hard disk

Il payload
 Viene attivato dalla routine d’attivazione e
consiste nelle tipiche azioni eseguite dal virus:
• cancellazione di file
• formattazione di hard disk
• disattivazione di tasti sulla tastiera
• visualizzazione di messaggi a video
• altro

La routine antirilevamento
 Ha il compito d’impedire o rendere più difficoltosa
la rilevazione del virus
 Il suo funzionamento può essere:
• molto semplice
o Es.: modifica di ora, data e dimensione del file infetto
• estremamente complesso
 Le routine antirilevamento più sofisticate si caricano
nella RAM e tentano d’ingannare i software antivirus
che si occupano dell’esame del disco

Virus: metodologie per la trasmissione
 I virus hanno bisogno di esser caricati e eseguiti
 Non potendo contare sulla collaborazione
volontaria degli utenti, sono dotati di
metodologie di auto-caricamento operanti
all’insaputa dell’utente
 Si classificano in tre categorie in base al sistema
di propagazione: virus di file, virus di boot e
macrovirus

I virus di boot
 I virus di boot agiscono sul boot sector di un
disco
 Un virus di boot ha la caratteristica di prendere
il controllo ogni qual volta si procede all’avvio
del computer da un floppy disk o da un hard
disk infetti

I virus di file
 I virus di file agiscono solo su file di programma,
quali Microsoft Word (winword.exe) o lo stesso
Blocco Note (notepad.exe), provvedendo a
trasmettersi a ogni esecuzione del programma
infetto
 Di questa categoria fa parte anche un ulteriore
specie denominata virus multipartito e in grado
d’infettare sia i boot sector che i file

I macrovirus
 I macrovirus possono infettare esclusivamente
quei file creati con particolari applicativi (Es.:
Word o Excel) che utilizzano un linguaggio di
programmazione per la creazione di Macro
(ovvero componenti software in grado di
automatizzare alcune procedure) interne ai
documenti
 La loro diffusione avviene all’apertura di un file
infetto

Tipologie d’infezioni (1/3)
 I virus possono trasmettere la loro infezione in
differenti modi:
• Infezione diretta
o Viene infettato uno o più file a ogni esecuzione
dell’applicazione infetta
o Se non si apre un documento infettato o non si carica un
programma infettato il virus non può propagarsi
• Infezione rapida
o Viene infettato qualsiasi file aperto da un programma
infetto

• Infezione lenta
o Il virus cerca di mascherare la sua presenza limitando
l’infezione dei file a quelli appena creati o modificati dal
programma
• Infezione irregolare
o Il virus presenta un comportamento prudente come nel
caso precedente ma limita ulteriormente la sua
aggressività, procedendo pertanto all’infezione casuale e
occasionale dei file

• Infezione Memory Resident (residente in memoria)
o Il virus si auto-carica nella memoria del sistema (RAM) e
li resta nascosto in attesa di entrare in funzione ogni qual
volta che si esegue un programma o si inserisce un
dischetto
o È l’unica tipologia d’infezione possibile per i virus di boot

Non solo virus
 Al giorno d’oggi le minacce diffuse nelle reti
telematiche vanno ben oltre le attività svolte dai
classici virus
 Per questo è stato coniato un nuovo termine:
MALWARE

Il malware (1/2)
 Si definisce malware un qualsiasi software
creato allo scopo di causare danni:
• a un computer
• ai dati degli utenti del computer
• a un sistema informatico su cui viene eseguito
 Il termine deriva dalla contrazione delle parole
inglesi malicious e software e ha dunque il
significato letterale di «programma malvagio»
 In italiano è chiamato anche codice maligno

Il malware (2/2)
 Un malware è caratterizzato dall’intento doloso
del suo creatore
 Non rientrano nella definizione data i programmi
contenenti (involontariamente) semplici bug
 Il malware non è un sinonimo di virus che si
configura esclusivamente come una sua
sottocategoria

Le categorie di malware
 In letteratura si distinguono varie categorie di
malware
 Va precisato che alcuni programmi sono
composti da più parti che rientrano a tutti gli
effetti in più di una categoria

Categorie di malware: elencazione - 1
 Virus
• Sono parti di codice che si diffondono copiandosi
all’interno di altri programmi (o di sezioni del disco
fisso) in modo da essere eseguiti ogni volta che il file
infetto viene aperto
• Si trasmettono da un computer a un altro tramite lo
spostamento di file infetti ad opera degli utenti

 Worm
• Non hanno bisogno di infettare altri file per
diffondersi
• Modificano il sistema operativo della macchina
ospite in modo da essere eseguiti automaticamente e
tentare di replicarsi sfruttando per lo più Internet
• Utilizzano tecniche di ingegneria sociale
• Sfruttano dei difetti (Bug) di alcuni programmi per
diffondersi automaticamente

 Trojan horse
• Sono software che hanno delle funzionalità «lecite»
per indurre l’utente ad utilizzarli, ma che
contengono anche delle istruzioni dannose che
vengono eseguite all’insaputa dell’utilizzatore
• Non possiedono funzioni di auto-replicazione
• Per diffondersi devono essere consapevolmente
inviati alla vittima

 Backdoor
• Consentono un accesso non autorizzato al sistema
su cui sono in esecuzione
• Si diffondono spesso in abbinamento a un trojan o a
un worm
• A volte costituiscono una forma di accesso lecita di
emergenza a un sistema

 Spyware
• Vengono usati prima per raccogliere informazioni dal
sistema su cui sono installati, poi per trasmetterle a un
destinatario interessato
 Dialer
• Si occupano di gestire la connessione a Internet tramite
la normale linea telefonica
• Se usati in modo illecito modificano il numero
telefonico chiamato dalla connessione predefinita con
uno a tariffazione speciale

 Hijacker
• Si appropriano di applicazioni usate per la navigazione
in rete (soprattutto browser) causando l’apertura
automatica di pagine web indesiderate
 Scareware
• È una classe di software dannosi o comunque di
limitata utilità la cui installazione viene suggerita agli
utenti attraverso tecniche di marketing scorretto o
mediante i metodi tipici dell’ingegneria sociale
• A volte spingono a installare altro malware

 Rootkit
• Solitamente sono composti da un driver e a volte,
da copie modificate di programmi normalmente
presenti nel sistema
• Non sono dannosi in sé
• Hanno la funzione di nascondere (all’utente e agli
antivirus) la presenza di particolari file o
impostazioni del sistema
• Vengono utilizzati per mascherare spyware e trojan

 Rabbit
• Sono programmi che esauriscono le risorse del
computer creando copie di sé stessi (in memoria o su
disco) a grande velocità
 Adware
• Sono programmi che presentano all’utente messaggi
pubblicitari durante l’uso
• Possono rallentare il pc e compromettere la privacy
comunicando le abitudini di navigazione a un server
remoto

 Malvertising (malicious advertising)
• Sono degli attacchi che originano dalle pubblicità
delle pagine web
 Rogue antispyware
• È un malware che si finge un programma per la
sicurezza del PC, spingendo gli utenti ad acquistare
una licenza del programma

 Keylogger
• Sono dei programmi in grado di registrare tutto ciò che
un utente digita su una tastiera
• Servono a trafugare i dati e le password dell’utente
• Tali programmi non causano rallentamento al
computer, passando così totalmente inosservati
• A volte sono installati sul computer da trojan o worm
• Esistono anche i Keylogger Hardware

 Bomba logica
• È un tipo di malware che fa sentire i suoi effetti al
verificarsi di determinate condizioni (o stati del
computer) predeterminate dall’attaccante
 Zip Bomb (bomba a decompressione)
• È un attacco di tipo denial of service
• Si tratta di un archivio compresso malevolo, studiato
per mandare in crash o rendere inutile il programma o
il sistema che lo legge

 Ransomware
• È un tipo di software maligno progettato per bloccare
l’accesso a un sistema fintanto che non viene versata
una somma di denaro in riscatto
 Ransomware a criptazione
• Particolare variante di ransomware che cripta tutti i dati
presenti su un disco con una chiave di cifratura
complessa
• Per ottenerla e poter decrittare il computer l’utente
dovrà pagare un riscatto in bitcoin al cyber criminal

Il trojan – Beast RAT

Alcuni esempi di ransomware - 1

Alcuni esempi di ransomware - 2

Cryptolocker

Gli antivirus (1/3)
 Servono a difendersi (anche prevenendole) dalle
azioni compiute dai virus
 Adempiono alle seguenti funzioni:
• bloccano l’esecuzione dei virus, impedendo l’infezione
del computer (azione preventiva)
• rilevano la presenza di eventuali virus che abbiano già
infettato il computer (azione reattiva)
• eliminano gli eventuali virus presenti (azione reattiva)

Gli antivirus (2/3)
 Sono costituiti da differenti moduli software
operanti in congiunzione:
• Dispositivi di monitoraggio
• Scanner
• Dispositivi per il controllo dell’integrità dei file

Gli antivirus (3/3)

Dispositivo di monitoraggio dei virus
 È un modulo software (behavior blocker) che si insedia
nella memoria del computer e provvede a
monitorizzare le attività di elaborazione alla ricerca
di eventuali comportamenti sospetti
 Si basa sulla capacità di riconoscere le attività tipiche
di un virus
 Tale approccio funziona contro tutti i tipi di virus,
sia quelli noti che quelli ancora sconosciuti
 Può generare molti «falsi positivi»

Scanner
 Sono moduli software che si basano sulla capacità
di individuare un determinato virus sulla base di un
preciso set di istruzioni (firma) che lo caratterizza
 Sono molto precisi e accurati nelle rilevazioni
 Si rivelano completamente inutili nel caso in cui le
definizioni antivirus non siano adeguatamente
aggiornate
 Possono riconoscere solo i virus per i quali esistono
delle specifiche firme

Controllo dell’integrità dei file (1/2)
 Basano il loro funzionamento sull’esame di ogni file
presente nell’hard disk del computer, per il quale
viene calcolato matematicamente un valore
(checksum) che lo identifica univocamente
 Successivamente il modulo si limita a ricalcolare
nuovamente il checksum del file stesso e a
confrontarlo con quello memorizzato la prima volta
 La rilevazione di discrepanze tra i due valori ne
indica l’avvenuta modifica

Controllo dell’integrità dei file (2/2)
 Può identificare anche le tipologie di virus ancora
sconosciute, in quanto ricerca le modifiche
apportate ai file esistenti
 Presenta due inconvenienti:
• Può essere aggirato - alcuni virus cercano di eliminare
il file contenente le checksum generate al fine di
rendere nullo il meccanismo di controllo preposto
• Comunica spesso falsi allarmi - se non adeguatamente
istruito

I miei contatti
linkedin
http://it.linkedin.com/pub/francesco-ciclosi/62/680/a06/
facebook
https://www.facebook.com/francesco.ciclosi
twitter
@francyciclosi
www
http://www.francescociclosi.it

MODULO 27 –> Dai virus al malware

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (19)

Ähnlich wie MODULO 27 –> Dai virus al malware

Ähnlich wie MODULO 27 –> Dai virus al malware (20)

Mehr von Francesco Ciclosi

Mehr von Francesco Ciclosi (20)

MODULO 27 –> Dai virus al malware