Anche quest'anno abbiamo messo a confronto le versioni aggiornate dei principali prodotti antivirus e per accontentare tutti il ventaglio dei software testati si amplia a ben 26 partecipanti.

In un anno sono accadute molte cose: Downadup e compagni hanno giocato la loro partita con mano pesante, producendo disastri che non si vedevano dai tempi di Melissa e ILoveYou. Gli archivi delle agenzie e dei produttiori di antivirus si sono arricchiti di un catalogo impressionante che supera abbondantemente il milione di esemplari virali, anche se, fortunatamente, non più del 2% possono essere considerati on-the-field.

Quello che vedete qui sotto è l'elenco dei virus individuati, in un minuto, da Kaspersky Labs. E non è tutto, perché l'elenco continua e si raddoppia quando si includono gli ultimi 5 minuti.

(Fonte: Kaspersky Labs)

Come si vede il pericolo è ben presente e reale, e altrettanto degno di rispetto è il lavoro dei produttori di antivirus, impegnati continuamente a contrastare il dilagare di questo immenso mare, che propio verso la fine dell'anno e durante i periodi di festa, aumenta la sua virurlenza.

Come si riconosce una macchina infetta

Non esiste una regola per individuare un pc colpito da un virus in stato latente e talvolta non è facile accorgersi nemmeno di un'infezione in piena attività. I produttori di virus hanno aumentato la loro capacità nel mascherare le proprie creature, onde evitarne l'immediato riconoscimento e la conseguente operazione di pulizia prima che il danno possa essere esteso.
Nella maggior parte dei casi, i virus includono un trigger, vale a dire una combinazione di eventi che ne avvia l'attacco. Ad esempio, un virus avvia il proprio payload (nome con cui viene indicato il suo effetto distruttivo) quando si verificano alcune combinazioni di orario, utilizzo della tastiera, lancio di un particolare programma, apertura di una pagina Web.
In questo modo il virus maschera, anche per molto tempo, il momento dell'infezione, cosa che rende più difficile l'individuazione dell'agente portatore o dell'azione che ha determinato l'infezione.

In ogni caso, una volta avviato il contagio, gli effetti cominciano a evidenziarsi in modo sempre più avanzato. Il computer si comporta in maniera strana e inusuale, ad esempio con attività del disco rigido ingiustificate. Compaiono messaggi inaspettati, specie durante la navigazione, e vengono effettuate operazioni non desiderate come apertura non richiesta dei cassetti dei CD/DVD, emissione di suoni, blocchi operativi, perfino modifica delle lettere della tastiera.
Persone incluse nella nostra rubrica di posta elettronica cominciano a ricevere messaggi mai scritti, il sistema si riavvia senza ragione o evidenzia errori di sistema, la macchina rifiuta di accendersi o lo fa solo in modalità provvisoria, il browser indirizza la navigazione verso siti non desiderati. Ma si tratta solo di un piccolo campionario di possibili effetti.

Probabilmente, però, in questo elenco manca l'effetto più deleterio e dannoso; quello determinato dalla presenza di un backdoor o di uno zombie virus. Grazie all'azione di questi, il PC infetto diventa uno strumento remoto nelle mani dell'attaccante che, attraverso di esso, può eseguire qualunque operazione, lecita o illecita. Ancora, temibili sono i keylogger, che catturano l'uso della tastiera alla ricerca di dati sensibili, come numeri di conto corrente o di carte di credito.
Alcuni virus si insediano nel l’MBR (Main Boot Record) e, sebbene riconosciuti, non possono essere eliminati in quanto il sistema li riconosce come funzioni del proprio ambiente, già avviato, impedendone di fatto la cancellazione.
L'unica vera difesa efficace è rappresentata dalla prevenzione che, stavolta, si basa sulla presenza di un antivirus di qualità e di un continuo aggiornamento delle sue librerie, operazione quest'ultima favorita anche dal fatto che ormai può essere completamente automatizzata. Restano ancora i problemi legati ai virus "one-hour" o "one day", vale a dire quelli che per esercitare il loro attacco approfittano del tempo impiegato dalle aziende antivirus a mettere a punto un aggiornamento delle librerie.

È questo il motivo per cui ormai quasi tutti gli antivirus incorporano un motore euristico, il quale monitora continuamente le aree del sistema più esposte al rischio, evidenziando attività illecite o per lo meno sospette. Molte applicazioni includono anche il cosiddetto sandbox, un'area blindata all'interno del PC dove lanciare o installare applicazioni o file per verificarne l'effettiva liceità evitando il rischio di propagazione di un' infezione, grazie proprio alla blindatura dell'ambiente in cui viene lanciato.
Infine, uno dei sistemi migliori di complemento alla difesa è quello di mantenere continuamente attiva la funzione di upgrade del sistema operativo, per consentire al produttore di aggiornare il sistema e di chiudere i "buchi" di programmazione attraverso cui l'attacco può avvenire.