Come funziona un antivirus?

Cari lettori di Tecnogalaxy, oggi parleremo di antivirus, vedremo cos’è e come funziona e perché è molto importante averne installato uno sul proprio computer.

Un antivirus (software) è progettato per tenere sempre protetto un dispositivo dall’infezione di malware e serve per rilevare e poi rimuovere software dannosi già radicati nel sistema.

Un software antivirus scansionando tutto il sistema e le cartelle, cercando possibili software dannosi, quando ne trova uno come prima cosa lo blocca e informa l’utente.

A volte l’antivirus elimina direttamente la minaccia rilevata, ma gli utenti devono però liberarsene manualmente.

Ci sono alcuni antivirus che monitorano anche tutte le connessioni, sia n entrata che in uscita, cercando possibili attività sospette.

Facendo un esempio, se un programma dovesse utilizzare una porta che non è stata autorizzata per la comunicazione, il software chiederà di eseguire un’azione.

Un antivirus può essere anche in grado di controllare i siti Web che visitiamo, (se il sito è noto che contiene e diffonde malware), al tuo accesso l’antivirus ti invierà una notifica e bloccherà il sito.

Per far funzionare in modo corretto il tuo antivirus, dovrai concedergli molte autorizzazioni, questa cosa però solleva delle preoccupazioni lato utente per quanto riguarda la parte della loro privacy.

Prima di dare queste autorizzazione, devi come prima cosa fidarti del provider che offre il servizio antivirus, fai delle ricerche approfondite sul tipo di software, leggi le recensioni, in questo modo il rischio di mettere pubblici i tuoi dati si abbassa molto.

Ti sei mai chiesto nel dettaglio come funziona un software antivirus?

Il suo funzionamento è quello di scansionare il sistema, le cartelle, i file alla ricerca di software dannosi, se ne trova uno, lo blocca e informa l’utente al riguardo. Sebbene a volte, l’antivirus elimini direttamente la minaccia, gli utenti devono spesso liberarsene manualmente.

In generale un software antivirus analizza qualsiasi file o software che sta per entrare nel sistema, gli elementi scansionati vengono confrontati con quelle che in gergo tecnico sono definite (virus signatures).

Semplicemente è un archivio di firme in cui sono presenti tutte le informazioni sui malware, se il file scansionato combacia con le definizioni presenti nell’archivio l’antivirus lo blocca.

Che tipo di analisi tecniche vengono utilizzate?

Come spiegato in precedenza tutti gli antivirus eseguono le scansioni in tempo reale, facendo una perlustrazione del territorio (il nostro computer). Come sappiano lo strumento più utilizzato e pericoloso per fare un attacco sono i malware.

Proprio per questo motivo è importantissimo mantenere aggiornato il proprio antivirus installato, un antivirus non aggiornato perde il proprio funzionamento lasciando il proprio computer aperto ai possibili attacchi.

Un’altra tecnica di indagine utilizzata è il metodo euristico, che funziona contemporaneamente insieme al (virus signatures).

Questo metodo serve per individuare codici malevoli che non sono conosciuti dall’antivirus, grazie a questa tecnologia, il programma analizza un file sospetto all’interno di in una zona virtuale e isolata da tutto il sistema, con questa procedura nel caso in cui il file fosse pericoloso, non infetterebbe l’intero sistema.

L’altra tecnica utilizzata è quella che effettua delle analisi comportamentali, il software individua il malware, e studia i suoi comportamenti mentre è in funzione.

La soluzione più avanzata e utilizzata è quella del data mining, il data mining analizza il file estraendo parti di codice binario.

L’ultimo metodo utilizzato è il Sandbox, praticamente i file sospetti vengono eseguiti in un ambiente virtuale, in questo modo l’antivirus riesce a capire se sono malevoli o meno.

Come avrai capito non avere installato un buon antivirus sul prorio cmputer potrebbe mettere a rischuo l’intero sistema, ricordati cher i virus possono danneggiare il sistema operativo, rallentare il computer durante il normale utilizzo e a loro volta installare altri tipi di malware.

Qual è la differenza tra Malware e virus?

Spesso accade che la gente confonde i due termini malware e virus come se fossero sinonimi, dobbiamo fare invece una distinzione:

Malware: nella sicurezza informatica indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un utente mentre utilizza il proprio computer.

Il termine è stato coniato nel 1990 da Yisrael Radai, (prima veniva chiamato virus per computer), in italiano viene spesso chiamato codice maligno.

Un malware è un software dannoso che chi lo ha creato lo utilizza a proprio vantaggio per danneggiare gli utenti dei computer che vengono infettati. I cyber criminali lo utilizzano ad esempio per rubare dati personali o per installare programmi indesiderati che a loro volta si occupano di fare altri danni, crittografare e bloccare i dati digitali con una chiave per poi chiedere un riscatto.

In poche parole il termine malware si riferisce a tutti i tipi di software che creano danno, inclusi i trojan, gli spyware, i ransomware e virus.

Rispetto al passato i malware di oggi si diffondono sfruttando le falle “i famosi exploit” di programmi legittimi.

(Un exploit è un termine usato in informatica per identificare una tipologia di script, virus, worm, porzione di dati o binario che sfrutta un bug o una vulnerabilità per creare comportamenti non previsti)

Come vengono diffusi i malware?

I malware possono essere diffusi in diversi modi, via pennetta USB, via mail ma tipicamente vengono diffusi tramite Internet o tramite messaggi di posta elettronica.

Tecnica di Phishing : vengono veicolati tramite e-mail di phishing con allegato il malware, i cyber criminali utilizzano messaggi di posta elettronica creati con tecniche di social engineering che incoraggiano la vittima ad aprire l’allegato che una volta aperto installa il codice malware sul dispositivo.

Link internet dannosi : all’interno di una e-mail viene inserito un testo che incorpora un link “URL” che una volta cliccato reindirizza la vittima su un sito fake oppure su un sito compromesso dove farà scaricare al malcapitato il malware.

Tecnica di social engineering più o meno evolute per far incoraggiare la vittima a cliccare sul collegamento.

Penne USB infette : attualmente è uno dei metodi ancora più efficaci per diffondere il malware, specialmente in ambienti come le aziende, questo comporta una intrusione diretta nella rete locale dell’azienda in questo caso.

Gli attacchi più famosi fatti ad alcuni crediti bancari sono proprio stati fatti tramite penne USB lasciate davanti alla banca o comunque nel perimetro durante l’ora di pranzo, l’attacco avvenne in questo modo:

alcuni dipendenti tornano dalla pausa pranzo e raccolgono da terra la penna USB, rientrano in ufficio e la inseriscono nel computer aziendale. Tramite l’auto run il finto software si eseguo in automatico (in questo caso era una chat erotica), il dipendente inizia a chattare con una donnina e mentre scrive, vede le foto sotto sotto il malware infetta il computer e tutti i computer della rete installando una backdoor

(Una backdoor https://www.tecnogalaxy.it/blog/cosa-sono-le-backdoor/ è un metodo, spesso segreto, per passare oltre la normale autenticazione in un prodotto, un sistema informatico, un crittosistema o un algoritmo).

Tipologie di malware più diffuse

Adware

Sono software indesiderati che visualizzano popup (messaggi) pubblicitari sullo schermo, all’interno delle finestre del browser, nella maggior parte dei casi gli adware si mascherano da componenti legittimi o nascondendosi in un altro programma provocando con l’inganno l’installazione sul computer o sul tablet.

Virus

E’ un codice malevolo scritto in modo che si attacca ad altri programmi infettandoli, l’utente quando lo esegue (nella maggior parte dei casi inavvertitamente), il virus si riproduce modificando altri programmi, file infettando il proprio codice.

Worm

Sono simili ai virus, a differenza di questi però sono stati progettati per diffondersi e danneggiare tutti i computer presenti su una rete, nella maggior parte dei casi distruggendo file e cartelle di sistema.

Spyware

E’ tipo di malware progettato per spiare le attività della vittima mentre utilizza il suo computer, ovviamente tutto questo senza autorizzazione. Tutte le informazioni raccolte poi vengono inviate al cyber criminale tramite e-mail o via ftp.

Ransomware

Sentiamo parlare di Ransomware in questo periodo quasi giornalmente, sono malware che una volta eseguiti impediscono alla vittima di accedere al proprio dispositivo o ai propri file perché vengono criptati.

Obbligano la vittima a pagare un riscatto per riottenerli, nella maggior parte dei casi anche dopi il pagamento i cyber criminali non inviano nessuna chiave di decriptazione.

Il codice malevolo per realizzare un ransomware è facilmente acquistabile sui marketplace criminali, come ad esempio nel DarkWeb , rendendo questa tipologia di malware sfruttabile da chiunque senza avere particolari competenze tecniche.

Rootkit

Questo tipo di malware consente al criminale informatico di ottenere i privilegi di amministratore sul sistema attaccato, sono progettati per rimanere nascosti agli occhi della vittima e degli altri software e del sistema operativo in funzione.

Trojan

I cavalli di Troia sono tra i malware più pericolosi che possiamo trovare in circolazione perchè si presentano sotto forma ad esempio di tool per lo sblocco delle versioni a pagamento di software noti.

Utilizzando questo stratagemma il cyber criminale inganna l’utente e una volta entrato nel sistema, il trojan consente al criminale di ottenere l’accesso completo e non autorizzato al computer della vittima.

Keylogger

E’ un codice malevolo scritto per registrare tutto ciò che la vittima digita sulla tastiera, inviando poi le informazioni raccolte o via e-mail o via ftp, riuscendo a rubare informazioni sensibili come nomi utente, password, numeri di carte di credito etc…

Exploit

Guardandoli da informatico e dalla parte tecnica, secondo me sono i migliori perché sono codici malevoli che sfruttano dei bug e delle vulnerabilità del sistema operativo o di software, anche questi consentono ai criminali informatici di prenderne il controllo da remoto.

Come facciamo per rimuovere i malware?

Purtroppo non così semplice rimuovere un malware da un sistema infetto, in alcuni casi come abbiamo visto l’infezione non produce alcuna attività malevola visibile all’utente.

Per essere sicuri di eliminare ogni possibile codice malevolo da un dispositivo è bisogna affidarsi ad un programma antimalware .

I cyber criminali investono molto tempo e denaro per sviluppare varianti di malware sempre più evolute, in grado di aggirare i sistemi di sicurezza.

Nel caso in cui l’antimalware sia riuscito ad eliminare il malware sul computer, sul tablet o sullo smartphone, la prima cosa da fare è quella di cambiare tutte le password utilizzate per accedere al computer stesso, ai social, alla banca, alla mail etc…

In ambito invece aziendale è molto importante istruire i propri dipendenti facendoli partecipare a sessioni sulla sicurezza informatica tenute da professionisti, in modo da riconoscere e difendersi dagli attacchi informatici.

La maggior parte dei malware richiede un’azione da parte dell’utente per attivare il payload malevolo, spiegare ai propri dipendenti cos’è e come funziona la tecnica del social engineering utilizzata dai cyber criminali per diffondere via e-mail i malware , o la tecnica del Phishing permette di alzare l’asticella della sicurezza aziendale.

I ransomware possono crittografare anche eventuali copie di backup di file archiviati sui server o su risorse di rete, una buona soluzione potrebbe essere quella di duplicare il backup anche in cloud, in questo modo sarà possibile ripristinarli facilmente, riducendo al minimo l’impatto sulle attività aziendali.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego