I virus costituiscono oggigiorno una grossa minaccia perché continuano a diffondersi grazie al continuo scambio di dati tra gli utenti, sia tramite Internet sia con floppy, cdrom ecc..., senza controllare con un buon antivirus (aggiornato) questi supporti. In particolare i virus possono essere suddivisi in virus (canonici), worm e batteri
Il virus
Il virus è un programma quindi è semplicemente del codice eseguibile che viene nascosto all'interno di un altro programma.Il virus si nasconde all'interno di un altro programma è può così trasmettersi ad altri computer che useranno quel programma infettato dal codice virale . In più, una delle caratteristiche di questo codice virale è quella di essere in grado di duplicarsi: ossia significa che il virus, nel momento in cui va in esecuzione, è in grado di vedere se esistono altri file che possono essere utilmente infettati. Inoltre, il virus è stato di solito sviluppato per compiere delle operazioni dannose nei confronti del sistema che lo ospita. Quindi il virus è un programma di attacco che viene inserito all'interno di altri programmi per compiere le azioni criminose e per moltiplicarsi e attaccare ed infettare altri sistemi. Le caratteristiche dei virus informatici sono molto simili ai virus biologici e con questi condividono anche le modalità di attacco, di duplicazione e di infezione.
I worm
Un worm, invece, è un tipo di virus molto più semplice. Un worm non è nient'altro che un programma che attacca i sistemi indirettamente, generando molte copie di se stesso, tramite la rete internet o anche la lan. Un worm , in generale,tende ad fare una copia di se stesso su tutte le macchine collegate ad una rete. È ovvio che deve trovare un meccanismo di trasmissione via rete. Quindi, i worm, non si possono propagare se i due calcolatori non sono collegati in rete e non si possono propagare se i due calcolatori sono adeguatamente protetti contro le intrusioni via rete.
I batteri
Si parla, infine, di batteri nel caso di programmi che tendono ad attaccare il sistema semplicemente generando infinite copie di se stessi, saturando quindi le risorse di calcolo. Un batterio è l'analogo di un worm però, al posto di propagarsi via rete, si limita ad effettuare le proprie copie all'interno del sistema stesso, fino a saturarne completamente la memoria, il tempo di calcolo o i dischi, quindi il pc tende dapprima a rallentare e poi inspiegabilmente si blocca anche aprendo il più semplice dei programmi. Una caratteristica sicuramente molto marcata di questo tipo di infezione è il lavoro dell'hard disk di cui si sente in continuazione il movimento delle testine di scrittura proprio perché sta facendo nuove copie di questo virus.
W32.Blaster.Worm
Dal 11 Agosto, è iniziata la massiccia diffusione del virus W32.Lovsan.Worm (altrimenti detto W32.Blaster.Worm).
Questo virus sfrutta una vulnerabilità scoperta recentemente nei sistemi operativi Windows e relativa al servizio RPC (Remote Procedure Call). I sistemi operativi vulnerabili sono windows xp, windows 2000 e windows 2003 server (meno male che dovevano essere molto più sicuri di windows 98)
L'infezione da parte del virus si manifesta con il susseguirsi - durante la connessione Internet - di errori di sistema (NT AUTHORITY\SYSTEM) relativi, appunto, al servizio RPC (Remote Procedure Call) e di solito il sistema viene automaticamente e continuamente riavviato.
Il virus Lovsan, sfrutta proprio (a vulnerabilità del servizio RPC: esso va infatti alla ricerca di sistemi vulnerabili (ossia sistemi Windows sui quali non si è provveduto ad installare la patch risolutiva Microsoft rilasciata il 16 Luglio scorso) effettuando una scansione casuale di gruppi di indirizzi IP collegati ad Internet (ogni pc su internet ha un proprio indirizzo ip anche se può valere solo per quel collegamento).
Le porte interessate dall'azione del virus sono TCP:135; TCP:4444 e UDP:69. Una volta trovato un sistema vulnerabile, il virus tenta di scaricare ed eseguire il file MSBLAST.EXE. Ciò avviene attraverso l'apertura di una connessione UDP (porta 69) utilizzando il protocollo TFT (Trivial File Transfer protocol).
Chi non ha installato la patch risolutiva Microsoft MS03-026 ma ha avuto l'accortezza di installare un buon software firewall (Questi programmi proteggono i nostri computer quando navighiamo in internet da malintenzionati che potrebbero entrare sui nostri pc copiando, cancellando le nostre cose, formattando ecc.), si sarà certamente accorto dì tentativi di connessione sulla porta UDP:69.
Per risolvere il problema cercate di seguire i seguenti passaggi:
Scaricate il removal tool di Symantec per il virus Lovsan (W32 Blaster) ed eseguite il file FixBlast.exe (
Scarica-download fixblast.exe), appena prelevato .
Scaricate ed installate la patch Microsoft MS03-026 (
Scarica-download La patch microsoft per XP -di circa 165 KB) per il servizio RPC: sarete così al sicuro da ulteriori infezioni e risolverete definitivamente il problema del riavvio automatico del personal computer per colpa di questo worm.
Se volete visionare il sito microsoft ricordate che dovete stare attenti a scaricare la patch per la versione di Windows in uso.
Se il programma removal tool di Symantec non vi segnala la presenza del virus Lovsan (W32.Btaster) ma il vostro sistema si riavvia automaticamente, significa che il vostro personal computer non è stato infettato ma che ha subito un attacco remoto da parte di una macchina "vittima" di questo virus worm.
Per windows xp se non riuscite ad eliminare il worm con la procedura normale
Se utilizzate Windows XP e non siete riusciti con la procedura riportata sopra ad eliminare il worm, vi suggeriamo prima di rieseguire il removal tool di Symantec di disattivare il Ripristino della configurazione dì sistema (alias System Restore) altrimenti il programma per la rimozione di Lovsan potrebbe non eliminare il virus da tutte le cartelle. Per disattivare l'utilità Ripristino della configurazione di sistema fate clic con il tasto destro su Risorse del computer, selezionate la scheda Ripristino della configurazione di sistema quindi attivare la casella Disattiva ripristino della configurazione di sistema su tutte le unità.
Curiosità: questo worm in realtà infetta i PC e poi attacca con i computer infettati i siti della Microsoft