È guerra tra il malware e gli antivirus

di Pasquale Miele

Pubblicato 13 Luglio 2007
Aggiornato 12 Febbraio 2018 20:50

Sta crescendo negli ultimi anni la guerra digitale che vede opporsi i virus writer contro i ricercatori e gli sviluppatori degli antivirus. I primi sono sempre più agguerriti nel rendere i loro prodotti, cioè i malware, dannosi ma diminuendone la capacità di rilevazione; coloro che lavorano nel campo della sicurezza informatica, invece, devono ogni giorno sforzarsi per proteggere gli utenti da minacce sempre più pericolose.

Ad oggi sono molte le tecniche sviluppate per far si che i malware passino inosservati all’occhio vigile dei programmi antivirus. Partendo dal fatto che ogni programma di difesa analizza tutti i file del sistema, una delle tecniche usate è quella della continua modifica del codice sorgente dei virus che però restano inalterati nelle loro funzioni.

Altre tecniche per nascondere i malware sono la crittografia e l’offuscamento, ossia tecniche capaci di nascondere l’analisi antivirus dei file infetti. Queste tecniche vengono dette “Polimorfismo” o “Metamorfismo” e come si può dedurre dal nome, servono a rendere “invisibili” i malware.

Ultimamente stanno andando molto di moda anche i packer: software capaci di comprimere il contenuto dei file; molti di essi si stanno evolvendo impedendo l’estrazione dei file attraverso un’operazione di debugging.

Nel 1990 per la prima volta, durante un attacco DOS, venne impiegata una tecnica per nascondere un codice maligno: essa venne chiamata “stealth technology“. Dopo circa 17 anni questa tecnica si è evoluta con l’avvento del sistema operativo Windows, ed oggi prende il nome di rootkit.

Per molti Trojan moderni, il metodo del “Polimorfismo” risulta inutile, in quanto la stragrande maggioranza di essi non sono in grado di replicarsi rendendo così il proprio codice stabile. È per questo che oggi, i programmatori di virus, cercano di studiare e aggirare la fonte delle difese dei PC.

In tal senso sembra chiaro che i virus writer, stiano cercando in tutti i modi di rendere nullo il lavoro svolto dai software di sicurezza.