Computer virus, malware, rootkit: cosa è cambiato nel tempo e come tenere al sicuro i nostri dati

Computer virus

Come è cambiata la sicurezza informatica negli anni?

L’evoluzione dei computer virus dai primi anni ottanta ad oggi è stata rapidissima e radicale: sono cambiate non solo le tecniche di realizzazione e di propagazione ma anche gli obiettivi, la mentalità e il profilo tipico del virus writer.

Un virus per computer è un programma contenente un meccanismo di replicazione che gli consente, una volta aperto o eseguito, di infettare altri file del computer bersaglio. Durante i primi anni ‘80 il processo di diffusione delle infezioni informatiche da un computer all’altro era mediamente lento ed avveniva attraverso lo scambio di file infetti su supporti di memorizzazione (floppy disk prima e cd-rom poi).

A spingere i virus writer erano prevalentemente motivi di propaganda, ricerca di notorietà e rivendicazioni personali. L’azione dannosa dei virus andava dalla semplice visualizzazione di slogan a video alla “distruzione” di dati più o meno importanti all’interno dei computer colpiti. In generale la presenza di infezioni portava i computer ad un rallentamento delle performance a causa di una maggior occupazione di risorse e di memoria causate dal virus stesso. Nel corso degli anni la diffusione di Internet, sia a livello aziendale che privato, ha fortemente modificato le metodologie di propagazione e la tipologia stessa di infezioni informatiche. La presenza di un numero sempre maggiore di dispositivi interconnessi tra di loro attraverso la “grande rete” (computer, smartphone, tablet, reti di sensori) ha abbassato drasticamente il tempo di diffusione e aumentato il numero di macchine infettabili.

Oggi, rispetto al passato, si preferisce parlare di malware per indicare un generico programma “malvagio” in grado di effettuare operazioni dannose all’insaputa dell’utente. I virus rappresentano un particolare tipo di malware insieme a worm, trojan horse, backdoor, spyware, dialer, rabbit, scareware, rootkit, hijacker, adware, keylogger. Ciascuna categoria ha delle specifiche peculiarità che vanno dal furto di informazioni personali al controllo del nostro computer da parte di un attacker remoto. Nessun sistema operativo è totalmente sicuro ed immune da attacchi informatici dovuti a malware e il grado di vulnerabilità di un sistema dipende da diversi fattori tra cui principalmente il suo grado di diffusione (avrebbe forse senso scrivere un malware in grado di infettare un sistema poco diffuso?) e la presenza di software installato e non aggiornato (sia il sistema operativo che i programmi installati necessitano di aggiornamento continuo per eliminare le vulnerabilità e i problemi di sicurezza scoperti nel tempo).

Oggi il ragazzino desideroso di farsi notare oppure il dipendente licenziato e frustrato hanno lasciato spazio a vere e proprie organizzazioni criminali che diffondono infezioni in rete con l’unico fine di carpire informazioni come numeri di carte di credito, account email, password di accesso per rubare soldi ed identità digitali. Non esiste un unico grande prodotto in grado di mettere al sicuro un computer rendendolo invulnerabile ad attacchi di questo tipo.

La sicurezza va quindi intesa come un servizio effettuato da occhi esperti e professionalmente preparati in grado di riconoscere ed adottare i prodotti e le soluzioni necessarie per proteggere le nostre informazioni.

La sicurezza informatica diventa quindi una filosofia ed un approccio alla gestione dei dati ai quali non possiamo rinunciare.

Virus “Guardia di Finanza”

Oggi ci siamo imbatutti nella disinfezione di un computer colpito da una variante dell’ormai classico virus “Guardia di Finanza” e vorremmo condividere con voi alcuni piccoli consigli e prove utili qualora vi trovaste ad affrontare una situazione simile. La variante in oggetto ha bloccato il pc impedendone l’utilizzo ed inibendo qualsiasi operazione di diagnostica e manutenzione. In particolare pochi secondi dopo l’avvio veniva mostrata a video una schermata contenente appunto il presunto avviso della GdF che informava l’ignaro utente di infrazioni effettuate con il computer e per le quali si rendeva necessario il pagamento di una multa di euro 100 attraverso l’apposita form.

Risultava impossibile accedere al task manager attraverso la combinazione CTRL+ALT+CANC e riavviando in modalità provvisoria il computer si ottieneva un BSOD. La finestra in sovraimpressione poteva essere solo spostata ma al di sotto, sul desktop del pc, non erano più presenti le icone dell’utente.

La scansione con diversi prodotti antivirus, effettuata sia al boot sia staccando l’hard disk e collegandolo ad un’altro computer, non era in grado di rilevare alcuna infezione. Molto probabilmente la variante in oggetto era particolarmente recente e non ancora rilevata dai centri di sicurezza e per questo abbiamo subito provveduto ad inviarne un campione.

Abbiamo effettuato un controllo veloce ai vari hive del registro di sistema alla ricerca di tracce ed informazioni ma senza successo. Nella cartella c:\windows\system32, invece, abbiamo trovato alcuni file con data di modifica/creazione molto prossima a quella di inizio del problema. Uno di questi file aveva come nome k8h0pp.exe (nome probabilmente generato in modo random) e ci ha subito insospettito. Lo abbiamo rinominato e riavviato la macchina riuscendo così a riprendere il controllo del sistema. Lanciando poi il comando msconfig siamo riusciti ad eliminare ogni riferimento al file durante l’avvio del sistema.

Come ogni battaglia dove si combatte un nemico che non si conosce è stata dura ma alla fine abbiamo vinto.

Un ringraziamento agli amici di Symbolic (Fabrizio, Andrea e Luca) che ci hanno affiancato per arrivare alla risoluzione del problema.