"Un Worm ha cancellato tutti i dati dal mio hard disk!"
Sempre più spesso capita di leggere questa frase, in rete, nei forum, nella messaggistica privata. A volte sono le persone che conosciamo che raccontano di sfortunate circostanze in cui, a loro totale insaputa, un virus ha reso inaccessibile il disco fisso, che naturalmente era pieno di dati non ancora salvati e inclusi nel backup che, stranamente, quasi mai riesce a precedere la cancellazione dei dati da parte dell'agente patogeno. Di rado ci si trova a doversi confrontare con le proprie personali esperienze, dolorose in proporzione allo smacco subito dall'eccessiva sicurezza a molto sproposito ostentata ("Un virus a me?!?, Impossibile!"....).
Insomma, sia come sia, l'argomento virus e la relativa necessità di conoscere quale sia la difesa più efficace per il nostro sistema costantemente in rete grazie all'ADSL è, ora più che mai, di stringente attualità.
Prima di conoscere quali sono gli strumenti difensivi che a giudizio dello staff di MegaLab.it si sono comportati meglio al confronto con infezioni multiple e file di sistema geneticamente modificati, è opportuno proporre qualche elemento di ripasso sul multiforme e complesso mondo dei computer virus. Come insegna l'antica saggezza, infatti, la prima arma utile a sconfiggere il nemico è conoscerlo...
Virus, una breve cronistoria
Sovente protagonisti di casi di isteria collettiva e di eccesso di attenzione da parte dei media generalisti ignoranti della materia, quelli che vengono comunemente definiti virus informatici hanno una storia ben più vecchia dei moderni calcolatori su cui hanno cominciato la loro indefessa proliferazione in ambito di informatica personale.
L'ipotesi che un programma potesse autoreplicarsi, infatti, e non a caso, ha lo stesso padre dell'architettura logica dell'elaboratore elettronico, ovvero il matematico americano di origini ungheresi John Von Neumann (1903-1957). La struttura della macchina binaria formata da ALU, unità di controllo, memoria e unità di I/O viene concepita nel 1945, l'idea di un programma parassita la segue di pochi anni. Come a dire, una storia legata a filo doppio, quella dell'informatica e dei computer virus...
E rientra in ambito prettamente sperimentale il primo esempio che si ricordi di worm mangia-risorse, la cosiddetta "Core Wars". Siamo nei'60, e gli ingegneri di Bell Laboratories si inventano un gioco-sfida di programmazione, in cui i partecipanti si combattono a suon di programmi autosufficienti con il compito, ricevuto un particolare comando, di replicarsi per occupare le risorse della rete e distruggere i codici avversari. Worm ante-litteram, incapaci di muoversi di propria iniziativa, ma che ben esemplificano le idee guida a cui parecchi anni dopo si ispireranno gli scrittori di malware contemporaneo (malware = codice dannoso).
I primi casi di "contagio"
Bisogna arrivare agli anni '80 e agli Apple II per vedere la diffusione "allo stato brado" di un virus da calcolatore. Il primo virus conosciuto con il vizio della replicazione parassitaria è il mitico Elk Cloner (anno 1982), che infettava il boot sector dei floppy e si caricava in memoria quando l'utente faceva il boot-strap della macchina dal floppy infetto. Questo illustre predecessore era poco più di uno showcase, una vetrina delle infezioni a venire, e si limitava a controllare l'accesso al disco e a stampare su schermo, ogni 50 dischetti infetti, un piccolo "poema" in rima baciata scritto dal suo autore quindicenne.
Dopo Apple, fu il tempo di IBM e del suo PC con incluso il Dos Microsoft. L'architettura del Personal Computer del colosso americano, espandibile e fortemente orientata alla produttività personale, in puro spirito americano, è il Big Bang dell'home computing, che ci ha portato a dove siamo ora... e che è stato, inutile dirlo, il terreno di coltura ideale per la crescita, la diffusione e la differenziazione dei "virus", che hanno avuto il tempo di evolversi e il terreno fertile per far attecchire le varie generazioni. Il primogenitore dei parassiti per IBM e compatibili è (c) Brain (anno 1987), ancora un boot sector virus scritto da due fratelli pachistani per proteggere il proprio software dai pirati. Oggi quei due fratelli hanno un Internet Service Provider in patria, chiamato naturalmente Brain Limited.
La proliferazione
Col tempo, i parassiti digitali hanno imparato a diffondersi utilizzando ospiti sempre più disparati e strategie sempre più sofisticate... Dopo i Boot Sector virus sono comparsi i File virus (residenti in memoria o meno), capaci di inoculare copie di se stessi nei file eseguibili, garantendosi così l'esecuzione al primo avvio dell'"ospite" già infettato (dapprima aggiungendo codice alla fine del file, poi arrivando addirittura a nascondersi all'interno dello stesso eseguibile, riconoscendo strutture del linguaggio di programmazione da cui il codice macchina derivava) ; i Master Boot Record Virus, rognosi come la peste, capaci di costringere a modifiche a basso livello della struttura logica del disco per poter essere eliminati con successo; i virus cosiddetti "Polimorfi" (o, nei casi più complessi, "Metamorfi"), in grado, al di là dell'ospite usato per la replicazione, di modificare di volta in volta il codice finale dell'infezione, tentativo dei virus writer di rispondere all'attacco portato dall'industria con la nascita e la diffusione sempre più capillare di software antivirale (chi scrive, dopo la prima infezione a mezzo del file virus Yankee Doodle nei primi'90, non ha mai più passato la sua vita digitale senza un Antivirus a guardia dei dati e dei dischi...).
Una vera chicca erano i virus Stealth, bacilli residenti in memoria capaci, al controllo dell'antivirus, di restituire una copia pulita del file infetto, passando così indenni la scansione. Menzione d'onore inoltre per i Multipartite virus, in assoluto i più resistenti e pericolosi, capaci di attaccarsi contemporaneamente a tipi diversi di ospite, e di combinare quindi l'azione infettiva di parti diverse del sistema, inclusi memoria RAM, Master Boot Record, Boot Sector, e file eseguibili. Qualora una delle parti del sistema veniva lasciata infetta da un controllo poco approfondito, il virus ritornava alla carica ricominciando a riprodursi e, eventualmente, a far danni.
A tal proposito, è importante sottolineare come la natura dei virus poteva essere maligna o meno. Il file virus Cascade (scoperto nel 1988, anche conosciuto come 1701, 1704 e BlackJack), ad esempio, si limitava a riprodursi e a far cadere ed ammassare sul fondo dello schermi i caratteri della videata del Dos. Altri invece, come il famigerato Michelangelo (scoperto nel 1992, a quanto il sottoscritto ricordi uno dei primi casi di panico collettivo generato dalla cattiva informazione dei Media ignoranti di cui si parlava all'inizio), virus multipartito da Boot Sector e Master Boot Record, ogni 6 Marzo attivava uno dei suoi due payload distruttivi e sovrascriveva allegramente, con caratteri estratti a caso dalla memoria di sistema, i primi 17 settori dei primi 256 cilindri del primo disco fisso, rendendo le informazioni ivi presenti, e molto verosimilmente l'intero disco fisso, irrecuperabili...
Alla metà dei'90, con il passaggio di consegne da Ms-Dos alla piattaforma ibrida 16/32 bit Windows'95, la nuova shell a finestre del sistema fece azzardare a qualche profeta poco accorto una previsione rivelatasi poi tristemente sbagliata: visto che il nuovo sistema operativo introduceva un modo totalmente nuovo di gestire memoria, hardware, interfaccia utente e ambiente operativo, si pensò che la maggioranza dei computer virus tradizionali sarebbe morta per inedia, incapaci com'erano di lavorare e sfruttare il nuovo ambiente, che parlava "un linguaggio" a loro totalmente sconosciuto, per continuare le infezioni. E fu così il tempo dei Macro Virus...
I Macro Virus sfruttavano la capacità di software per la produttività personale e aziendale (Word, Excel) di allegare codice eseguibile ai documenti, detto appunto macro. Per loro stessa natura, questi "virus da documenti" sono stati un fenomeno che ha riguardato principalmente sistemi Windows, ed hanno dimostrato, con infezioni pandemiche ancora più preoccupanti di quelle causate dalle generazioni di virus basate su Dos, che nessun sistema operativo sufficientemente diffuso era al sicuro. Riconvertitisi al nuovo ambiente, i virus writer avevano poi cominciato a scrivere virus tradizionali (file virus, boot sector virus, ...) capaci di attaccare Windows, ma all'orizzonte si profilava già la rivoluzione della Rete delle Reti...
Internet e la morte dell'innocenza
La diffusione capillare di Internet grazie alle sempre più economiche tariffe delle connessioni in dial-up prima e alle linee ADSL flat poi, ha portato infine alla ribalta un fenomeno antico, risalente, come abbiamo visto, addirittura agli anni 60: oggigiorno, i virus tradizionali sono praticamente spariti dalla circolazione, soppiantati da una nuova generazione di agenti patogeni distruttivi, nocivi per i file e per la stabilità del sistema ma soprattutto per la privacy e i dati sensibili (come il numero della carta Visa, ad esempio). I Worm hanno la tendenza generale ad occupare le risorse del sistema e della rete, rallentando il lavoro degli elaboratori e succhiando la banda passante delle connessioni. Aprono backdoor da cui chi li ha scritti può penetrare nel nostro sistema e carpire ogni sorta di dati riservati, rendono il PC uno "zombi" agli ordini di un burattinaio senza volto che può usarlo per portare attacchi DDoS verso server di importanti player commerciali e possono essere usati per immagazzinare e poi inviare i nostri dati personali alle aziende che hanno fatto dello spam e della pubblicità indesiderata la loro detestabile ragion d'essere.
Casi eclatanti come il worm multipartito Melissa, o i recenti Sober.P e Zotob, hanno letteralmente gettato lo scompiglio nelle reti aziendali e in Internet. Anche le strategie di introduzione nei sistemi sono diventate più raffinate. Se il mezzo privilegiato dai worm per penetrare nel sistema resta sempre una e-mail con allegato un file eseguibile che contiene il codice virale, lo studio costante da parte di hacker, esperti di sicurezza e virus writer estremamente capaci e determinati delle potenziali falle presenti nei sistemi Windows (usati su oltre il 90% dei computer in tutto il mondo), e nella famiglia Windows XP in particolare, fa sì che oggigiorno basti entrare in rete con il sistema operativo non aggiornato con le patch di Microsoft o senza adeguata protezione (firewall, antivirus) per vedersi depositare sul disco il codice maligno. Nessuna azione richiesta o sito da visitare, basta avere la connessione attiva e in pochi minuti si diventa infetti.
Una buona difesa
È stato detto mille volte e mille volte ancora non ci stancheremo di ripeterlo: mai uscire in Rete o processare programmi o documenti provenienti dall'esterno senza avere attivi sul sistema Antivirus e Firewall aggiornati, che controllano in tempo reale "cosa fa cosa" e ci permettono di erigere una prima, fondamentale barriera difensiva ai nostri dati contro tentativi indebiti di intrusione.
Lasciando da parte il discorso sullo Spyware, già trattato in altre sedi sul nostro portale, e sul firewall, fondamentale ma non pertinente, veniamo ora alla parte pratica della faccenda.
Se la prevenzione è in fondo un compito abbastanza agevole da condurre per i software antivirali più diffusi, un prodotto completo e realmente efficace contro i Computer Worm è anche e soprattutto in grado di combattere il nemico quando questo ha già preso il controllo della macchina.
Un giorno non lontano potremmo magari trovarci nella spiacevole situazione in cui il danno è stato già fatto: difese non adeguate o non aggiornate hanno permesso al Netsky di turno di penetrare nel PC: ora cosa facciamo? Dobbiamo formattare? O possiamo davvero eliminare ogni traccia del worm, con la sicurezza che l'infezione non si ripresenti in futuro?
Allora, come una Guida Galattica per Autostoppisti Digitali, noi vi diciamo NIENTE PANICO!, il prodotto che fa per voi esiste, e nelle prossime pagine testeremo una rosa di nomi per conoscere il programma ideale per essere al sicuro dalle moderne minacce alla nostra sicurezza digitale.
La parola va ora a Crazy.cat, grazie al quale scopriremo quale software antivirus si è comportato meglio nell'affrontare un PC fortemente compromesso dall'azione di più agenti patogeni attivi contemporaneamente.
I Test
Dopo aver messo a confronto i programmi antispyware, questa volta tocca ai programmi antivirus.
Update: Visto che dopo l'uscita di questo articolo ci sono stati degli sviluppi che mi hanno sorpreso e che non mi aspettavo, ci tengo a ribadire che tutto quello che segue sono una serie di idee, opinoni e impressioni assolutamente personali.
Non ho, volutamente, consultato nessun test fatto da professionisti del mestiere per non farmi influenzare e per realizzare una cosa come piaceva a me.
Siete liberi di accettare, criticare, rifiutare quello che ho scritto.
La prova si è svolta in questo modo: su un vecchio portatile pentium 2 processore 266 MHz con 96 MB di RAM e installato Windows 2000 con service pack 4, ho copiato tutta un serie di virus, scaricati in precedenza da Internet, molti sono stati lasciati in archivi compressi, altri sono stati attivati in memoria, come delle varianti dei virus Netsky, Sober, Bugbear e qualche altro trojano preso a caso.
Al termine dell'infezione, come rileveranno alcuni antivirus, i file contenenti un virus saranno più di un migliaio, ho salvato l'immagine del disco pieno di virus in modo da poterla riutilizzare dopo ogni pulizia da parte di un programma.
L'uso di un PC così limitato e il fatto di non poterlo collegare ad Internet ha influito sulla prova di alcuni programmi, Panda antivirus non ne ha voluto sapere di avviarsi neanche in modalità provvisoria, tuttavia penso che i risultati ottenuti siano lo stesso interessanti.
Premetto che alcuni di questi programmi non li conoscevo e quindi può essermi sfuggita qualche impostazione particolare, magari non troppo visibile, e quindi se alla fine il mio giudizio dovesse essere negativo sul vostro antivirus preferito e che usate da tanto tempo, questo non vuol dire che dovete cambiarlo per forza, però leggete i risultati e.... pensateci.
Veniamo alla prova vera e propria.
Ho scaricato tutti i demo dei programmi antivirus e alcuni antitrojan che ho potuto trovare, più alcune tool come Stinger e Sysclean, per vedere il loro comportamento in fase di pulizia di un PC gravemente "ammalato".
Tutti i programmi erano impostati per tentare prima di pulire il file infetto, e poi lo dovevano eliminare o spostare in quarantena.
Ho voluto dare, a quasi tutti i programmi, una sola possibilità di scansione, con Windows avviato in modalità normale e tutti i virus attivi.
Diventa troppo facile rimuovere un virus quando non è residente in memoria.
avast
-- Home page
Devo dire che è stata la piacevole sorpresa di questa prova, rileva subito la presenza di alcuni virus pericolosi e permette di scegliere varie azioni (Sposta/Rinomina, Cancella, Ripara, Sposta nel Cestino) per risolvere il problema.
Quando ha rilevato la presenza del Netsky ha aggiunto anche l'opzione Rimuovi completamente dal sistema che avvia il tool avast Cleaner, che ripulisce da solo una grande quantità di file infetti.
La scansione è piuttosto veloce, è rimasto qualche virus dentro degli archivi
Ma si tratta di alcuni vecchi virus dos che una volta estratti vengono eliminati senza problemi.
Il numero totale dei virus rilevati è stato molto alto e alla fine il sistema era pulito, avast, un ottimo prodotto gratis e in italiano.
McAfee enterprise 8
-- Home page
Gli sfuggono alcuni virus in file compressi, ma questo problema è comune a molti altri antivirus, ma per il resto pulisce tutto, alcuni virus "minori" non erano nel suo database e quindi non li rileva.
Li chiamo minori perché vengono rilevati solo da pochi programmi antivirus.
Riconosce ed elimina subito alcune componenti pericolose.
Elimina subito gli archivi con file infetti e non controlla quindi quelli che contengono più virus, questo spiega il basso numero di rilevazioni totali.
Il computer era pulito alla fine della scansione.
Kaspersky
-- Home page
Non è stato possibile aggiornarlo, ma subito all'avvio riconosce molte più componenti pericolose degli altri programmi antivirus.
Verranno tutte rimosse al prossimo riavvio del computer.
Per prima parte la scansione e rileva un gran numero di virus presenti, ben 1022
Poi parte la rimozione, ripulisce benissimo anche negli archivi zip, alcuni file vengono rinviati al prossimo boot del computer, ma ha ripulito tutto alla fine della prova.
Anche i file di sistema o programmi, come Notepad, Iexplore, WinZip, Media player e Regedit che erano stati infettati, vengono ripuliti senza problemi.
Non avevo mai avuto occasione di provarlo, però devo dire che è risultato il migliore programma di quelli provati.
F-secure
-- Home page
Vuole il database aggiornatissimo altrimenti non avvia neanche la scansione, elimina al volo alcuni virus pericolosi
Alto numero di file rilevati
L'impressione è buona, ma il PC troppo piccolo rallenta molto la scansione e nella fase di pulizia si è bloccato più volte in punti sempre diversi, aveva rimosso comunque i componenti pericolosi che aveva trovato.
Ewido security suite
-- Home page
Il programma è distribuito in versione di prova per 14 giorni, si può aggiornare ed elimina i problemi che trova.
È un antitrojan, però ha rilevato ed eliminato molte cose tra cui il Netsky.
In caso di bisogno si può scaricare, aggiornare subito ed utilizzare per un controllo e pulizia.
Stinger
-- Home page
Stinger essendo progettato per la scansione e rimozione solo di alcuni virus, al momento sono 54, fra i più recenti e pericolosi, si comporta bene e riesce a ripulire senza problemi anche i file di sistema infetti.
Trend Micro sysclean
È una tool gratutita, fornita Trend Micro, svolge bene il suo lavoro, alto numero di virus rilevati ed eliminati, non è riuscito a rimuovere il Sober.
Norman antivirus
-- Home page
Non è stato possibile aggiornarlo, trova un alto numero di virus, però mette in quarantena alcuni file di sistema, non ho trovato molte opzioni da settare, non sembra male in ogni caso.
Buona pulizia anche nei file compressi, ma gli sono sfuggite alcune componenti del virus Sober che è ancora attivo in memoria.
Al termine della scansione, parte la rimozione
AVG Free & AVG Pro
-- Home page
Ho voluto ripetere la prova anche con il trial della versione Pro, ed i risultati sono stati simili, ma è l'antivirus che ho capito di meno.
Alla prima scansione era sfuggito il virus Sober che è stato rimosso nella seconda, ha cancellato il WinZip non riuscendolo a riparare e alcuni file zip non sono stati puliti.
In generale si è anche comportato bene, ma non mi è sembrato molto chiaro e semplice da usare, oltre ad aver fatto la scansione due volte per finire la pulizia.
Al riavvio del PC mette in quarantena 345 virus, non convinto del suo comportamento ho voluto ripetere una seconda scansione ed ha trovato una buona quantità di virus, circa altri 300, tra cui alcune componenti del Sober che non erano state eliminate, e in questa seconda scansione è riuscito a completare la pulizia.
Antivirxp
-- Home page
Rileva ed elimina subito alcuni virus pericolosi attivi in memoria
Però il database dei virus non era aggiornatissimo ed ho provato per molti giorni a scaricarlo ma non si riusciva a collegarsi ed è questo uno dei grossi limiti di questo antivirus, la mancanza di un aggiornamento sicuro e costante.
Non riesce a pulire o cancellare gli archivi infetti.
E il numero di rilevazioni non è altissimo, e rimangono attivi alcune voci pericolose, mi ha deluso.
Sophos
-- Home page
Mi impedisce di aggiornarlo perché blocca l'accesso a WinZip e continua a segnalare la presenza di file infetti, bastava usare la tastiera e partiva la segnalazione del virus, se mi muovevo con il mouse non succedeva niente.
Alla fine non rileva molte cose e non riesce a rimuovere molte componenti del Netsky e al riavvio del PC è nuovamente tutto infettato.
F-prot
-- Home page
Si chiude subito dopo l'avvio con un messaggio che non si legge, e se imposto la scansione che parta in automatico ad un certo orario del giorno, questa non parte e viene cancellata dalle operazioni pianificate di scansione.
Risente senza dubbio della presenza di qualche virus attivo in memoria che ne blocca tutte le operazioni.
Si avvia in modalità provvisoria ma non trova moltissime cose e ne ripulisce ancora meno.
Nod
-- Home page
Promette bene e rileva ed elimina subito alcuni virus pericolosi
Comincia subito a deludere riconoscendo come nuovi virus molte vecchie componenti dos contenute in archivi compressi e chiede di inviarle alla casa madre Eset per poterle analizzare
Esegue prima un controllo molto rapido come tempo impiegato però il numero di rilevazioni non è altissimo
Parte poi la pulizia dei file.
Non lascia molte possibilità di scelta quando trova un archivio infetto costringendo l'utente alla rimozione manuale o a copiarlo nella cartella di Quarantena.
Non riesce a rimuovere alcune componenti pericolose
E molti vecchi virus vengono visti come probabilmente sconosciuti.
È rimasto qualche virus attivo in memoria e alcuni file non sono stati cancellati.
Norton 2004
-- Home page
Cosa rimane ancora da dire su Norton antivirus? installato sempre più, di forza, nei computer nuovi, molti utenti non esperti lo mantengono solo perché non si rendono conto della sua lentezza e inefficacia e che esistono dei programmi migliori anche gratutiti.
Alto numero di rilevazioni perché controlla dentro tutti i file compressi e solo al termine di tutti i controlli comincia la pulizia del computer.
È il più lento in fase di scansione, ben un ora e 3 minuti, non riesce a rimuovere Netsky e altri 10 virus, ma ha riconosciuto un virus joke.
Al riavvio del computer è di nuovo completamente infetto dal Netsky.
BitDefender Pro
-- Home page
Blocca l'accesso a molti file di sistema e li elimina senza avvisarti
è veloce nella scansione, rileva parecchie cose ma non riesce poi a rimuoverle
Non ha un controllo efficace negli archivi, i virus vengono bloccati quando tenti di aprire l'archivio ma non riesce ad eliminarli.
The cleaner
-- Home page
È un programma antitrojan, ma si chiude subito dopo pochi secondi, forse abbattuto da uno dei virus attivi in memoria, funziona solo in modalità provvisoria ma rileva solo alcune componenti dei principali virus sober, netsky, e bugbear.
È uno dei primi programmi commerciali antitrojan usciti sul mercato e sembra risentire dell'età.
Nettamente bocciato.
Swatit
-- Home page
Swatit, non si può aggiornare, ma non riesce a trovare praticamente niente e solo dei virus molto vecchi.
VirIt lite
-- Home page
VirIt lite non aggiornato, veloce nella scansione ma nonostante sia configurato per controllare tutti i file non lo fa, trova pochi virus e ne rimuove anche meno solo 339.
Non giudicabili
PC cillian 2003 aggiornato, solo scan niente rimozione, basso numero di file rilevati solo 595, non giudicabile.
E-Scan non si avvia per un errore, BitDefender free non si può aggiornare il database è troppo vecchio, F-prot free non riesce a rimuovere quasi niente dal dos, A2 squared vuole il collegamento ad Internet per registrarsi,
Conclusioni
Un antivirus attivo e sempre aggiornato è indispensabile per navigare abbastanza tranquillamente in rete.
Non serve assolutamente averne due installati, consumano memoria, rallentano il computer e spesso vanno in contrasto fra di loro rendendoli inutili.
Se l'antivirus che utilizzate vi rende il computer troppo lento, non disattivatelo mentre navigate, piuttosto cambiate programma.
L'antivirus perfetto, in grado di bloccare ed eliminare tutto forse non esiste, anche se devo dire che Kaspersky mi ha molto colpito come capacità di pulizia, una buona combinazione di antivirus e firewall, sempre aggiornati e attivi vi possono garantire un buon livello di sicurezza.
La mia è stata una prova su un computer gravemente infettato, l'antivirus che non è riuscito a pulire un virus, era magari, con il controllo in tempo reale, in grado di bloccarlo e impedire l'infezione del computer.
Era interessante anche conoscere la pesantezza di ogni antivirus e la sua efficacia nel controllo in tempo reale, ma la potenza molto limitata del PC che avevo a disposizione per le prove mi impediva una valutazione del genere.
È stata una gara di pulizia per imparare a conoscere alcuni prodotti, insomma prendete i risultati della prova per quello che sono.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati