Virus: Come e perché il tuo computer viene infettato

Luca Cicchinelli/ gennaio 26, 2017/ Security/ 0 comments

Non vi dirò di aggiornare il vostro inutile antivirus o di scaricare software aggiuntivi per ripulire il vostro computer.

In questo articolo vedremo cos’è e come funziona, approfonditamente, un virus.

Cos’è un virus

Un virus è un software malevolo che si trova nel nostro hard disk, senza prima averci chiesto il permesso.

Esistono innumerevoli tipi di virus, ma possono essere suddivisi in due principali categorie dipendentemente se:

  1. Possono comunicare con un presunto attaccante.
  2. Non comunicano con nessun individuo.

Gli appartenenti alla prima categoria, concettualmente, possono essere catalogati come trojan.
Tutto quel che rientra nella seconda categoria lo definiremo, erroneamentemalware.

Trojan

Un trojan permette all’attaccante di avere pieno, o parziale, controllo del computer infettato.
Esso deve poter ricevere comandi ed eventualmente inviare informazioni.

Nel caso in cui, il suddetto trojan abbia stabilito una connessione diretta con l’attaccante, sarà piuttosto facile da individuare.
Per connessione diretta s’intende una connessione continua tra un client ed un server.

Un trojan non necessita, obbligatoriamente, di utilizzare una connessione diretta.
Essi possono utilizzare connessioni di tipo indiretto che, tra l’altro, sono più difficili da rilevare.

Tra poco analizzeremo, più approfonditamente, i metodi di comunicazione utilizzati dai trojan.

Malware

La seconda tipologia di virus  quelli che non comunicano con l’esterno – hanno prevalentemente fini di lucro.
Solitamente, la rimozione di un malware è più complicata, in confronto a quanto possa esserlo quella di un trojan, anche se in entrambi i casi vengono sfruttati gli stessi mezzi.

Un esempio può essere il tipico malware che, modificando le impostazioni del browser, veicola le ricerche su altri motori di ricerca.

Esempio virus browser

Esempio virus browser

Un altro esempio possono essere quei virus che, dopo aver bloccato il computer, chiedono un riscatto in denaro.

Esempio virus riscatto

Esempio virus riscatto

Come funziona un virus

Possiamo frammentare il funzionamento di un virus in tre parti:

  1. Diffusione
  2. Infezione
  3. Esecuzione

Queste tre fasi sono consequenziali, ognuna è necessaria al funzionamento della precedente.
L’esecuzione del virus, a sua volta, ne permette la diffusione, creando così un circolo vizioso.

Diffusione

In quest’articolo tralasceremo i metodi di diffusione utilizzati dai software malevoli, vi basterà sapere che non effettuando nessun download, rischioso, i rischi di infezione sono minimi e relegati ad attacchi di rete specifici.

Esistono vari servizi online che offrono la possibilità di eseguire scansioni, su qualsiasi tipo di file.
Uno di questi è VirusTotal, possiamo usufruirne per accertarci che il file che stiamo per avviare non sia malevolo.

Infezione

Analizzeremo cosa succede dal momento in cui il virus viene avviato, quindi da quando già si trova nel nostro hard disk.

Fondamentale è la persistenza dell’infezione, o meglio, al primo avvio del virus il computer verrà infettato in tal modo che nei successivi avvii, il software malevolo, verrà inizializzato automaticamente.

Per essere eseguito ad ogni avvio del computer, sfrutta funzionalità native di Windows, quali l’esecuzione automatica ed il regedit.

Nel prossimo articolo vedremo, nel dettaglio, in che modo si svolge un’infezione del genere.
Di conseguenza, comprendendo i mezzi utilizzati dai virus, saremo in grado di rimuoverli facilmente.

Esecuzione

Un malware, oltre a svolgere quel per cui è stato creato, è solito interferire con i tentativi di rimozione.
Se, per esempio, provassimo a rimuoverlo dall’esecuzione automatica, è possibile venga eseguito nuovamente il processo di infezione.

Poiché esistono milioni di malware differenti ed ognuno svolge funzioni diverse, eviteremo di analizzare a fondo questa categoria di virus.

I trojan, invece, hanno tutti delle caratteristiche in comune.

L’attaccante, solitamente, dispone di alcuni comandi a cui il computer infettato, reagirà nel modo prestabilito.
Le funzioni tipicamente utilizzate comprendono l’accesso all’hard disk, la possibilità di eseguire un download ed avviare un file, sapere tutto ciò che viene digitato attraverso un Keylogger,  far effettuare qualsiasi tipo di richiesta (HTTP, ICMP, FTP) verso un qualsiasi host, ecc.

Come abbiamo velocemente già visto in precedenza, esistono diversi metodi per permettere lo scambio di informazioni tra il computer infetto e l’attaccante.

Come comunica un trojan

In caso di connessione diretta, solitamente, è il computer vittima a connettersi all’attaccante e non viceversa, così da bypassare le protezioni del firewall e del router.

Connessione diretta inversa

Connessione diretta inversa

Dato che le connessioni in uscita non vengono bloccate, a differenza di quelle in entrata, la mancanza di una porta forwardata non sarà un problema per il trojan in questione.

L’alternativa è l’utilizzo di una connessione indiretta. che per esempio può usufruire di un database, che farà da tramite tra il trojan e l’attaccante.
Il software malevolo potrebbe eseguire una scansione, periodicamente o in continuazione, di qualcosa contenuto nel database in questione.
Ovviamente lo stesso concetto può essere applicato ad un qualsiasi file, hostato chissà dove.

Connessione indiretta

Connessione indiretta

Molto diffuso è anche l’utilizzo del protocollo IRC per l’esecuzione di comandi sul computer infetto.

Internet Relay Chat (IRC) è un protocollo di messaggistica istantanea su Internet, che consente sia la comunicazione diretta fra due utenti, che il dialogo contemporaneo di gruppi di persone raggruppati in stanze di discussione dette canali.

Le connessione indirette sono molto più utilizzate di quelle dirette, soprattutto se il trojan non è in esecuzione soltanto su un computer e quindi si ha accesso a più macchine.
In questo caso staremmo parlando di una botnet, utilizzata prevalentemente per attacchi DDoS e DRDos.

Conclusione

Il fine di HOWORKS è quello di informare, non mi assumo nessuna responsabilità dell’uso che farete delle informazioni contenute in questo articolo.
Per qualsiasi dubbio potete contattarci utilizzando i commenti o le nostre pagine social.

Facci sapere cosa ne pensi con un commento!