Virus = Malware? Come chiamare ogni insetto "zanzara"!

(di Bruno Riccio)
24/01/25

Nel mondo della sicurezza informatica, i termini “virus” e “malware” sono spesso usati in modo intercambiabile, ma questa confusione è diffusa soprattutto tra i neofiti e chi non ha familiarità con la terminologia tecnica. Sebbene entrambi rappresentino minacce per i sistemi informatici, è importante comprendere le differenze tra questi due concetti.

Un virus è un tipo di malware, ma non tutti i malware sono virus. L'errore più comune è quello di definire ogni tipo di minaccia informatica come un virus, quando in realtà esistono numerosi altri tipi di software dannosi che, appunto, rientrano nella categoria più ampia di malware.

Questa confusione è comprensibile per un utente non esperto che non sente la necessità di distinguere tra le singole varianti. Tuttavia, avere una chiara comprensione della differenza tra virus e malware è vitale per chiunque lavori, anche sporadicamente, nel settore.

MALWARE

Si definisce “malware” un qualsiasi programma creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malevolo".

Oggigiorno Il termine malware è diventato un termine generico utilizzato per descrivere l’intera famiglia di software ostili o intrusivi; anche se spesso presenti sotto forma di sottocategorie, sono suddivisi in sette tipologie principali: Virus, Worms, Trojan virus, Spyware, Adware, Fileless malware e Ransomware1. Il malware può essere ovvio e semplice da identificare, in quanto i suoi danni sono facilmente constatabili, oppure può essere molto nascosto e quasi impossibile da rilevare, almeno nel breve termine.

VIRUS

Un "virus" è un codice eseguibile dannoso allegato ad un altro file legittimo, ad esempio un file Word; esso può attivarsi immediatamente, ad un'ora o una data specifica.

I virus informatici di solito si diffondono in tre modi: da supporti rimovibili, da download e dagli allegati di posta elettronica. I virus possono essere innocui e “scherzosi”, oppure possono essere distruttivi, come quelli che modificano o eliminano dati. Un settore di avvio, o virus del file system, infetta le unità flash USB e può diffondersi sul disco rigido del sistema. Una volta che il virus del programma è attivo, in genere infetta altri programmi sul computer dell’user o altri computer sulla rete.

Brain”, il primo vero virus per PC (MS-DOC), ha iniziato a infettare i floppy disk da 5,25 pollici nel 1986. È stato il lavoro di due fratelli, Basit e Amjad Farooq Alvi2, che gestivano un negozio di computer in Pakistan. Stanchi dei clienti che facevano copie illegali dei loro software, hanno deciso di dar loro una lezione e sviluppare Brain, che ha sostituito il settore di avvio del floppy disk dei loro programmi con un virus. Il virus, che è stato anche il primo virus stealth, conteneva un messaggio di copyright nascosto, ma in realtà non danneggiava alcun dato. Il virus si presentava con una immagine contenente l’indirizzo dei fratelli, tre numeri di telefono e un messaggio che diceva all'utente che la loro macchina era infetta e che era necessario chiamarli per risolvere il problema (nell'immagine di apertura la schermata di avvio contenente il virus “Brain”)

Il modo più semplice per differenziare i virus informatici da altre forme di malware è pensare ai virus in termini biologici; il virus dell'influenza, per esempio. L'influenza, per essere contratta, richiede una sorta di interazione tra due persone, come una stretta di mano, un bacio o il toccare qualcosa che una persona infetta ha toccato. Una volta che il virus dell'influenza entra nel sistema di una persona, si attacca alle cellule umane sane, utilizzando quelle cellule per creare più cellule virali.

Un virus informatico funziona più o meno allo stesso modo:

  • Un virus informatico richiede un programma host;
  • Un virus informatico richiede l'azione dell'utente per la trasmissione da un sistema all'altro;
  • Un virus informatico allega bit del proprio codice dannoso ad altri file o sostituisce i file direttamente con copie di sé stesso.

È quella seconda caratteristica del virus che tende a confondere le persone. I virus non possono diffondersi senza una sorta di azione da parte di un utente, come l'apertura di un documento Word infetto. I worm, d'altra parte, sono in grado di diffondersi da soli attraverso sistemi e reti, rendendoli molto più diffusi e pericolosi.

WORMS

Un worm è una forma di malware che si replica e può diffondersi su diversi computer tramite la rete. Mentre un virus richiede l'esecuzione di un programma host, i worm si “autoeseguono”; essi condividono schemi simili. L'obiettivo principale dei worm è di consumare le risorse di sistema, come memoria e larghezza di banda e rallentare la velocità del sistema fino a far sì che esso smetta di rispondere. Molti di loro sono stati isolati e ora vengono regolarmente rilevati e rimossi dalla maggior parte dei migliori software antivirus. Tuttavia, i nuovi worm vengono sviluppati quasi ogni giorno e a volte possono passare inosservati dall'utente fino a quando non è troppo tardi.

Non esiste una classificazione universale dei worm informatici, ma possono essere organizzati in tre tipologie in base al vettore di attacco.

I tipi comuni sono i seguenti:

1. Worm Internet

Come fanno con le reti di computer, i worm prendono di mira anche siti Web popolari con una sicurezza insufficiente. Quando riescono a infettare il sito, i worm Internet possono replicarsi su qualsiasi computer utilizzato per accedere al sito Web in questione. Da lì, i worm Internet vengono distribuiti ad altri computer collegati tramite Internet e connessioni di rete locale.

2. E-Worm o Worm di posta elettronica

I worm e-mail vengono spesso distribuiti tramite allegati e-mail compromessi. Di solito hanno doppie estensioni (ad esempio .mp4.exe o .avi.exe) in modo che il destinatario possa pensare che si tratti di file multimediali e non di programmi informatici dannosi. Quando le vittime fanno clic sull'allegato, copie dello stesso file infetto verranno automaticamente inviate agli indirizzi del loro elenco di contatti.

Un messaggio di posta elettronica potrebbe non contenere un allegato scaricabile per distribuire un worm. Invece, il corpo del messaggio potrebbe contenere un collegamento abbreviato in modo che il destinatario non possa dire di cosa si tratta senza fare clic su di esso. Quando si fa clic sul collegamento, il malcapitato verrà indirizzato su un sito Web infetto che inizierà automaticamente a scaricare software dannoso sul computer dell’host.

3. Worm di messaggistica istantanea

I worm di messaggistica istantanea sono analoghi ai worm di posta elettronica, l'unica differenza è il loro metodo di distribuzione. Ancora una volta, sono mascherati come allegati o collegamenti cliccabili a siti Web. Sono spesso accompagnati da brevi messaggi accattivanti come “Non puoi perderti quest’offerta” oppure "Devi vedere questo!" per indurre la vittima a pensare che vi possa essere una fonte di “guadagno” immediato nel cliccare su tale offerta.

Quando l'utente fa clic sul collegamento o sull'allegato, che si tratti di WhatsApp, Skype, Instagram o qualsiasi altra app di messaggistica popolare, lo stesso identico messaggio verrà quindi inviato ai suoi contatti. A meno che il worm non si sia replicato sul proprio computer, gli utenti possono risolvere questo problema modificando la propria password.

Il worm “Morris” (nella foto Floppy disk contenente il codice sorgente del “Morris Worm, custodito presso il Computer History Museum di Montain View, California) è stato creato da uno studente di 23 anni nella Cornell University di Ithaca; il suo nome è Robert Morris. Aveva trascorso la sua prima infanzia lavorando con i computer e progettando codice e mentre era a scuola era conosciuto come un “nerd”. Morris lavorava in un ambiente molto diverso da quello che usiamo oggi. Nel 1998 c'erano meno di 100 mila macchine connesse e la maggior parte delle organizzazioni online sembravano fidarsi l'una dell'altra; c'erano poche password e tutti volevano andare d'accordo; in sostanza vi era poca malizia.

I problemi di sicurezza sono evidenti ed ovvi in un sistema come questo e Morris intendeva dar luce a ciò. Voleva solo che il suo worm rivelasse la rapidità con cui un attacco poteva diffondersi, ma ha commesso un errore di codifica devastante.

Il worm Morris era strutturato nel seguente modo; esso chiedeva ad ogni computer che incontrava se disponeva già di una copia del codice, dando due opzioni.

  • "No". Se il computer non è infetto, il codice viene eseguito.
  • "Sì". Se il computer è infetto, il worm non viene copiato.

Questo algoritmo sembra innocente, ma Morris non voleva che i pochi programmatori smart che lavoravano intorno a lui, notando il modus operandi semplice del worm, facessero sì che ogni computer rispondesse “si” per evitare l’infezione del computer successivo.

Quindi, Morris modificò il codice in modo che, dopo sette risposte "Sì", il codice si duplicasse lo stesso. Molti avevano diverse versioni del codice in esecuzione contemporaneamente e le prestazioni dei calcolatori si sono rallentate fino a raggiungere un blocco irreversibile; alcuni sistemi si sono bloccati del tutto.

Il worm non ha danneggiato o distrutto i file, ma ha comunque causato non pochi problemi. Le funzioni di rete, sia militari che universitarie sono state rallentate. L’invio di e-mail è stato ritardato di giorni. La comunità informatica ha lavorato per capire come funzionasse il worm e come rimuoverlo. Alcune istituzioni hanno cancellato i loro sistemi; altri hanno disconnesso i loro computer dalla rete per più di una settimana. I danni esatti erano difficili da quantificare, ma le stime partivano da cento mila dollari e sono salite fino a milioni.

La protesta è stata rapida e pesante e Morris è stata la prima persona condannata ai sensi del “Computer Fraud and Abuse Act”, un disegno di legge statunitense sulla sicurezza informatica emanato nel 1986 come emendamento alla legge sulla frode informatica esistente, Il “Comprehensive Crime Control Act del 1984”. È stato condannato a tre anni di libertà vigilata, 400 ore di servizio alla comunità, una multa di 10.050 dollari, oltre alle spese per la sua supervisione.3

L'episodio ha avuto un enorme impatto su una nazione che ha appena fatto i conti con quanto siano diventati importanti e vulnerabili i computer. A partire da quel momento, l'idea della sicurezza informatica è diventata qualcosa che i possessori di personal computer hanno iniziato a prendere più sul serio. Pochi giorni dopo l'attacco, ad esempio, la prima squadra di pronto intervento informatico del paese è stata creata a Pittsburgh sotto la direzione del Dipartimento della Difesa. Gli sviluppatori hanno anche iniziato a creare software di rilevamento delle intrusioni per computer, quelli che saranno comunemente definiti antivirus.

Allo stesso tempo, il Morris Worm ha ispirato una nuova generazione di hacker e un'ondata di attacchi guidati da Internet che continuano ad affliggere i nostri sistemi digitali fino ad oggi. Che sia accidentale o meno, il primo attacco Internet è stato un campanello d'allarme per il Paese e l'era informatica a venire.

TROJAN

La definizione di un virus “trojan” non spiega in modo specifico cosa fa, ma solo come si diffonde. I cavalli di Troia impersonano sempre un qualche tipo di software legittimo. Esso differisce da un virus, in quanto si lega a file non eseguibili, come file di immagine, file audio o giochi. Ad esempio, molti tipi di cavalli di Troia sembrano essere aggiornamenti per software comuni, come Adobe Flash. Sono comunemente classificati in base ai software che “impersonano”. Ecco alcuni dei tipi più comuni di virus trojan:

  • Fake antivirus. Questa varietà è particolarmente insidiosa, poiché il trojan finge di essere un antivirus, il quale è spesso considerato come l’apoteosi della sicurezza per un utente generico medio.
  • Downloader Trojan. Questi tipi di malware non fanno nulla di intrinsecamente dannoso da soli. Invece, sono usati come tunnel per scaricare un altro malware.
  • Trojan backdoor. Le backdoor, metodi per aggirare i normali sistemi di autenticazione, danno ad hacker esterni il controllo sul computer di un utente.
  • Banking trojans. Software che assumono la forma di keylogger, ovvero una tipologia di programma stealth che permette di registrare i log della tastiera di un computer, cioè intercettare qualsiasi cosa che venga digitata su di essa senza che l’utente se ne accorga; tutto ciò al fine di rubare informazioni come numero di carta di debito, account e-mail e social network.

Rakhni Trojan”, in circolazione dal 2013, è uno dei trojan più temuti dagli utenti Windows. Un recente aggiornamento gli ha garantito la funzione di cryptojacker (consentendo ai criminali di utilizzare il dispositivo vittima per estrarre criptovaluta) ai computer infetti. "La crescita del mining di monete negli ultimi mesi del 2017 è stata immensa", osserva l'Internet Security Threat Report del 2018. "L'attività complessiva di estrazione di monete è aumentata del 34.000% nel corso dell'anno 2017-2018".4

Confondere virus e malware è proprio come chiamare ogni insetto zanzara: un errore comune che rischia di farci sottovalutare la varietà e complessità delle minacce informatiche.

Conoscere le differenze è un primo passo importante, ma non fine a se stesso: ancora più cruciale è comprendere come funzionano queste minacce per poterle prevenire. La prevenzione, infatti, è la chiave per evitare di cadere vittime di attacchi che spesso puntano proprio sull'ignoranza o sulla superficialità degli utenti.

Oltre alla distinzione tra virus e malware, esistono tante altre sfumature nel panorama delle minacce digitali che meritano attenzione. Ogni tipologia – dai worm ai trojan, passando per spyware e ransomware – ha peculiarità specifiche e richiede approcci di difesa mirati. Non soffermarsi su queste differenze significa non curarsi della PROPRIA sicurezza.

1What is Malware? Tratto da https://www.cisco.com

2Brain, the first computer virus. Tratto da https://www.thevintagenews.com/

3 Sentenza della United States Court of Appeals for the Second Circuit, “United States v. Robert Tappan Morris”, tratto da https://www.justice.gov/osg/brief/united-states-v-philip-morris-petition