Virus informatici: descrizione, prevenzione, ripristino

In questo articolo viene descritto come determinare se il computer in uso è infetto da un virus, da un worm o da un virus di tipo Trojan, come ripristinare il sistema dopo un'infezione e come prevenire che venga infettato in futuro.

Un virus è un codice scritto espressamente per provocare la replica del codice virale stesso. Il virus tenta di diffondersi da un computer a un altro associandosi a un programma host. Può danneggiare componenti hardware, software o dati. Il worm è una sottoclasse di virus. Generalmente si diffonde senza alcun intervento dell'utente e distribuisce copie complete, talvolta modificate, di se stesso sulle reti. Può causare l'esaurimento della memoria o della larghezza di banda della rete, con conseguente blocco del computer. Un virus che si presenta come programma utile ma che in realtà provoca danni è detto "trojan horse".

È importante adottare tutte le misure necessarie per evitare il contagio da virus anche se non si visitano siti Web sconosciuti o non affidabili o non si aprono allegati di posta elettronica. Per proteggere un computer con sistema operativo Windows, è importante seguire tre strategie basilari: utilizzare un firewall, ottenere aggiornamenti regolari e utilizzare un software antivirus. Per istruzioni dettagliate su come effettuare queste operazioni sul sistema operativo in uso, visitare il seguente sito Web Microsoft per la protezione del PC:In un computer con Windows XP, il sito Web è in grado di rilevare e configurare automaticamente Internet Connection Firewall (ICF), configurare le impostazioni degli aggiornamenti automatici e fornire informazioni su software antivirus. In un computer con Windows XP Service Pack 2 il firewall per la connessione a Internet è denominato "Windows Firewall (WF)".

Per ulteriori informazioni sulla parte automatizzata del sito Web Microsoft per la protezione del PC, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito: Per ottenere supporto gratuito sulla protezione antivirus negli Stati Uniti o in Canada, chiamare (866) PC-SAFETY (727-2338). Al di fuori degli Stati Uniti o del Canada, rivolgersi alla filiale Microsoft locale.

Sintomi della presenza di virus, worm e Trojan Horse

Se si ritiene o si riceve la conferma che il computer è stato infettato da un virus, ricorrere a un prodotto software antivirus aggiornato. Quando un virus infetta la posta elettronica o altri file, possono verificarsi i seguenti effetti nel computer:

• Il file infetto può creare copie di se stesso, determinando così l'esaurimento dello spazio libero sul disco rigido.
• Una copia del file infetto può essere inviata a tutti gli indirizzi di posta elettronica contenuti nella rubrica.
• Il virus può riformattare il disco rigido ed eliminare tutti i file e i programmi.
• Il virus può installare programmi nascosti, ad esempio software illegittimo, che potrebbero poi essere distribuiti o venduti dal computer all'insaputa dell'utente.
• Il virus può abbassare il livello di protezione, consentendo a utenti non autorizzati di accedere al computer o alla rete dall'esterno.

I sintomi riportati di seguito sono spesso causati o associati a un virus:

• È stato ricevuto un messaggio di posta elettronica con uno strano allegato. Quando si apre l'allegato vengono visualizzate delle finestre di dialogo o si nota un improvviso degrado delle prestazioni del sistema.
• Un allegato aperto di recente presenta una doppia estensione, quale jpg.vbs o gif.exe.
• Un programma antivirus risulta disattivato in maniera imprevista e non può essere riavviato.
• Risulta impossibile installare o eseguire un programma antivirus.
• Vengono visualizzate strane finestre di dialogo o di messaggio.
• Altri utenti comunicano di avere ricevuto di recente messaggi di posta elettronica contenenti file allegati, in particolare con estensioni exe, bat, scr e vbs, che si è certi di non avere mai inviato.
• Sul desktop vengono visualizzate nuove icone sconosciute o che non sono associate ad alcun programma installato di recente.
• Improvvisamente vengono riprodotti strani suoni o musica.
• Un programma scompare dal computer senza che sia stato rimosso intenzionalmente dall'utente.

Di seguito sono riportati altri possibili sintomi di un'infezione da virus. Tali sintomi, tuttavia, potrebbero essere il risultato delle normali funzioni di Windows o di problemi del sistema indipendenti dalla presenza di un virus.

• Risulta impossibile avviare Windows, sebbene non siano state apportate modifiche al sistema e non sia stato installato o rimosso alcun programma.
• È presente un'insolita attività del modem. Se si dispone di un modem esterno, si potrebbe notare una considerevole attività delle spie quando il modem non è utilizzato dall'utente. È possibile che si stia inconsapevolmente trasmettendo software illegale.
• Risulta impossibile avviare Windows per mancanza di alcuni file di sistema fondamentali e viene visualizzato un messaggio d'errore che riporta l'elenco dei file mancanti.
• A volte il computer si avvia normalmente, ma altre volte si blocca prima che vengano visualizzate le icone del desktop e la barra delle applicazioni.
• Le prestazioni del computer sono notevolmente rallentate e l'avvio richiede molto tempo.
• Vengono visualizzati messaggi relativi all'esaurimento della memoria, anche se la quantità di RAM disponibile nel computer è elevata.
• I nuovi programmi non vengono installati correttamente.
• Si verifica il riavvio automatico di Windows in modo imprevisto.
• I programmi che in precedenza funzionavano correttamente si bloccano spesso. Se si tenta di rimuovere e reinstallare il software, il problema continua a presentarsi.
• Un'utilità per la manutenzione dei dischi, ad esempio ScanDisk, segnala diversi errori gravi del disco.
• Scompare una partizione.
• Il computer si blocca quando si tenta di utilizzare i prodotti Microsoft Office.
• Non è possibile avviare Task Manager di Windows.
• Il programma antivirus segnala la presenza di un virus.

Ripristino e prevenzione di infezioni virali

Per prevenire il diffondersi di un'infezione da virus o per ripristinare il sistema dopo l'attacco di un virus, attenersi alla seguente procedura:

1. Utilizzare un firewall Internet.
   Il firewall è un componente software o hardware che crea una barriera protettiva tra il computer e i contenuti potenzialmente dannosi presenti su Internet. Consente di proteggere il computer da utenti malintenzionati e da molti virus e worm.
   
   L'uso del firewall è necessario solo per le connessioni di rete utilizzate per collegarsi direttamente a Internet, ad esempio un singolo computer connesso a Internet direttamente mediante un modem via cavo, un modem DSL o un modem di connessione remota. Se si utilizza la stessa connessione di rete per il collegamento a Internet e alla rete domestica o aziendale, utilizzare un router o un firewall per impedire che altri computer su Internet accedano alle risorse condivise su tali reti. Non attivare un firewall su connessioni di rete utilizzate per collegarsi alla rete domestica o aziendale, a meno che il firewall non sia configurato per l'apertura delle porte solo per tale rete. Se la connessione a Internet avviene tramite la rete domestica o aziendale, è possibile utilizzare un firewall solo nel computer o sulla periferica, ad esempio un router, che fornisce la connessione a Internet. Se ad esempio la connessione a Internet avviene tramite una rete gestita dall'utente stesso e su tale rete viene utilizzata una condivisione della connessione per consentire l'accesso a Internet a più computer, è possibile installare o attivare un firewall solo sulla connessione Internet condivisa. Se invece la connessione a Internet avviene mediante una rete non gestita dall'utente, assicurarsi che l'amministratore della rete utilizzi un firewall.
   
   Nota Se si utilizza un firewall su tutti i computer di una rete domestica o aziendale, potrebbe risultare impossibile individuare altri computer e condividere file con altri computer sulla stessa rete. Per ulteriori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
   298804  (http://support.microsoft.com/kb/298804/ ) Possibili problemi di esplorazione e condivisione di file causati dai firewall Internet

   Windows XP; Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition

   Se si esegue Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition o qualunque altra versione di Windows XP, è possibile utilizzare la funzionalità Windows Firewall.
   283673  (http://support.microsoft.com/kb/283673/ ) Attivazione e disattivazione del firewall relativo a Internet in Windows XP
   Per ulteriori informazioni su Windows Firewall, visitare i seguenti siti Web Microsoft (informazioni in lingua inglese):
   http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx)
   http://technet2.microsoft.com/windowsserver/en/library/1dde6a20-c5d7-490e-a63f-54db94daaffb1033.mspx (http://technet2.microsoft.com/windowsserver/en/library/1dde6a20-c5d7-490e-a63f-54db94daaffb1033.mspx)

   Altre versioni di Windows

   Per le altre versioni di Windows, utilizzare Firewall di base, per i server con Windows Server 2003 che eseguono Routing e Accesso remoto, Microsoft Internet Security and Acceleration (ISA) Server 2000, per Windows 2000 o Windows Server 2003, oppure un firewall hardware o software di terze parti. Per ulteriori informazioni sui prodotti firewall di terze parti, visitare il seguente sito Web Microsoft:
   http://www.microsoft.com/italy/security/articles/fwbenefits.mspx (http://www.microsoft.com/italy/security/articles/fwbenefits.mspx)
2. Aggiornare il computer.
   Gli aggiornamenti della protezione forniscono una protezione tempestiva contro rischi di vulnerabilità, virus, worm e altre minacce. Le misure che possono essere adottate comprendono:
   1. Installare gli aggiornamenti della protezione per Windows e i relativi componenti, quali Internet Explorer, Outlook Express e Windows Media Player. A tale proposito, visitare il seguente sito Web Microsoft:
      Windows Update
      http://windowsupdate.microsoft.com (http://windowsupdate.microsoft.com)
      Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      311047  (http://support.microsoft.com/kb/311047/ ) Come mantenere aggiornato il sistema operativo Windows
      Nota Per Microsoft Windows NT Workstation, Windows 98, Windows 98 Seconda Edizione e Windows 95 è stata raggiunta la fine del ciclo di supporto. Gli aggiornamenti forniti per tali sistemi operativi sono disponibili negli archivi del sito Windows Update. Microsoft, tuttavia, non fornisce più supporto tecnico per tali release. Per questa ragione, per usufruire degli aggiornamenti automatici o delle altre funzionalità di protezione introdotte successivamente al rilascio di tali sistemi operativi, è necessario effettuare l'aggiornamento a Windows XP Professional o Windows XP Home Edition.
   2. Per installare gli aggiornamenti della protezione per i prodotti Microsoft Office, visitare il seguente sito Web Microsoft Office Update:
      http://office.microsoft.com/it-it/downloads/default.aspx (http://office.microsoft.com/it-it/downloads/default.aspx)
   3. Per installare gli aggiornamenti della protezione per altri programmi, richiedere informazioni in merito alla casa produttrice del programma. Per individuare gli aggiornamenti della protezione per altri prodotti Microsoft, visitare il seguente sito Web Microsoft:
      http://www.microsoft.com/italy/technet/prodtechnol/default.mspx (http://www.microsoft.com/italy/technet/prodtechnol/default.mspx)
      Su questo sito Web sono disponibili, ad esempio, gli aggiornamenti della protezione per Microsoft Internet Information Services (IIS), SQL Server o Exchange Server.
      
      Nota Gli amministratori di rete possono utilizzare MBSA (Microsoft Baseline Security Analyzer) per analizzare i computer con sistema operativo Windows da una postazione centrale alla ricerca dei più comuni errori di configurazione e per generare singoli rapporti sulla protezione per ciascun computer esaminato. L'esecuzione di MBSA può avvenire in computer con sistema operativo Windows Server 2003, Windows 2000 o Windows XP. Con MBSA è possibile effettuare la ricerca di vulnerabilità in computer con sistema operativo Windows NT 4.0, Windows 2000, Windows XP e Windows Server 2003 e di errori comuni della configurazione della protezione in Windows, Internet Information Services (IIS), SQL Server, Internet Explorer e Microsoft Office, oltre alla ricerca di aggiornamenti della protezione mancanti in Windows, IIS, SQL Server, Internet Explorer, Windows Media Player, Exchange Server ed Exchange 2000 Server.
      
      Per ulteriori informazioni su MBSA, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
      http://www.microsoft.com/technet/security/tools/mbsahome.mspx (http://www.microsoft.com/technet/security/tools/mbsahome.mspx)
   4. Se si esegue una versione di Microsoft Outlook precedente alla versione 2002, assicurarsi che sia installato l'aggiornamento della protezione della posta elettronica di Microsoft Outlook:
      • Per impostazione predefinita, questo aggiornamento della protezione è già incluso nei service pack successivi a SP2 per Outlook 2000 e in Outlook 2002 SP1.
      • Le service release di Outlook 2000 precedenti alla SR1 e Outlook 98 non includono questa funzionalità, che tuttavia è possibile ottenere installando l'aggiornamento della protezione della posta elettronica di Outlook. Per ulteriori informazioni su questo aggiornamento della protezione, visitare il seguente sito Web Microsoft:
        http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=96DF48A9-7638-429E-816E-35F16F6528CA (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=96DF48A9-7638-429E-816E-35F16F6528CA)
   5. Se si utilizza Outlook Express, prestare attenzione durante l'apertura di allegati di posta elettronica.
      • Per impostazione predefinita, l'accesso agli allegati è bloccato in Outlook Express 6 SP1.
      • Nelle versioni precedenti di Outlook Express (precedenti a Outlook Express 6) non era presente una funzionalità di blocco degli allegati. Prestare estrema attenzione durante l'apertura di allegati a messaggi di posta elettronica non richiesti.
   6. Disattivare l'esecuzione degli script attivi in Outlook e in Outlook Express.
      
      Nota Per impostazione predefinita, questa funzionalità è disattivata in Outlook Express 6 e Outlook 2002 e versioni successive. Per ulteriori informazioni su come disattivare l'esecuzione degli script attivi in Outlook Express, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      192846  (http://support.microsoft.com/kb/192846/ ) Disattivazione dell'esecuzione degli script attivi in Outlook Express
      Per ulteriori informazioni su come disattivare l'esecuzione degli script attivi in Outlook 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      215774  (http://support.microsoft.com/kb/215774/ ) OL2000: Script incorporati in messaggi HTML vengono avviati senza preavviso
      Per ulteriori informazioni sulle funzionalità di protezione antivirus in Outlook Express, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      291387  (http://support.microsoft.com/kb/291387/ ) Utilizzo delle funzionalità di protezione antivirus in Outlook Express 6
3. Utilizzare software antivirus aggiornato.
   Microsoft non fornisce software per il rilevamento o la rimozione dei virus informatici. Se si ritiene o si riceve la conferma che il computer è stato infettato da un virus, ricorrere a un prodotto software antivirus aggiornato. Per ulteriori informazioni sui fornitori di prodotti antivirus, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
   49500  (http://support.microsoft.com/kb/49500/ ) Elenco di fornitori di software antivirus
   I software antivirus contribuiscono a proteggere il computer dalla maggior parte dei virus, worm, Trojan horse e altri programmi dannosi. Molti computer vengono forniti con programmi antivirus preinstallati. In alternativa, è possibile acquistare e installare autonomamente un programma antivirus. È anche necessario mantenere aggiornato il software antivirus in uso.
   
   Note
   • Se nel sistema non è installato un programma antivirus, Trend Micro, Inc. offre gratuitamente un servizio di scansione antivirus in linea sul seguente sito Web di Trend Micro:
     http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php (http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php)
   • Se il programma antivirus non funziona più, reinstallarlo.
   • Scaricare il file di firme dei virus più aggiornato dal sito Web del produttore del programma antivirus. Per ogni nuovo virus, i produttori di programmi antivirus forniscono specifici aggiornamenti della protezione.
   • Dopo la rimozione di un virus, eseguire di nuovo la scansione del computer per assicurarsi che il virus sia stato effettivamente eliminato. Impostare il programma antivirus in modo che il controllo del sistema venga eseguito durante le ore notturne.
   • La presenza di una o più delle condizioni riportate di seguito potrebbe richiedere la formattazione del disco rigido del computer e la reinstallazione di Windows e di tutti i programmi:
     • Nel programma antivirus viene visualizzato un messaggio nel quale è specificato che il virus non può essere corretto o rimosso.
     • Il virus ha danneggiato o eliminato alcuni file importanti del computer. Questa condizione potrebbe essere presente se risulta impossibile avviare Windows o altri programmi o se durante l'avvio vengono visualizzati messaggi di errore in cui è segnalato che alcuni file sono danneggiati o mancanti.
     • I sintomi descritti in questo articolo persistono anche dopo la pulitura del computer e si è certi che i problemi sono causati da un virus.