Non tutti i virus producono gli effetti distruttivi che spesso vengono paventati dai messaggi allarmistici che girano su Internet. Anzi, ne esistono molte migliaia che si limitano a produrre effetti divertenti o banali, quali l'occasionale comparsa di un messaggio o di un particolare effetto visivo sullo schermo a qualche data prefissata, o dopo l'esecuzione di una specifica operazione prestabilita a priori (esecuzione di certi files, apertura di un dato applicativo, etc.). Alcune centinaia di virus sono invece molto più pericolosi, e possono produrre danni che spaziano dalla perdita di files di dati e documenti, al blocco degli applicativi, al danneggiamento "fisico" dell'Hard Disk o del sistema operativo. Anche la modalità di diffusione può essere molto diversa, in base allo specifico tipo di virus.
Vediamo dunque i principali tipi di virus:

La maggioranza dei virus sono programmati per infettare altri files: ovvero, quando il file-ospite viene eseguito, una parte delle istruzioni virali permettono al virus di duplicarsi all'interno di altri files, quali ad esempio quelli relativi ai processi attivi nel sistema (cioè, sostanzialmente, gli altri programmi che stanno girando) al momento dell'esecuzione del virus. Il virus, infatti, si installa e rimane attivo nella memoria del computer, cercando di infettare tutti gli altri programmi in funzione nello stesso momento.
I virus, ovviamente, si possono propagare con molta facilità anche da un computer all'altro (magari tramite un file che si pensa assolutamente innocente, e che finisce in un dischetto scambiato con un amico…).
I virus non sempre si attivano in automatico (o si attivano del tutto) all'esecuzione del file-ospitante: molti sono programmati per attivare certe loro istruzioni (ad es., quelle dannose) solo in particolari condizioni (ad esempio, ad una data particolare, o dopo l'esecuzione di un'operazione particolare con qualche applicativo prestabilito). Un virus può quindi rimanere silente per molto tempo (e nel frattanto essersi diffuso ampiamente), prima che si attivino le sue funzioni "distruttive" e produca i suoi effetti negativi.

Per evitare il riconoscimento e la neutralizzazione dei virus da parte dei programmi antivirus, i programmatori di virus hanno sviluppato delle tecniche in grado di rendere più semplice la mimetizzazione del virus nei files ospiti. Sono così nati i virus polimorfici, ovvero quelli in grado di "cambiare" il proprio aspetto in modo tale da non essere riconosciuti dai virus scanners; altri virus usano un particolare trucco per rendersi "invisibili" (stealth): siccome uno dei principali sistemi usati per individuare i virus consiste nel controllare se la lunghezza di un file è cambiata dal controllo precedente (si chiama "inoculazione"; una piccola modifica di dimensioni potrebbe ad esempio indicare che nel file preventivamente inoculato si sono "infiltrate" istruzioni virali), questi virus modificano la lunghezza del file-ospite in modo tale che sembri ancora normale.
Per riuscire ad identificare anche questi virus, è importante possedere un antivirus sufficientemente recente, il cui Scan Engine (ovvero, il programma di ricerca) sia abbastanza moderno da riconoscere anche questi tipi di virus (ma non vi preoccupate, ormai lo fanno tutti).

Ad esempio, Antonio vuole attaccare il computer di Carlo, ma ha paura di essere individuato. Allora decide di usare un troiano. Prima di tutto, riesce a piazzare un troiano sul computer di Biagio. Poi, stando comodamente seduto a casa sua, controlla il computer di Biagio attraverso il troiano, in modo che sia quest'ultimo a sferrare l'attacco al computer di Carlo. Se Carlo si accorgerà di essere stato attaccato, l'analisi dei log (cioè dei dati di connessione) dimostrerà che l'attacco è venuto da Biagio... anche se noi sappiamo che la persona dietro a tutto questo è Antonio.
Tra i troiani più famosi, meritano sicuramente menzione SubSeven e Back Orifice (nella versione classica e nelle sue numerose varianti, tipo il pericoloso BO2000).

Questo tipo di attacco è estremamente pericoloso, soprattutto se la "backdoor" che viene aperta (ovvero, la "porta di servizio" attraverso cui l'hacker di turno può introdursi nel nostro sistema) permette l'accesso a dati sensibili (magari a cartelle cliniche di pazienti).
Un troiano può quindi creare dei danni molto maggiori di qualunque altro virus, da un punto di vista di riservatezza e sicurezza dei nostri dati. In fondo, se facciamo regolarmente dei backup dei files più importanti, nel peggiore dei casi quello che ci può succedere da un virus è di dover riformattare il disco fisso e reinstallare tutto: un pomeriggio di lavoro e qualche imprecazione. Se invece tutte le cartelle cliniche che abbiamo incautamente registrato sul computer finissero nelle mani di qualche malintenzionato, il danno che potrebbe derivarne sarebbe in molti casi ben più grave.
Inoltre, non è detto che ci si possa rendere conto che tale "furto" è avvenuto, proprio perchè i troiani sono costruiti in modo da non dare segni della propria presenza.

Come ci si può difendere ? Sostanzialmente, utilizzando un buon Firewall (vedi dopo) quando si è connessi ad Internet per evitare che vengano trasmessi dei dati sospetti; controllando l'accesso al computer con una password in caso di condivisione tra più utenti della stessa postazione; verificando con il Task Manager tutte le applicazioni che sono in corso di esecuzione durante una sessione di lavoro, e killando (cioè terminando forzatamente, cliccando su "End Task" dalla schermata del Task Manager dopo aver selezionato dall'elenco il processo in questione) quelle sospette.... ma è difficile capire cosa è sospetto, se non si conosce un poco il funzionamento del sistema operativo. Molti keysniffer sono anche riconosciuti dai principali software antivirus.

Dopo esserci spaventati un pò, passiamo a discutere della profilassi e della terapia: ovvero, del funzionamento di Antivirus e Firewall, oltre che di un paio di tool, strumenti, abbastanza utili.

- Se un file od un programma appena avviato sembra comportarsi in maniera molto strana (operazioni sul disco fisso, funzionamento diverso da quello che è sempre stato, apertura di finestre mai viste in precedenza e non coerenti con la normale funzionalità del programma, etc.), è consigliabile bloccarlo subito (eventualmente usando Task Manager) e controllarlo con l'Antivirus.

- Impostate le opzioni di Word e di Excel sulla Protezione Macro (in Word 97, menu Opzioni, flaggare Protezione Macro; in Word 2000, menu Strumenti, Macro, Protezione, selezionare Elevata; idem per le versioni di Excel). Questo obbligherà sempre il sistema (anche se vi sono -rarissime- eccezioni) a chiedervi conferma prima di avviare una Macro (un miniprogrammino) contenuto all'interno di un file .doc o .xls. Tenete conto che le Macro vengono usate raramente, e se ne trovate una dove non dovrebbe esserci, molto probabilmente è un virus. Controllate il file con l'antivirus PRIMA di avviarlo ! Od altrimenti, fate disattivare le Macro da Word od Excel.

- Se non dovete usare particolari funzionalità avanzate di Word, salvate i vostri documenti di testo in un formato “di basso livello”, ovvero il Rich Text Format (.rtf) o il Solo Testo (.txt). In questo modo, evitate il rischio di ritrovarvi Virus delle Macro nei vostri documenti. Il Rich Text Format sembra proprio essere il formato ideale per i documenti di testo: non solo è immune al rischio di virus delle macro, ma permette anche di mantenere in maniera molto fedele la formattazione e le impostazioni originarie del vostro documento; è leggibile su qualunque sistema (Windows, Linux, MacOs, etc…) con editor di testo di qualunque tipo (da quelli praticamente elementari a quelli compresi nelle suite più diffuse di prodotti per ufficio: Office, CorelSuite, StarOffice, etc.); e, last but not least, occupa pochissimo spazio in termini di Kbyte.

- Di tutti i documenti più delicati, tenete una copia di sicurezza su un dischetto da riporre in luogo sicuro. In caso di perdita dell'originale, avete la possibilità di fare un backup.

- Quando un amico, anche di cui vi fidate, vi passa un Cd-Rom od un dischetto, o vi manda un allegato di posta elettronica, controllate SEMPRE tutto il contenuto con il solito antivirus. Nella stragrande maggioranza di casi, i virus arrivano proprio in un programma di cui ci si fida "perchè me l'ha passato un amico che se ne intende". Il problema non è mai la "fiducia" o la "consapevolezza": difficilmente il vostro amico vi vuole passare consapevolmente l'influenza, ammesso che sappia di covarla. Idem per i virus informatici.

- Controllate l'estensione dei files ricevuti, prima di avviarli. Le “estensioni” sono semplicemente le tre lettere dopo il punto nel nome dei files: ad esempio, relazione.doc ha l'estensione .doc, che indica i documenti di Word; tabella.xls ha l'estensione .xls, che indica i fogli di calcolo di Excel. Perchè è importante controllarla ? La maggior parte dei virus “classici” hanno un'estensione .exe o .com (cioè quelle dei files eseguibili, che avviano un programma); ve ne sono anche di .pif o .bat (con funzionalità simili). Siccome i virus non si nascondono all'interno delle immagini e delle fotografie (files .jpg o .gif), o dei files audio (.mp3, .mid, .wav), se ce ne arrivasse uno potremmo essere tentati di aprirlo senza controllarlo bene con l'antivirus. Sarebbe un errore molto grave: alcuni dei virus più recenti sfruttano una banale impostazione di Esplora Risorse di Windows per ingannare l'utente.

Normalmente, infatti, in Esplora Risorse non viene visualizzato il nome completo di estensione, per quanto riguarda i files già conosciuti dal sistema: ad esempio, anche se attiviamo la visualizzazione dettagli in Esplora Risorse, il file “relazione.doc” verrà visualizzato solo come “relazione”. I creatori di questi virus aggiungono un puntino in mezzo al nome del file virale eseguibile (che quindi “parte” appena cliccato) ed una finta estensione rassicurante: ad esempio, “(virus.jpg).exe”. Cosa succede ? Che il nostro sistema visualizzerà semplicemente la “finta estensione” rassicurante .jpg (che dovrebbe essere un'immagine), mentre in realtà si tratta di un pericoloso programma eseguibile (.exe), che se andiamo a cliccare produrrà subito i suoi nefasti effetti.

Soluzione ? In primo luogo (non lo si finirà mai di ripetere abbastanza), verificare SEMPRE TUTTI i files che riceviamo, e non solo gli eseguibili o quelli che “ci sembrano” sospetti o strani (si tratta di pochi secondi….); in secondo luogo, può essere molto utile, per evitare questo tipo di problemi, impostare Esplora Risorse in modo che visualizzi sempre l'estensione dei files. Si tratta semplicemente di aprire Esplora Risorse, andare su Visualizza, Opzioni e deselezionare la voce “Nascondi estensioni dei files conosciuti”.

- Posta Elettronica.

Croce e delizia per la diffusione dei virus informatici. La posta elettronica, attraverso gli allegati infetti, è diventata la strada maestra per la diffusione di virus di ogni tipo. In particolare, chi usa Microsoft Outlook (o, peggio, Outlook Express) è a serio rischio, proprio perchè la maggior parte degli ultimi virus approfittano delle debolezze informatiche di tale programma per diffondersi con estrma facilità e virulenza. Dunque, il consiglio migliore in assoluto è solo uno: abbandonare Outlook e passare ad altri comodissimi programmi di posta elettronica, quale ad esempio l'eccezionale e sicuro Eudora. Con Eudora avete due grossi vantaggi: riducete drasticamente il rischio di far partire inconsapevolmente virus sul vostro computer, ed eliminate praticamente del tutto la possibilità di trasformarvi a vostra volta in pericolosi veicoli d'infezione per altri.

Eudora 5.1, che è un programma di posta veramente semplice ed efficace, è scaricabile liberamente dal sito del produttore, la Qualcomm. Si può ottenere in tre modalità: nella versione Pro a pagamento (circa 60.000 lire), Pro con pubblicità (gratis, ma sconsigliata per motivi di privacy, perchè trasferisce ai server cui fa riferimento i vostri dati personali - profiling - per potervi proporre pubblicità mirata), oppure nella più semplice versione Light, assolutamente gratis e senza pubblicità. Il consiglio è quello di utilizzare la versione Light, che "light" solo nel nome: in realtà permette di effettuare un'enorme serie di operazioni sulla posta elettronica, con la massima semplicità e sicurezza antivirale.

Risulta quindi fondamentale dotarsi di un buon antivirus, ed aggiornarlo continuativamente dal sito Internet del produttore.
Come impostazioni, consigliamo di settare il programma sulla pulitura automatica dei virus eventualmente trovati (cioè rimuoverli senza danneggiare il file che li ospita), e sulla negazione dell'accesso ai file che ospitano virus non cancellabili.
In molti casi è possibile attivare la cosiddetta “ricerca euristica”: ovvero, lo Scan Engine non si limita a cercare solo i virus già conosciuti ed elencati nel suo “catalogo interno”, ma va alla ricerca di tutti i “files che si comportano in modo strano” (ad esempio, duplicandosi da soli o mandando istruzioni di cancellazione dati a Windows). Se ne trova, ce li identifica come possibili virus (e li possiamo bloccare, analizzare meglio, etc.). Attivate sempre le funzioni di ricerca euristica sui vostri antivirus, se le avete a disposizione ! Ad esempio, su Norton Antivirus si deve attivare la tecnologia "Bloodhound" (impostandola al livello massimo).

Un buon Firewall � particolarmente importante per chi si connette ad Internet tramite una linea "permanente" (ADSL, Fibra Ottica). In questo caso, infatti, l'indirizzo IP del computer (ovvero il suo identificativo individuale) rimane fisso in ogni sessione di navigazione, rendendo pi� semplice un eventuale attacco al sistema (mentre per chi si connette con il normale modem V90 l'indirizzo IP � dinamico, ovvero viene generato sessione per sessione).

Vi sono diversi tipi di Firewall: qui, ci limitiamo a consigliare il celeberrimo ZoneAlarm, scaricabile gratuitamente dal sito ZoneLabs, e facilmente configurabile. Quelle che seguono sono due righe elementari per illustrarne il funzionamento; ma in fondo alla presente Guida è stato aggiunto il preziosissimo "ZoneAlarm MiniHowTo" di Max Bandinelli, la migliore e più sintetica guida alla configurazione di ZoneAlarm disponibile in lingua italiana (http://www.securfaq.usenet.eu.org, dove trovate anche una delle migliori guide italiane alla sicurezza informatica, ovvero le FAQ del gruppo di discussione it.comp.sicurezza.varie).
Dopo averlo installato, è sufficiente mettere i parametri di protezione sia per Internet che per Intranet su "High", e per il resto fa tutto lui. La prima volta che un programma si collega ad Internet, ci chiede se ha il diritto di farlo: noi ovviamente gli diremo di sì per i programmi che lo "devono fare" (Internet Explorer, Eudora, Outlook, l'Antivirus quando si aggiorna dal sito del produttore, etc.), mentre gli diremo di no (ed approfondiremo la questione) quando a chiedere l'accesso è un programma od un processo sconosciuti.

Ora navigate tranquillamente: sarà il Firewall a bloccare i tentativi di accesso o di "portscan" (ovvero di verifica della presenza di accessi liberi) al nostro sistema, notificandoceli con una finestrella ogni volta che avvengono (e riportandoci l'indirizzo IP di chi ci ha provato). Rimarrete stupiti dal numero di attacchi o portscan (monitoraggi esterni) che subisce un normale PC nel corso di un paio di ore di navigazione Internet... comunque, nella maggior parte dei casi non c'è nulla di cui preoccuparsi: si tratta solo di portscan automatici (e quasi sempre innocui) fatti con appositi programmi che verificano molte centinaia di computer alla volta, di solito lanciati da ragazzini che giocano a fare i pirati informatici.

Un buon Firewall deve garantire un buon livello di protezione anche contro gli attacchi di tipo "Masquerading" e di "IP Spoofing antiPacket Filtering": si tratta di attacchi più raffinati, nei quali ad esempio si tenta di ingannare il Firewall con files-pirata che "fingono di essere" un altro programma, autorizzato all'accesso (masquerading). Ad esempio, un attacco del genere può avvenire da parte del troiano "Cattivo.exe", che al momento di trasferire dei dati fuori dal nostro PC protetto da un Firewall finge di essere "Word.exe" (che noi abbiamo autorizzato all'accesso ad Internet). Negli attacchi IP Spoofing, invece, ci vengono spediti pacchetti di dati che fingono di avere, nella loro intestazione, un finto mittente (che noi abbiamo precedentemente autorizzato all'accesso sul nostro sistema): i migliori Firewall, però, fanno delle verifiche più approfondite del pacchetto dati ("Stateful Packet Filtering"), e riescono ad individuare anche questi trucchi.
Oltre a ZoneAlarm, che nella versione base è gratuito, si suggerisce ZoneAlarm Pro, scaricabile sempre da ZoneLabs, ma questa volta pagando (40 dollari): le funzionalità che offre sono effettivamente più sofisticate, ma anche il ZoneAlarm base è eccellente e, allo stato attuale, probabilmente sufficiente per le nostre esigenze professionali.

Potete testare la sicurezza del vostro Firewall facendo il divertente test di "grc.com" di Steve Gibson (uno dei più grandi esperti mondiali di sicurezza informatica). Collegatevi al suo sito dopo aver attivato il Firewall, e provate a fare sia il "LeakTest" che il test "Shields Up!": il sito simulerà dei tentativi di portscan e di masquerading contro il vostro firewall, per poi proporvi un'analisi delle criticità o dei problemi eventualmente riscontrati.