I programmi antivirus sono noti da molti anni, sin da quando ci occupiamo dei primi sistemi. Anche quando non avevamo Internet, gli hacker erano appassionati di scrivere virus. Oggi ci sono centinaia di migliaia di nuovi virus ogni giorno. È molto difficile proteggersi da infezioni dannose se non si dispone di un software antivirus.
Domande e risposte
Tanti utenti di computer si chiedono come funziona un programma antivirus. In che modo rileva e rimuove il software dannoso? Come fai a sapere veramente se il virus è scomparso dal computer o se i file sono puliti? Quali moderne tecnologie vengono utilizzate dai produttori di software antivirus?
Vale la pena conoscere la risposta a queste domande. Sapere come un programma antivirus ripara i file che sono già infetti ed è bene anche sapere come proteggersi dal malware. Windows è il sistema più bersagliato. Ecco perché il software più pericoloso è stato scritto per questo sistema operativo.
Un fatto interessante è che quando si esegue su Linux, nessun virus verrà lanciato all’insaputa dell’utente. Questo sistema funziona in modo diverso da Windows e gli utenti Linux dicono che i virus non sono una minaccia.
È un sistema molto sicuro e per eseguire malware qui è necessario concedergli i cosiddetti diritti di root. Gli autori di antivirus sostengono che Linux non è completamente sicuro rispetto a Windows, tuttavia. Tutto si basa sulla popolarità del sistema.
Se Linux diventasse più popolare (ad esempio, grazie a più giochi compatibili con esso), si può presumere che molti hacker inizierebbero a scrivere virus che aggirino anche la sicurezza di questo sistema operativo. Probabilmente potrai scoprirlo in futuro. I fornitori di antivirus utilizzano diversi metodi di protezione.
Attualmente, il metodo più noto è la scansione dell’intero computer: memoria operativa e dischi rigidi. Lo scanner del programma esegue un’analisi approfondita e verifica la presenza di virus nei file. Come ogni altro software, anche i virus sono costituiti da codice speciale. La sua sequenza viene registrata dai produttori di software e aggiunta alle firme, cioè al database dei virus.
Tale firma consiste in una sequenza di caratteri.
Tecnologie dell’antivirus
Abbiamo a che fare con un metodo molto semplice e popolare chiamato EICAR. Dopo aver copiato la riga in un file di testo e averlo salvato come file eseguibile con estensione .com, il programma antivirus leggerà il file per un virus, poiché alcuni codici sono memorizzati nel suo database.
Le impostazioni del programma determinano il tipo di estensione degli oggetti sottoposti a scansione. Può essere veloce, completa, intelligente, può essere applicata solo a settori di avvio, memoria, processi. Questo metodo è senza dubbio utile in caso di infezione del computer. La scansione non è sempre la stessa. Si può distinguere la scansione in background / all’accesso.
Durante l’utilizzo del computer, il programma esegue la scansione di file / processi per rilevare comportamenti sospetti. Utilizza moderne tecniche euristiche o firme specifiche.
Ogni programma, ogni processo che viene eseguito, ogni caricamento della libreria viene attentamente controllato per possibili infezioni. La scansione su richiesta si tratta di un avvio manuale dello scanner in modo da poter eseguire la scansione del computer alla ricerca di virus. La scansione di un computer non è sufficiente nei tempi moderni.
È necessaria una protezione molto più avanzata. Ci vuole una protezione in tempo reale, durante l’utilizzo di Internet. Oltre allo scanner su richiesta / all’accesso, il modulo utilizzato per gli aggiornamenti delle firme, il firewall, il modulo di protezione della posta elettronica, i filtri del sito Web, il modulo anti-intrusione e furto o la protezione del settore MBR.
I programmi antivirus contengono tecnologie molto avanzate.
Processi avanzati degli antivirus
Queste tecnologie molto avanzate includono il monitoraggio comportamentale e l’analisi del cloud. Il funzionamento degli scanner si riduce alla ricerca di una certa sequenza di byte nella stringa di dati oggetto di verifica. Con un gran numero di virus, è possibile distinguere una sequenza di byte (firma) abbastanza unica, grazie alla quale è possibile rilevare l’infezione.
Se viene rilevato dalle firme, il processo è terminato. Se questo programma non contiene una firma, si attiva l’analisi euristica o comportamentale. Dal momento in cui sono emersi i virus polimorfici, gli scanner sono meno importanti. Tuttavia, è ancora un metodo molto usato per combattere i virus.
Un virus polimorfico può cambiare il suo codice e quindi è molto difficile verificarlo correttamente con l’aiuto delle sole firme. La soluzione qui è l’analisi euristica.
È indipendente dalle firme. Questa tecnica utilizza l’intelligenza artificiale. Rileva i virus riconoscendo modelli di comportamento diversi e insoliti per una determinata applicazione. Una volta avviato, il virus polimorfico tenta di copiare sé stesso e di decrittografare il codice iniziale. Le prossime copie del virus saranno diverse da quella originale.
Ciò rende la sua rilevazione molto più difficile. Questo perché il programma antivirus cerca i virus attraverso le firme di uno specifico pezzo di codice. Un virus polimorfico può cambiarlo. Pertanto, sono stati sviluppati metodi per il rilevamento euristico dei virus. In una situazione in cui l’antivirus trova un comportamento sospetto, ti avviserà.
A seconda delle impostazioni di un determinato programma, può rimuoverlo o chiedere all’utente una risposta appropriata. Sebbene non abbia le firme giuste per neutralizzarlo, può aiutarti a sbarazzartene. Questa è una tecnica abbastanza efficace, ma possono esserci anche falsi positivi.
Il rischio può essere minimizzato applicando un controllo di coerenza che verifica continuamente i valori costanti dei programmi.
Esempi di frode ai danni di proprietari di smartphone Android
Uno degli esempi più noti di tentativo di phishing sugli smartphone è stata la falsa applicazione bancaria BZWBK, che è stata scaricata da diverse centinaia di utenti dal Play Store. Tuttavia, mentre questa procedura è stata rilevata abbastanza rapidamente (nonostante questo alcuni utenti si sono lasciati ingannare), la falsa applicazione WhatsApp è stata scaricata dallo store da diversi milioni di possessori di smartphone Android.
I criminali sono riusciti non solo a ricreare accuratamente l’aspetto del popolare messenger, ma anche la questione del nome del produttore aggiungendo uno spazio alla fine. Qual è lo scopo dietro la pubblicazione di applicazioni sospette sul Play Store?
Alcuni di loro agiscono semplicemente come aiuto aggiuntivo nella visualizzazione di annunci pubblicitari intrusivi, mentre altri monitorano i messaggi ed estraggono informazioni chiave da essi.
