La RFC 1135 definisce come virus qualsiasi porzione di codice che si installa all'interno di un programma host al fine di utilizzare quest'ultimo come mezzo di propagazione. Un virus non può essere eseguito in maniera autonoma ed indipendente ma richiede che sia stato attivato un programma host.
Due sono gli elementi che è necessario prendere in considerazione quando si parla di virus: il meccanismo di propagazione ed il tipo di operazioni eseguite (cd. payload) una volta che il virus sia attivo e residente in memoria. Il meccanismo di propagazione è forse l'aspetto più importante nel valutare la pericolosità di una determinata classe di codice nocivo.
Infatti mentre in passato il pericolo di una infezione da virus poteva dirsi limitato a pochi pc ed il mezzo di diffusione era costituito principalmente da floppy disk o da cassette attualmente l'avvento di Internet ha dato un forte impulso alla crescita delle infrastrutture di rete per cui negli scenari odierni i danni causati dai virus possono colpire centinaia di migliaia di sistemi in poco più di una settimana sfruttando mezzi di connettività globale velocissimi come ad esempio la posta elettronica.
A seconda delle caratteristiche di diffusione di cui sono in possesso i virus appartengono a due distinte categorie:
- virus di tipo parassita: infettano i classici file eseguibili (.com, .exe e .dll) lasciandoli perfettamente utilizzabili ma al tempo stessi utilizzandoli come mezzi di propagazione;
- virus del settore di avvio: copiano se stessi nel settore di avvio dei dischetti o del disco rigido e si dimostrano particolarmente subdoli poiché sono in grado di acquisire il controllo del sistema al momento del suo bootstrap e quindi molto prima che sia caricato il sistema operativo e, conseguentemente, qualsiasi programma antivirus;
In quest'ultimo gruppo rientra anche il codice virale che, anziché colpire il settore di avvio, infetta il Master Boot Record vale a dire quell'insieme di istruzioni localizzate all'inizio di qualsiasi disco fisso, cioè nel primo settore del primo cilindro del primo piatto, in grado di interpretare la tabella delle partizioni che contiene la mappa della configurazione dell'intero disco.
Peraltro è proprio questa tipologia di virus quella che presenta le particolarità più insidiose in quanto tende ad acquisire il controllo dell'MBR rilocandolo altrove ed inserendo il proprio codice nocivo all'interno dello stesso.
In questo modo, durante il riavvio della macchina, il virus riesce ad eseguire qualsiasi tipo di operazione: modificare le chiamate del BIOS od intercettare quelle dirette a leggere lo stesso MBR dirottandole verso la copia precedentemente rilocata (l'uso di queste tecniche cosiddette stealth è normalmente diretto ad evitare l'identificazione da parte dei normali antivirus).
Infine non è raro trovare anche virus cosiddetti multi-partiti capaci non soltanto di infettare l'MBR od il settore di boot del disco ma anche di esporre caratteristiche di tipo parassita che li rendono idonei a sfruttare una ampia gamma di mezzi di diffusione.
Per quanto riguarda invece le operazioni compiute va detto che non tutti i virus sono caratterizzati dalla presenza di un payload mentre, tra quelli che ne sono in possesso, alcuni sono programmati in modo tale da avere una sorta di trigger che al verificarsi di determinate circostanze scatena l'esecuzione delle operazioni nocive.
L'uso di tecniche evolute nei moderni virus
L'evoluzione delle tecniche di programmazione ha portato negli ultimi anni alla proliferazione di una nuova generazione di codice virale sempre più insidioso e subdolo rappresentato da:
- virus polimorfici;
- virus crittografati;
La prima specie raccoglie quei virus che adottano tecniche particolari per rendere la loro impronta virale diversa di volta in volta. Attraverso un complesso e sofisticato processo di recodifica essi creano delle varianti di se stessi ostacolando o rendendo molto più difficoltosa la loro identificazione da parte dei programmi antivirus.
Il secondo genere invece si caratterizza per l'utilizzo di metodi di occultamento della impronta virale che sfruttano la crittografia. In questo caso la logica di crittografia/decrittografia può essere contenuta all'interno dello stesso codice virale oppure può impiegare apposite routine fornite di default dallo stesso sistema operativo limitando tuttavia in questo caso la propria capacità offensiva soltanto ad tipo sistema (quello di cui vengono sfruttate le API crittografiche).
Peraltro nulla esclude l'impiego congiunto di polimorfismo e crittografia al fine di produrre virus altamente evoluti anche se ciò inevitabilmente si traduce in un codice di maggiori dimensioni la cui realizzazione è alla portata di pochi individui in possesso di capacità tecniche non comuni.
