Vediamo le più comuni forme di malware: virus, worms, trojan, spyware, adware, keyloggers, backdoor e bots, exploits, rootkits, BHO maligni, rogues, ransomware.
Magari ti stai chiedendo: a cosa serve conoscere la differenza tra tutte queste forme di malware?
Serve a proteggere meglio il computer, perchè sono minacce diverse.
Si differenziano infatti per modalità di attacco e di diffusione, per come si nascondono dai programmi di protezione del computer, per come si comportano e per i danni che producono.
E per proteggere il tuo computer da minacce diverse devi usare programmi diversi, adottare precauzioni diverse, e specifici metodi di protezione e di rimozione in caso di infezione.
Esattamente come per le infezioni reali serve adottare diverse e, se malati, curarsi con medicinali differenti a seconda della malattia. Impara quindi a riconoscere le varie tipologie di malware.
Le prime forme di malware che ti presento si autoreplicano: virus e worms. La differenza principale è che i virus dipendono per diffondersi da altri programmi e da un’azione dell’utente (ad esempio avvio del programma infetto), mentre i worms si autoreplicano indipendentemente da file o programmi e dall’intervento dell’utente.
1) Virus
Un virus è un tipo di malware capace di autoreplicarsi e di diffondersi nel computer ed in altri computers, attaccandosi ad un altro programma (legittimo) ed eseguendosi quando l’utente avvia quel dato programma.
Un virus informatico può restare nascosto nel computer, attaccato ad un programma o file, inattivo fino a quando l’utente avvia quel dato programma o apre il file infettato. Se non curi l’infezione, il virus può infettare file, cartelle, registro di sistema etc.
Come si diffondono i virus?
Attraverso file infetti trasmessi da computer a computer con chiavette USB o dischi, oppure scaricati da Internet attraverso file-sharing o emails o anche allegati in programmi di messaggistica instantanea.
I virus provocano danni di diverso livello: possono causare un lieve rallentamento del sistema, ma anche danneggiare dati e programmi e perfino corrompere il sistema e bloccare completamente il computer, se sovrascrivono codice e dati.
I virus di ultima generazione creano meno danni, ma diffondono codice usato per rubare informazioni, danneggiare reti, creare botnets (ti spiego sotto cosa sono), rubare denaro, creare pubblicità come fanno gli adware etc.
I virus sono di solito rimossi installando ed eseguendo programmi antivirus o antimalware.
2) Worm
I worms (vermi) sono fra i più comuni tipi di malware.
Si autoreplicano come fanno i virus (di cui a volte sono considerati sottocategoria).
Ma a differenza dei virus i worms operano attraverso reti di computers. Utilizzano infatti le reti per trasmettere repliche di se stessi a tutti i computers che sono connessi a quella rete.
Non hanno bisogno di essere ospitati da un programma o di essere avviati da un utente per moltiplicarsi.
Sfruttano in genere vulnerabilità nel sistema operativo per entrare, ed una volta dentro al computer cercano di diffondersi il più rapidamente possibile in maniera autonoma.
La loro propagazione rallenta le prestazioni dei PC e delle reti, anche perchè consumano banda e possono anche diffondere dati all’esterno.
Possono anche essere portatori di codici (chiamati payloads) scritti per rubare dati, cancellare file, creare botnets.
Sono rimossi in genere da specifici programmi di rimozione malware.
3) Trojan
A differenza di virus e worm, un trojan (anche chiamato Trojan horse o Cavallo di Troia) non si riproduce. Questo tipo di malware prende nome dal famoso cavallo di Troia utilizzato dai Greci per entrare in Troia.
Un trojan infatti è malware mascherato da software utile, in genere programmi gratuiti o add-ons di browsers. Gli utenti pensano di eseguire un programma normale, ed invece eseguono il trojan.
Si attivano infatti su azione dell’utente: ad esempio quando l’utente apre allegati infetti alle email, oppure scarica ed esegue file .exe da Internet.
Una volta entrato nel sistema, il trojan inizia a fare danni nel pc, alcuni lievi (ad esempio aprire finestre di pop-ups o cambiare l’immagine dello schermo), altri più pericolosi.
In particolare, i trojan possono creare backdoors che permettono all’hacker di accedere illegittimamente in remoto al tuo computer, e quindi di aggirare programmi di protezione del tuo computer, di installare altri tipi di malware, e di compiere con questi ultimi varie attività maligne con i tuoi dati e con il tuo computer (ad esempio lanciare un attacco ad altri computers), il tutto a tua insaputa.
Per questo i trojans sono tra i più popolari e pericolosi malware, ed hanno numerose varianti (tra cui i droppers). I trojans possono essere rimossi manualmente o con programmi antivirus.
Virus, worm e trojan sono categorie di malware che prendono il nome da come si diffondono.
Altri malware invece prendono il nome da quello che fanno: spyware, adware, keylogger, backdoor, ransomware, rootkit, dialer.
4) Spyware
Gli spyware spiano quello che fai sul computer e su Internet.
Uno spyware può anche prendere parziale controllo del computer (ad esempio per ridigerti a determinati siti quando navighi), ma in genere raccolgono dati ed informazioni personali senza che tu te ne accorga.
Come fanno a raccogliere dati?
Possono monitorare la tua attività accedendo a file di logs, registrare quello che digiti sulla tastiera, scansire il computer per individuare file e cartelle di dati personali.
Tutte le informazioni raccolte vengono inviate ad aziende che li usano per pubblicità, sondaggi ed altre forme di spam.
Oppure ad hackers (in genere facenti parte di grosse organizzazioni criminali) che li usano per attività illegali ben più serie, quali ad esempio accedere al tuo conto bancario e trasferire soldi. Ed è questo il pericolo più grosso per gli utenti comuni rappresentato dagli spyware.
Se il tuo computer è un computer aziendale, le organizzazioni possono anche rivendere queste informazioni se hanno valore.
Gli spyware spesso arrivano al tuo computer quando scarichi programmi gratuiti da determinati siti poco attenti alla sicurezza dei software che propongono, o quando fai scansioni online in posti poco sicuri, installando add-ons o plugins infetti, visitando siti maligni, oppure arrivano in combinazione con adware o trojans.
Possono essere rimossi con specifici programmi di rimozione di spyware.
5) Adware
Adware deriva da advertisement (pubblicità) e malware.
Gli adware mostrano pubblicità all’utente quando usa specifici programmi, in particolare versioni gratuite di programmi a pagamento, che mostrano pubblicità per spingere all’acquisto l’utente.
Ma gli adware mostrano anche pubblicità in pop-ups e nuove finestre quando l’utente naviga in Internet.
L’adware di per sè non è pericoloso, ma è comunque fastidioso e rappresenta un’intrusione nel tuo computer.
Diventa più pericoloso quando l’adware viene accompagnato da spyware, cosa sempre più frequente.
Si eliminano con programmi di rimozione di adware o spyware.
6) Keylogger
I keyloggers (crasi di keystroke loggers) registrano quello che digiti con la tastiera, per poi inviare queste informazioni ad hackers.
Grazie ai keyloggers, i pirati possono rubare username e passwords, informazioni finanziarie (ad esempio numero della carta di credito, codice fiscale, dati di accesso al tuo conto bancario, PIN etc) e qualsiasi altra cosa che tu digiti (ad esempio contenuti delle email).
I keyloggers sono spesso portati da un worm o da un trojan. Forme più evolute di keylogger sono anche capaci di catturare screenshots del computer.
Questo annulla l’effetto di eventuali tastiere virtuali che usi per aggirare le forme tradizionali di keyloggers.
I keyloggers rientrano nella famiglia dei malware definiti come password stealers e monitoring tools nei report di Microsoft.
7) Backdoor / Bot
Una backdoor permette ai suoi sviluppatori di accedere al tuo PC ed a tutte le sue funzioni.
Spesso installate dopo l’esecuzione di un trojan, le backdoors maligne servono agli hackers per far fare al computer infetto quello che vuole attraverso dei bots (programmi automatici).
Una volta infetto, il computer diventa parte di una botnet: una rete di computer infetti che l’hacker usa in remoto.
Il bot resta nascosto e inattivo fino a quando non viene risvegliato da un comando specifico (alcuni tipi di bots sono per questo chiamati anche zombie).
I bots sono usati per scopi illegali quali inviare in massa spam via email o nei commenti di siti, compiere attacchi informatici di tipo DoS (Denial of Service), bloccare l’operatività di siti e servers bersaglio etc.
Per compiere queste azioni su grande scala gli hackers hanno bisogno di una certa massa, in genere migliaia di computers che compongono appunto una botnet.
Un bot non danneggia attivamente il tuo computer, ma rende il tuo computer complice nel danneggiare altri computers.
Ci sono specifici strumenti che aiutano a capire se il tuo computer è parte di una botnet.
8) Exploit
Un exploit è un codice che sfrutta una particolare vulnerabilità di un programma per computer (anche del sistema operativo stesso), per permettere a chi attacca il PC di ottenerne il controllo.
9) Rootkit
Un rootkit è un malware progettato per infilarsi nel tuo sistema operativo e nel registro senza farsi notare da antivirus o programmi di sicurezza. Infatti si installa, carica e nasconde in processi legittimi del tuo computer.
Questo rende estremamente difficile individuare il rootkit per i normali antivirus, ai quali il rootkit mostra file legittimi durante la scansione.
Il rootkit serve agli hackers per ottenere accesso remote al tuo computer con privilegi di amministratore.
Una volta ottenuto l’accesso, i pirati hanno controllo totale del tuo computer, che usano per eseguire files, accedere a (e rubare) informazioni personali, modificare le impostazioni di sistema, modificare software (in particolare antivirus che potrebbero individuare il rootkit), installare altro melware e controllare il computer come parte di una botnet.
Sono spesso usati per installare backdoors e keyloggers.
Ti presento più in dettaglio in questa lezione cosa sono i rootkit.
11) Rogues / Scareware
Non tutti i programmi antivirus sono reali.
Alcuni sono falsi antivirus: si spacciano per programmi antivirus, dopo una finta scansione dicono all’utente che il loro computer è pieno di virus e spingono l’utente a comprare il programma per rimuovere i virus fintamente individuati.
A volte arrivano anche a bloccare il computer fino a quando non acquisti il programma.
Questi falsi antivirus sono chiamati rogues (rogues antivirus o rogues spyware) o anche scareware: rogues significa furfante, mentre scare significa spavento (perchè giocano sulla paura dell’utente delle finte infezioni nel computer).
Se procedi all’acquisto, non solo butti via soldi, ma anche fornisci i tuoi dati bancari a malintenzionati. Come rivela il più recente Microsoft Security Intelligence Report, i rogues sono diventati uno dei più comuni metodi di attacco malware negli ultimi anni.
Anche perchè, mostra ancora Microsoft in un recente articolo, i rogues sono sempre più simili agli originali legittimi ed utilizzano loghi e icone di programmi legittimi rendendo difficile per l’utente normale capire che sono programmi fasulli.
Se sei in dubbio su un programma antivirus, puoi consultare il database dei rogues di Lavasoft.
12) Ransomware
Ransom significa riscatto.
Il ransomware è una forma di malware che impedisce all’utente di accedere ad aree del proprio computer perchè crittografa i files o protegge l’hard disk da accessi, visualizzando invece un messaggio per forzare l’utente a pagare per riavere accesso al computer.
In pratica tiene in ostaggio un computer fino a quando non viene pagato il riscatto – da qui il nome.
Questo tipo di malware si diffonde come i worms, attraverso file scaricati o vulnerabilità in servizi di rete.
13) BHO maligni
I BHO (Browser Helper Objects) sono componenti aggiuntive dei browsers, come toolbars e plugins.
Molte componenti sono utili agli utenti. Firefox e Chrome offrono agli utenti la possibilità di integrare le funzioni del browser con un’infinità di utili plugins. Ma alcune componenti sono inutili o maligne e vengono classificati come BHO maligni (e considerati a volte come una sottocategoria di adware).
I BHO maligni includono ad esempio alcune toolbars dei browsers come Babylon o FLV Runner: appesantiscono il browser, visualizzano pubblicità mentre navighi e a volte modificano nascostamente impostazioni del browser, come la pagina di avvio del browser. Altri BHO maligni prendono il nome di hijackers (dirottatori) perchè dirottano l’utente a pagine di scelta dello sviluppatore.
Altri BHO maligni sono chiamati PUP (Potentially Unwanted Programs). I PUP sono programmi generalmente installati come parte di altri programmi gratuiti (su accordo commerciale tra l’azienda produttrice del programma gratuito e quella produttrice del PUP).
L’utente è avvisato al momento dell’installazione di un programma che verrà installato anche un altro programma (il PUP).
A volte, l’avviso relativo al PUP è poco chiaro e l’utente automaticamente completa l’installazione, installando quindi sia il programma desiderato che quello non desiderato.
Altre volte, se l’utente sceglie di non installare il PUP perde la possibilità di installare il programma gratuito.
Tutti i BHO maligni in genere provocano percepibile rallentamento nella navigazione e crash del browsers.
Si possono rimuovere manualmente, ma a volte servono strumenti specifici di rimozione o pulizia del browser.
14) Dialers
I dialer agiscono sulle connessione via modem a chiamata, componendo automaticamente e senza che l’utente se ne accorga dei numeri di telefono per collegarsi a provider esteri costosissimi.
Ma non avendo effetto sulle connessioni via cavo o ADSL sono una categoria di malware ormai quasi inesistente.
I tipi di malware dai rootkit fino ai dialers rientrano in una famiglia definita genericamente da Microsoft come potentially unwanted software, che comprende anche pornwares (malware che ridirige a siti pornografici pay-per-view), flooders (malware che invia quantità enormi di dati attraverso Internet ad un server o ad una rete, per inondare il servizio e bloccarlo), hoaxes (malware che invia messaggi fasulli di allerta di virus ed invita l’utente a diffondere il messaggio) e diversi altri tipi di malware.
Tieni conto comunque che le categorie di malware sono dinamiche.
E che esistono milioni di varianti delle famiglie di malware che ti ho presentato sopra. Ad esempio un virus potrebbe rubarti le informazioni come uno spyware, ed usare tecniche tipiche dei rootikit per nascondersi dagli antivirus.
La classificazione dei malware non è dunque una scienza esatta e varia a seconda di quale aspetto del malware si considera prioritario.
La classificazione che ho usato (simile a quella adottata nei Microsoft Security Intelligence Report dall’azienda di Richmond) è comunque una buona base di partenza per capire come funzionano le principali minacce al tuo computer.
