Malware: Cos'è, Come Rimuoverlo e Tutti i Tipi Esistenti

Un PC che si blocca o rallenta improvvisamente può essere vittima di un virus informatico ed è necessario intervenire in tempo per evitare danni maggiori  (compresi il furto di dati o delle credenziali d'accesso). Le parole "virus informatico" sono entrate nell'immaginario comune come sinonimo di infezione al PC ma è tecnicamente errato: i virus sono solo una parte delle minacce che possono colpire un PC ed è preferibile utilizzare il termine malware per identificare genericamente tutte le minacce informatiche.

Nei seguenti capitoli è possibile scoprire cos'è un malware, quali sono i tipi di malware, come si diffonde un malware, come ripulire un computer infettato e come prevenire future infezioni.

Le migliori offerte di antivirus del mese

Cos'è un malware

Il termine malware è l'acronimo di "malicious software" ed è il termine con cui si identificano tutte i programmi malevoli in grado di modificare il comportamento dei dispositivi, diffondersi senza controllo, rubare dati personali, spiare gli utenti e danneggiare altri programmi e processi di sistema.

Esistono vari tipi di software malevoli, ognuno con precise peculiarità: conviene conoscerli tutti per imparare a riconoscere da soli il tipo d'infezione che abbiamo subito e cosa fare per evitare infezioni future.

 

I migliori antivirus per difendersi dai malware

 

I tipi principali di malware

Come accennato nel capitolo precedente sono disponibili vari tipi di software dannosi, che agiscono con tecniche d'infezione diverse e che presentano vari gradi di pericolosità. Per rendere la guida chiara e precisa vi mostreremo una descrizione generica del malware accompagnata da una valutazione sul grado di diffusione (da basso a molto alto) e sul grado di pericolosità (da basso a molto alto), con un voto da 1 a 5.

Virus

I virus sono solo una categoria di programmi nocivi che possono colpire un computer, anche se spesso viene utilizzato come sinonimo di infezione sul PC. Questi programmi sono pensati per danneggiare aree precise del sistema operativo, bloccare o modificare l'esecuzione di determinati programmi e replicarsi autonomamente su altri sistemi operativi.

Allo stato attuale i virus "puri" sono davvero poco diffusi, ma le loro tecniche sono inglobate in altri malware più complessi. Restano comunque una seria minaccia per qualsiasi dispositivo informatico connesso alla rete.

• Diffusione: 1
• Pericolosità: 4

Worm

I worm sono software dannosi che hanno come scopo la replicazione rapida, al punto da riuscire a riempire in poche ore un intero hard disk di copie del worm stesso (o di file inutili) con il solo scopo di rallentare e danneggiare il sistema operativo. I Worm tendono a diffondersi velocemente all'interno della stessa rete locale e su tutti i dispositivi connessi, oltre a poter diffondersi con facilità tramite email.

I worm sono ancora abbastanza diffusi, essendo veicolati anche da altri malware come aggiunta all'infezione originale. La loro pericolosità è nella media ma vanno fermati prima che la replicazione raggiunga una dimensione tale da saturare tutta la memoria del computer o che possa accedere ad una rete con molti computer (dove i danni possono essere molto superiori).

• Diffusione: 3
• Pericolosità: 3

Spyware

Gli spyware sono programmi nocivi pensati per spiare l'attività dell'utente, ricavare password d'accesso a sistemi informatici e monitorare le pagine web visitate a scopo di marketing. Questi malware è possibile trovarli nascosti all'interno di programmi legittimi, come strumenti per finanziare i progetti gratuiti: la loro presenza è accennata all'interno delle condizioni d'uso e, se l'utente accetta di essere spiato, non c'è nessun reato.

Sono ampiamente diffusi ma la loro pericolosità è legata al tipo di dati che raccolgono: se lo spyware è a scopo pubblicitario il rischio è basso, se lo spyware punta alle credenziali d'accesso la pericolosità aumenta a dismisura.

• Diffusione: 4
• Pericolosità: 3

Trojan

Il più famoso dei malware è sicuramente il trojan, chiamato anche trojan horse e chiaramente ispirato al cavallo di Troia. Questi programmi nocivi si nascondono all'interno di programmi legittimi o di software di dubbia provenienza (crack, keygen, attivatori etc.) e, una volta attivi, aprono porte per far entrare un hacker, che può così prendere il controllo totale del sistema operativo.  Una volta attivi i trojan scaricano altri malware (worm, virus e spyware) per rendere l'infezione più efficace e difficile da eradicare.

I trojan sono ancora molto diffusi e utilizzati dai pirati informatici e la loro pericolosità è sempre molto elevata: conviene disporre sempre di un buon antivirus in grado di bloccarli prima che possano avviarsi e modificare il sistema per "sottometterlo" alla volontà dell'hacker.

• Diffusione: 4
• Pericolosità: 5

Adware

L'adware è un software malevolo in grado di mostrare costantemente messaggi pubblicitari durante la navigazione web, in un'area precisa di un programma gratuito o tramite finestre dedicate (che non possono essere chiuse come qualsiasi altra finestra).

L'adware è fastidioso ma non raggiunge mai un grado di pericolosità tale da mettere a rischio la stabilità del sistema, a meno che non si aprano troppe finestre (senza dimenticare il contenuto stesso delle pubblicità, che possono nascondere altri malware).

• Diffusione: 3
• Pericolosità: 1

Ransomware

I malware più famosi degli ultimi anni sono sicuramente i ransomware, in cui rientrano i famosi "virus delle Poste", i "virus della polizia" e molti altri malware simili.  Questi software nocivi mostrano una schermata a tutto schermo (impossibile da rimuovere) e cifrano i file e le cartelle presenti nel dispositivo, chiedendo un riscatto in denaro per poter avere di nuovo accesso al sistema e ai file cifrati.

I ransomware sono molto utilizzati dai pirati informatici, possono diffondersi con grande rapidità e possono apportare danni ingenti ai dati personali e ai documenti aziendali (una volta cifrati diventa quasi impossibile recuperare i dati senza pagare): conviene quindi scegliere fin da subito un antivirus con modulo anti-ransomware, così da proteggere il sistema prima che questo tipo di malware possa attivarsi.

• Diffusione: 5
• Pericolosità: 5

Keylogger

I keylogger sono particolari tipi di programmi in grado di memorizzare i tasti premuti sulla tastiera, generano un file di log che viene successivamente inviato al pirata informatico. Questo malware è particolarmente pericoloso per le credenziali d'accesso degli account, visto che è sufficiente digitare sulla tastiera per essere intercettati e subire un furto d'account o un furto d'identità.

Possono essere di tipo software (abbastanza semplici da bloccare) o hardware (più difficili da intercettare), ma in ogni caso possono essere resi inoffensivi con un buon modulo di protezione avanzata (HIPS) ed utilizzando una tastiera virtuale per la digitazione delle credenziali più sensibili.

• Diffusione: 2
• Pericolosità: 3

Rootkit

I rootkit sono speciali malware in grado di nascondersi nelle aree sensibili del sistema e difficili da scansionare (per esempio la partizione d'avvio di Windows). Questi programmi possono essere molto pericolosi perché quasi impossibili da rimuovere una volta attivi: possono sfuggire alle scansioni antivirus e possono (in alcuni casi) sopravvivere anche ad una formattazione totale del disco, specie se il malware è riuscito a nascondersi nel settore d'avvio del disco (in questo caso vengono chiamati bootkit).

I rootkit possono fornire accesso da remoto ad un hacker, scaricare altri malware e in generale rallentare il sistema operativo: meglio bloccare sul nascere la loro infezione con un buon antivirus in grado di scansionare anche le aree nascoste del disco e del sistema.

• Diffusione: 2
• Pericolosità: 4

Cryptomining

Tra i nuovi tipi di malware in rapida diffusione troviamo anche i cryptomining, ossia dei software nocivi pensati per sfruttare l'accelerazione hardware del computer per minare di nascosto criptovaluta, che verrà depositata sul portafoglio digitale del pirata informatico.

I Cryptomining sono molto fastidiosi, visto che possono rallentare l'esecuzione dei programmi che necessitano della scheda video (come per esempio i giochi), sono abbastanza diffusi (spesso li troviamo nascosti in estensioni, programmi o all'interno delle pagine web) ma non sono particolarmente pericolosi, visto che tendono a nascondersi bene per non essere intercettati (e continuare a minare criptovaluta alle nostre spalle).

• Diffusione: 5
• Pericolosità: 1

Botnet

Le botnet non sono dei veri malware ma possono essere veicolati da qualsiasi trojan e rappresentano una minaccia silenziosa e impercettibile su qualsiasi PC. Le botnet sono reti di PC infetti sotto il controllo diretto del pirata informatico (detto botmaster), che può prendere il controllo dei dispositivi in qualsiasi momento ed utilizzarli per attacchi di spam, per attacchi di tipo DDoS, per minare criptovaluta e per velocizzare la diffusione di nuovi malware.

I computer infetti si trasformano improvvisamente in bot o zombie ed eseguono tutto quello che comanda il botmaster, senza possibilità di fermare l'attacco pilotato. Per evitare di trasformare anche il nostro computer in un bot conviene tenere lontani tutti i trojan con un buon antimalware.

• Diffusione: 4
• Pericolosità: 3

 

Come si diffonde un malware

Un malware può diffondersi in vari modi e non esiste un metodo preferito da parte dei pirati informatici; i nuovi software maligni vengono diffusi in primis tramite botnet e successivamente con uno dei metodi visti qui in basso:

• email: i malware possono facilmente nascondersi all'interno degli allegati di posta elettronica o diffondersi tramite link sospetti e tramite le immagini nascoste all'interno del corpo del messaggio;
• siti web fasulli: vengono creati siti web fasulli per distribuire software pirata (con malware annesso) o per avviare le cryptomining;
• phishing: i malware possono essere veicolati tramite email di phishing, accedendo alla pagina web opportunamente modificata per infettare il PC alla semplice apertura del sito;
• chiavette USB: anche una semplice chiavetta USB può essere sufficiente per veicolare l'infezione su più PC;
• reti P2P: i download da reti veloci come BitTorrent ed eMule possono nascondere i malware più pericolosi, specie se scarichiamo eseguibili o file compressi;
• connessioni a reti LAN infette: il semplice accedere ad una rete LAN compromessa può innescare un'infezione sul nostro computer, specie se sulla rete è presente un computer con un worm o un trojan attivo;
• connessioni a reti Wi-Fi pubbliche: accedere agli hotspot pubblici può essere molto rischioso per il nostro computer, visto che la presenza di un PC infetto può propagare velocemente l'infezione a tutti i dispositivi connessi, senza dimenticare l'azione diretta di un hacker presente sulla stessa rete pubblica.

Per evitare tutti questi metodi di infezione conviene scegliere da subito un buon software antimalware di tipo commerciale, evitando il più possibile soluzioni gratuite (a malapena sufficienti a fermare le infezioni più semplici).

 

Cosa fare per prevenire le minacce

 

Prevenire è sempre meglio che curare: questo detto può essere applicato anche ai PC e ai malware. Con un buon software antivirus commerciale è possibile evitare la stragrande maggioranza delle infezioni ed ottenere un livello di rilevamento e di pulizia difficilmente riscontrabili in un antivirus gratuito.

Su Windows 10 e Windows 11 troviamo preinstallato Windows Defender, un buon antivirus di base in grado di bloccare le infezioni più semplici ma che soffre di svariati problemi dal punto di vista della pulizia: in molti casi non riesce a contrastare efficacemente l'infezione, generando messaggi d'avviso continui senza nessuna soluzione pratica.

Chi è particolarmente esposto ai malware deve prendere in considerazione l'installazione di un antivirus commerciale.

 

Come capire se si è vittima di un software malevolo

I malware sono progettati per poter agire più o meno nell'ombra (ad esclusione dei ransomware, che sono decisamente "espliciti" per natura). Per poter capire se si è vittima di un software malevolo è necessario tenere in considerazione alcuni sintomi dell'infezione in atto:

• il PC rallenta senza motivo: un computer che rallenta improvvisamente senza alcun motivo apparente o che impiega troppo tempo all'avvio o nell'apertura dei programmi è a forte rischio infezione;
• il sistema si blocca continuamente: se durante l'uso compare spesso la famosa schermata blu di errore (BSOD, Blue Screen of Death) dobbiamo sospettare un infezione in corso, specie se abbinata ad altri sintomi;
• utilizzo elevato delle risorse: un computer con CPU sempre al 100%, con un consumo di RAM elevato o con il disco in fase di riempimento (senza spostare nessun file) possono lasciar presagire un'infezione in corso;
• modifiche inaspettate al sistema: la comparsa di finestre pop-up fastidiose, di finestre pubblicitarie sul desktop o di una nuova homepage nel browser lasciano pochi dubbi sulla natura virale delle modifiche;
• nuove estensioni nel browser: la comparsa di nuove estensioni nel browser (in grado di reinstallarsi da sole una volta disinstallate) è comune nelle infezioni da adware o da spyware;
• elevato traffico di rete: i malware scambiano un'elevata quantità di dati durante l'infezione, rallentando le connessioni legittime e rallentando i download;
• impossibile avviare un programma: un programma che smette di funzionare o la cui icona viene modificata lascia presagire un'infezione virale;
• impossibile avviare l'antivirus o gli aggiornamenti: molti malware interferiscono con gli antivirus (bloccandoli, cancellandoli o rendendoli inoffensivi) o impediscono gli aggiornamenti di sistema, così da poter continuare ad agire indisturbati.

Se il nostro computer presenta almeno due dei sintomi visti nell'elenco è altamente probabile che sia sotto attacco da parte di un malware ed è consigliabile agire subito, prima che l'infezione possa propagarsi o danneggiare il sistema al punto da bloccarlo.

 

Cosa fare in caso di dispositivo colpito da malware

In caso di infezione il tempismo è tutto: prima agiamo prima torneremo ad utilizzare il computer normalmente senza strascichi. Se il nostro antivirus di base ha fallito e necessitiamo di pulire il PC dall'infezione per prima cosa scolleghiamo il PC da Internet o dalla rete locale e utilizziamo i programmi consigliati nel successivo capitolo (scaricandoli su un PC pulito e trasferendoli tramite chiavetta USB mai usata prima), così da poter rimuovere efficacemente la maggior parte delle infezioni in grado di colpire Windows.

Come rimuovere un malware

Per rimuovere un malware sfuggito ai controlli antivirus di base è consigliabile effettuare una scansione aggiuntiva con in seguenti programmi:

• ESET Online Scanner: uno scanner veloce ed efficace prodotto dalla ESET, azienda famosa per il suo antivirus commerciale NOD32;
• Malwarebytes: altro efficace scanner per rimuovere gli spyware e i malware più ostici;
• Norton Power Eraser: uno degli scanner più efficaci per rimuovere le minacce attive sul computer, prodotto dall'azienda Norton;
• F-Secure Online scanner: altro famoso scanner anti malware prodotto dall'azienda F‑Secure, una delle aziende leader nel settore della sicurezza informatica.

Tutti questi scanner devono essere eseguiti in modalità provvisoria, così da poter bypassare eventuali infezioni attive (che possono bloccare l'esecuzione degli scanner) e scansionare anche i file di sistema eventualmente infetti.

Se il PC non parte in provvisoria o si blocca all'avvio è possibile scansionare il computer infetto con i dischi di recupero (installabili su DVD o su chiavetta USB) come ESET SysRescue Live o il disco di soccorso di Avast Antivirus.

Conclusioni

Come abbiamo visto sono presenti svariati tipi di malware, tutti con caratteristiche ben precise e livelli di pericolosità più o meno elevati. Ciò che preoccupa maggiormente è l'inevitabile calo di produttività che ogni malware porta con sé: incappare in un malware significa automaticamente perdere del tempo per rimuovere l'infezione e per scansionare tutto il disco alla ricerca di tracce o di altri programmi nocivi, tempo che deve essere tolto al lavoro o all'attività che stavamo svolgendo davanti al PC.

Per evitare queste perdite di tempo evitiamo il più possibile l'uso di programmi antivirus gratuiti e affidiamoci alle migliori soluzioni antimalware di ultima generazione, in modo da poter bloccare qualsiasi tipo di infezione sul nascere e poter proseguire il proprio lavoro indisturbati.

 

Domande frequenti sui malware

Cosa è un malware?

Un malware è un programma pensato per danneggiare il sistema operativo o gli altri programmi presenti sul PC, oltre a rubare dati personali o sfruttare le risorse presenti sul computer. Può manifestarsi in molti modi (più o meno pericolosi) ma, in caso d’infezione, l’unica certezza è la perdita di tempo (e di denaro) per rimuovere efficacemente il programma nocivo.

Che differenza c'è tra un virus e un malware?

I virus sono solo una categoria di malware, dove sono racchiusi i programmi pensati per danneggiare altri programmi (ma anche processi e file di sistema). Sono attualmente i meno diffusi, ma le loro tecniche d’infezione vengono sfruttati da altri malware più avanzati.

Cosa possono fare i malware?

I malware possono danneggiare il sistema operativo, modificare l’avvio del sistema, modificare i programmi legittimi, spiare l’utente, rubare i dati della carta di credito, rubare le credenziali d’accesso agli account, prendere il controllo completo del sistema, minare di nascosto criptovalute e chiedere dei riscatti in cambio di un PC pulito e funzionante.

Quali sono i più pericolosi malware?

I malware più pericolosi sono senza ombra di dubbio i trojan e i ransomware, in grado di portare danni profondi al sistema operativo e ai programmi e (nel caso dei ransomware) bloccare interi dischi fissi pieni di file aziendali o di file personali importanti (che nel peggiore dei casi sono irrecuperabili).

Il danno economico di queste due varianti di malware è talmente elevato che tutti gli antivirus dispongono di moduli specifici per identificare i comportamenti sospetti di trojan e ransomware, così da poter bloccare subito questo tipo di infezioni prima che possano attivarsi e arrecare danno.