KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente Eset? Diventa Partner CoreTech e visita il nostro configuratore prezzi

ESET - File Security - Tipi di infiltrazione informatica

Tipologie di infiltrazione informatica 

Un’infiltrazione è una parte o il complesso di software dannoso che tenta di entrare nel computer e/o di danneggiarne i dati, ovvero di alterarli con scopi differenti. L’infiltrazione è anche l’oggetto dell’opera di un programma antivirus e anti-intrusione (ad esempio un HIPS).

In questo tutorial descriviamo i vari tipi di infiltrazione in cui si può incorrere a livello IT, in computer desktop, server, reti e in generale in device informatici; per prima cosa ne facciamo un elenco:

  • Virus;Worm;
  • Trojan horse;
  • Rootkit;
  • Adware;
  • Spyware;
  • Botnet;
  • Ransomware;
  • Programmi di compressione;
  • Exploit Blocker;
  • Scanner memoria avanzato;
  • Applicazioni potenzialmente pericolose;
  • Applicazioni potenzialmente indesiderate.

Virus

Si tratta dell’infiltrazione più datata e classica: un virus informatico è un'infiltrazione che danneggia i file esistenti sul computer. I virus informatici prendono il nome dai virus biologici, poiché utilizzano tecniche simili per diffondersi da un computer all'altro, ossia per “contagiare” i dispositivi dove approdano.

I virus attaccano principalmente i file eseguibili e i documenti. Per replicarsi, un virus allega se stesso all'interno di un file di destinazione. In breve, un virus funziona nel seguente modo: dopo l'esecuzione del file infetto, il virus si attiva (prima dell'applicazione originale) ed esegue la sua attività predefinita. L'applicazione originale viene eseguita solo dopo questa operazione. Un virus non può infettare un computer a meno che un utente (accidentalmente o deliberatamente) esegua o apra il programma dannoso.

I virus possono essere classificati in base agli scopi e ai diversi livelli di gravità: alcuni di essi sono estremamente dannosi poiché sono in grado di eliminare deliberatamente i file da un disco rigido o altra unità di storage; altri, invece, non causano veri e propri danni, poiché il loro scopo consiste esclusivamente nell'infastidire l'utente e dimostrare le competenze tecniche dei rispettivi autori.

È importante rammentare che i virus (se paragonati a trojan o spyware) sono sempre più rari, perché non sono remunerativi per gli autori di software dannosi. Inoltre, il termine virus è spesso utilizzato in modo improprio per indicare tutti i tipi di infiltrazione IT, giacché si considera un virus qualsiasi strumento software che possa “infettare” a vario titolo un computer o un’intera infrastruttura IT.

Attualmente, l'utilizzo del termine virus è stato superato e sostituito dalla nuova e più accurata definizione di malware, con il quale si designa un qualsiasi software dannoso (malevolo).

Se il computer in uso è infettato da un virus, è necessario ripristinare lo stato originale dei file infetti, ovvero pulirli utilizzando un programma antivirus.

Tra i virus più noti ricordiamo OneHalf, Tenga e Yankee Doodle.

Worm

Un worm è un programma contenente codice dannoso che attacca i computer host e che si diffonde tramite una rete informatica. La differenza fondamentale tra un virus e un worm è che i worm hanno la capacità di replicarsi e di viaggiare autonomamente, in quanto non dipendono da file host (o settori di avvio). I worm si diffondono attraverso indirizzi e-mail all'interno della lista dei contatti degli utenti oppure sfruttano le vulnerabilità delle applicazioni di rete per raggiungere gli indirizzi che trovano.

I worm sono pertanto molto più attivi e “contagiosi” rispetto ai virus: grazie all'ampia disponibilità di connessioni Internet, possono espandersi in tutto il mondo entro poche ore o persino pochi minuti dal rilascio. Questa capacità di replicarsi in modo indipendente e rapido li rende molto più pericolosi rispetto ad altri tipi di malware.

Un worm attivato in un sistema può provocare diversi inconvenienti: può eliminare file, ridurre le prestazioni del sistema e perfino disattivare programmi. La sua natura lo qualifica come "mezzo di trasporto" per altri tipi di infiltrazioni.

Se il computer è infettato da un worm, si consiglia di eliminare i file infetti poiché è probabile che contengano codice dannoso.

Tra i worm più noti si segnalano Lovsan/Blaster, Stration/Warezov, Bagle e Netsky.

Trojan horse

Dalla loro origine, i Trojan horse sono stati definiti come una classe di infiltrazioni che tentano di presentarsi come programmi utili per ingannare gli utenti e indurli a eseguirli, tuttavia, è importante notare che ciò era vero in passato, ma oggi tali programmi non hanno più la necessità di camuffarsi. Il loro unico scopo è quello di infiltrarsi il più facilmente possibile e portare a termine i loro obiettivi dannosi e non a caso vengono definiti Trojan horse, perché come il mitologico cavallo di troia venne fatto entrare amichevolmente nelle mura della città di Troia, di notte lasciò uscire i soldati nemici che vi si erano nascosti, questo tipo di infiltrazione esegue un’azione malevola nascosta. Oggi il termine Trojan horse ha assunto un'accezione molto generale che indica un'infiltrazione che non rientra in una classe specifica di infiltrazioni.

Poiché si tratta di una categoria molto ampia, spesso per meglio identificarne l’azione viene suddivisa in sottocategorie, che sono:

  • Downloader = programma dannoso in grado di scaricare altre infiltrazioni da Internet;
  • Dropper = tipo di trojan horse concepito per installare sui computer compromessi altri tipi di malware;
  • Backdoor = applicazione che comunica con gli autori degli attacchi remoti, consentendo loro di ottenere l'accesso a un sistema e assumerne il controllo attraverso, appunto, una backdoor, ossia un accesso non visibile (la classica porta sul retro) e non vigilato;
  • Keylogger, anche detto “registratore delle battute dei tasti”, è un programma che registra ogni battuta di tasto effettuata da un utente e che invia le informazioni agli autori degli attacchi remoti;
  • Dialer = programma progettato per connettersi a numeri con tariffe telefoniche molto elevate; è quasi impossibile che un utente noti la creazione di una nuova connessione, pertanto i dialer possono causare danni solo agli utenti che dispongono di una connessione remota, utilizzata oramai sempre più di rado.

Solitamente, i trojan horse assumono la forma di file eseguibili con estensione .exe. Se sul computer in uso viene rilevato un file classificato come trojan horse, si consiglia di eliminarlo, poiché probabilmente contiene codice dannoso.

Tra i trojan più noti si evidenziano NetBus, Trojandownloader. Small.ZL, Slapper.

Rootkit

I rootkit sono programmi nalevoli che forniscono agli autori degli attacchi su Internet l'accesso illimitato a un sistema, nascondendo tuttavia la loro presenza. I rootkit, dopo aver effettuato l'accesso a un sistema (di norma, sfruttando una vulnerabilità del sistema), utilizzano le funzioni del sistema operativo per non essere rilevati dal software antivirus: nascondono i processi, i file, i dati del registro di Windows, ecc. Per tale motivo, è quasi impossibile rilevarli utilizzando le tradizionali tecniche di testing.

Per bloccare i rootkit, sono disponibili due livelli di rilevamento:

  1. quando tentano di accedere a un sistema; in questo caso non sono ancora presenti e pertanto sono inattivi; la maggior parte dei sistemi antivirus è in grado di eliminare i rootkit a questo livello (presupponendo che riescano effettivamente a rilevare tali file come infetti);
  2. quando sono nascosti dal normale testing; gli utenti di ESET File Security hanno il vantaggio di poter utilizzare la tecnologia Anti-Stealth che è in grado di rilevare ed eliminare anche i rootkit attivi.

Adware

Adware è l'abbreviazione di software con supporto della pubblicità ("advertising-supported software"); rientrano in questa categoria i programmi che consentono di visualizzare materiale pubblicitario. Le applicazioni adware spesso aprono automaticamente una nuova finestra popup contenente pubblicità all'interno di un browser Internet oppure ne modificano la pagina iniziale. I programmi adware vengono spesso caricati insieme a programmi freeware, che consentono ai loro sviluppatori di coprire i costi di sviluppo delle applicazioni che, in genere, si rivelano molto utili.

L'adware non è di per sé pericoloso, anche se gli utenti possono essere infastiditi dai messaggi pubblicitari. Il pericolo sta nel fatto che l'adware può svolgere anche funzioni di rilevamento, al pari dei programmi spyware.

Se decidete di utilizzare un prodotto freeware, è opportuno prestare particolare attenzione al programma di installazione, perché nei programmi di installazione viene in genere visualizzata una notifica che l'installazione implica l’installazione nel sistema di un programma adware aggiuntivo; spesso è possibile annullarla e installare il programma senza adware.

Alcuni programmi non verranno installati senza l'installazione dell'adware. In caso contrario, le loro funzionalità saranno limitate. Ciò significa che l'adware potrebbe accedere di frequente al sistema in modo "legale", poiché l'utente ne ha dato il consenso. In tal caso, prevenire è sempre meglio che curare. Se in un computer viene rilevato un file adware, è consigliabile eliminarlo, in quanto è molto probabile che contenga codice dannoso.

Spyware

Questa categoria include tutte le applicazioni che inviano informazioni riservate senza il consenso o la consapevolezza dell'utente. Gli spyware si avvalgono di funzioni di monitoraggio per inviare dati statistici di vario tipo, tra cui un elenco dei siti Web visitati, indirizzi e-mail della rubrica dell'utente o un elenco dei tasti digitati.

Gli autori di spyware affermano che lo scopo di tali tecniche è raccogliere informazioni aggiuntive sulle esigenze e sugli interessi degli utenti per l'invio di pubblicità più mirate. Il problema è legato al fatto che non esiste una distinzione chiara tra applicazioni utili e dannose e che nessuno può essere sicuro del fatto che le informazioni raccolte verranno utilizzate correttamente. I dati ottenuti dalle applicazioni spyware possono contenere codici di sicurezza, PIN, numeri di conti bancari e così via. I programmi spyware sono frequentemente accoppiati a versioni gratuite di un programma creato dal relativo autore per generare profitti o per offrire un incentivo all'acquisto del software. Spesso, gli utenti sono informati della presenza di un'applicazione spyware durante l'installazione di un programma che li esorta a eseguire l'aggiornamento a una versione a pagamento che non lo contiene.

Esempi di prodotti freeware noti associati a programmi spyware sono le applicazioni client delle reti P2P (peer-to-peer). Spyfalcon o Spy Sheriff (e molti altri ancora) appartengono a una sottocategoria di spyware specifica, poiché si fanno passare per programmi antispyware ma in realtà sono essi stessi applicazioni spyware.

Banner

Se in un computer viene rilevato un file spyware, è consigliabile eliminarlo perché è molto probabile che contenga codice dannoso.

Botnet

Un bot o robot Web è un programma malware automatizzato che ricerca blocchi di indirizzi di rete e infetta computer vulnerabili. Questo tipo di programma consente agli hacker di assumere il controllo di più di un computer contemporaneamente e di trasformarli in bot (noti anche come zombie). Solitamente, gli hacker utilizzano i bot per infettare un gran numero di computer che prendono il nome di botnet. Se il computer in uso è infetto ed entra a far parte di una botnet, può essere utilizzato negli attacchi DDoS (Distributed Denial of Service), oltre che per eseguire attività automatizzate su Internet all'insaputa dell'utente (ad esempio, per l'invio di messaggi di spam o virus o per impossessarsi di informazioni personali e private come dati bancari o numeri di carte di credito).

Ransomware

Tipo particolare di software dannoso utilizzato a scopi di estorsione. In caso di attivazione, il ransomware impedisce l'accesso a un dispositivo o ai dati presenti su di esso fino al pagamento di una somma di denaro da parte della vittima.

Banner

Programmi di compressione 

Un programma di compressione è un eseguibile compresso autoestraente che combina vari tipi di malware in un unico pacchetto.

I programmi di compressione più comuni sono UPX, PE_Compact, PKLite e ASPack. Se compresso, lo stesso malware può essere rilevato in modo diverso, mediante l'utilizzo di un programma di compressione diverso. I programmi di compressione sono anche in grado di mutare le proprie "firme" nel tempo, rendendo più complessi il rilevamento e la rimozione dei malware.

Exploit Blocker

L'Exploit Blocker è progettato per rafforzare le applicazioni comunemente utilizzate, come browser web, lettori PDF, client di posta o componenti di MS Office. Il sistema monitora il comportamento dei processi ai fini del rilevamento di attività sospette che potrebbero indicare la presenza di un exploit e aggiunge un altro livello di protezione, in grado di rilevare gli autori degli attacchi informatici con un maggior livello di precisione, utilizzando una tecnologia completamente differente rispetto alle comuni tecniche di rilevamento di file dannosi.

Nel momento in cui l'Exploit Blocker identifica un processo sospetto, lo interrompe immediatamente e registra i dati relativi alla minaccia, che vengono quindi inviati al sistema cloud di ESET LiveGrid. Le informazioni vengono elaborate dal laboratorio delle minacce ESET e utilizzate ai fini di una maggiore protezione degli utenti contro minacce sconosciute e attacchi zero-day (malware di nuova concezione per i quali non sono disponibili soluzioni preconfigurate).

Scanner memoria avanzato

Lo Scanner memoria avanzato lavora congiuntamente all'Exploit Blocker per garantire una maggiore protezione contro malware concepiti allo scopo di eludere il rilevamento dei prodotti antimalware mediante l'utilizzo di pratiche di offuscamento e/o crittografia. Qualora i metodi di emulazione o di euristica ordinari non siano in grado di rilevare una minaccia, lo Scanner memoria avanzato identifica il comportamento sospetto ed effettua un controllo delle minacce presenti nella memoria del sistema. Questa soluzione si rivela efficace persino contro i malware che utilizzano pratiche di offuscamento ottimizzate. Diversamente dall'Exploit Blocker, lo Scanner memoria avanzato rappresenta un metodo post-esecuzione. Ciò implica un rischio di esecuzione di attività dannose prima del rilevamento di una minaccia. Tuttavia, qualora le altre tecniche di rilevamento disponibili non si rivelino efficaci, questo sistema offre un livello di protezione aggiuntivo.

Applicazioni potenzialmente pericolose

Esistono molti programmi legali utili per semplificare l'amministrazione dei computer in rete. Tuttavia, nelle mani sbagliate, possono essere utilizzati per scopi illegittimi. ESET File Security offre la possibilità di rilevare tali minacce.

Applicazioni potenzialmente pericolose (PUA) è la classificazione utilizzata per il software legale e commerciale. Questa classificazione include programmi quali strumenti di accesso remoto, applicazioni di password cracking e applicazioni di keylogging (programmi che registrano tutte le battute dei tasti premuti da un utente). 

Se si rileva la presenza di un'applicazione potenzialmente pericolosa in esecuzione sul computer (che non è stata installata dall'utente) rivolgersi all'amministratore di rete o rimuovere l'applicazione.