DURA LEX SED LEX
immagini correlate
Overwriter file infector virus
Overwriter file infector virus
Appender file infector virus
Appender file infector virus
Prepender file infector  virus
Prepender file infector virus
Inserter file infector virus
Inserter file infector virus
Cavity file infector  virus
Cavity file infector virus
articoli correlati
sondaggio:
sei mai stato infettato da un virus?
mai
una sola volta
qualche volta
spesso
il mio pc è un colabrodo!
sondaggio:
che antivirus utilizzi?
McAfee
Norton Antivirus
Panda Antivirus
Sophos
Trend Micro Pc - Cillin
Kaspersky
Un altro
Nessuno
crimini informatici > virus e malware
carattere piccolocarattere mediocarattere grande

Come funzionano i virus: tecniche utilizzate per infettare i file.

I file infector, i virus che infettano i file per replicarsi, possono utilizzare differenti tecniche per inserire il proprio codice all’interno del file ospite.

I file infectors sono virus informatici che si introducono all’interno di un file allo scopo di diffondersi. Essi, infatti, si trasmettono da sistema a sistema sfruttando la diffusione di file infetti effettuata da parte degli utenti.  Una volta che viene eseguito il file infetto,  il virus può:

  • Cercare all’interno del sistema i file non infetti, replicarsi in essi, cedere quindi il controllo al file ospite per il suo normale funzionamento e terminare. In questo caso si tratta di un virus non residente in memoria: terminata la fase di infezione, esso non rimane in esecuzione.
  • Cedere il controllo al file ospite consentendone il suo normale funzionamento e rimanere residente in memoria. Il virus è in grado, quindi, di intercettare le system calls (le chiamate di sistema) per individuare potenziali file ospiti da infettare. In questo caso il virus rimane residente in memoria per tutta la durata della sessione del sistema operativo.
In entrambi i casi il sistema viene infettato.

Le tecniche utilizzate dai file infectors per introdursi all’interno del file ospite ed infettarlo sono le seguenti:

Overwriter virus (o overwriting virus). E’ la tecnica più semplice: il virus sovrascrive il codice del file che risulta in tal modo danneggiato e inutilizzabile.

Parasitic virus (virus parassiti): Questi virus si inseriscono all’interno del file ospite modificandone la struttura. A seguito dell’infezione il file ospite non è danneggiato, rimane utilizzabile e il virus può cedere ad esso il controllo consentendone il normale funzionamento. La modifica della struttura del file richiede di solito la modifica dell’header del file. A seconda di come modificano la struttura del file ospite, i parasitic virus si dividono in:
  • Appender virus (o appending virus): il codice del virus è inserito dopo il codice del file. L’header del file viene modificato in modo che l’entry point  punti al codice del virus. Una volta eseguito il codice del virus, un puntatore sposta l’esecuzione sul codice del file.
  • Prepender virus (o prepending virus): il codice del virus è inserito prima del codice del file. L’header del file viene modificato in modo che l’entry point  punti al codice del virus. Una volta eseguito il codice del virus, un puntatore sposta l’esecuzione sul codice del file.
  • Inserter virus (o inserting virus): il codice del virus si frappone al codice del file. L’header del file viene modificato che l’entry point  punti al codice del virus. Una volta eseguito il codice del virus, un puntatore sposta l’esecuzione sull’inizio del codice del file. Un ulteriore puntatore permette di saltare l’esecuzione del codice del virus e di eseguire il rimanente codice del file.
  • Cavity virus: il codice del virus viene memorizzato negli spazi inutilizzati del codice del file (se esistenti). Questa tecnica consente di non modificare la dimensione del file ospite e di rendere l’individuazione del virus da parte dei sistemi antivirus più ardua.
Companion virus: Questo tipo particolare di virus in realtà non inserisce il proprio codice all’interno del codice del file ospite ma fa in modo di essere eseguito al suo posto. Per esempio, una tecnica molto utilizzata in passato dai companion virus approfittava del fatto che nel sistema operativo DOS digitando il nome di un programma dalla shell senza specificarne l’estensione, il sistema dà la precedenza all’eseguibile avente il nome digitato ed estensione com, rispetto all’eseguibile con quel nome ed estensione exe. Il companion virus, in questo caso, aveva quindi stesso nome di un file eseguibile avente estensione exe, ma estensione com.
Un altro metodo utilizzato dai companion virus consiste semplicemente nel rinominare un file eseguibile forzandone un estensione fittizia non eseguibile, per poi copiarsi con il nome e l’estensione originale.

     D.F.