I virus possono essere di tipo TSR (Terminate and Stay Resident), cioe' residenti in memoria. Una volta caricati (lanciando per esempio un programma infetto), si fissano nella memoria centrale (RAM, Random Acces Memory) del computer, e ne assumono il controllo. All' interno dei PC esiste un tipo di memoria non accessibile all' utente direttamente. Si tratta della ROM (Read Only Memory) che e' un tipo di memoria accessibile unicamente in lettura. Il che' significa che non e' in alcun modo modificabile da alcun programma. Questa memoria contiene il BIOS (Basic Input Output System), che e' un programma - o meglio una serie di programmi - che si occupa di gestire le operazioni fondamentali della macchina. E' il BIOS ad esempio che - all' accensione della macchina - legge il primo settore del floppy disc (se presente) o dell' hard disk alla ricerca del record necessario per caricare il sistema operativo vero e proprio. E' il BIOS che accede alla memoria centrale (RAM). E' il BIOS che 'legge' i caratteri digitati alla tastiera e che li 'riscrive' a video. Tutte queste funzioni sono gestite da programmi del BIOS che vengono chiamati 'servizi'. Questi servizi vengono richiamati mediante 'interrupts' (interruzioni). Un innterrupt e' - come si intuisce dal nome - una interruzione momentanea di cio' che stava eseguendo la macchina, per poter eseguire qualcosa di piu' importante. Ad esempio, quando viene premuto un tasto, viene generata un' interruzione di tipo hardware, cioe' l' hardware (in questo caso la tastiera) richiede l' attenzione della macchina affinche' venga gestito l' evento 'tasto premuto'. Qualsiasi cosa fosse in esecuzione in quel momento, viene sospesa, viene gestito l' evento 'tasto premuto', e, successivamente viene ripresa l' esecuzione dal punto in cui era stata interrotta. Esistono vari tipi di interruzione, ed ognuno di questi e' necessario per gestire un evento particolare, come la lettura dei tasti premuti, la scrittura su video, la scrittura su disco, la lettura della memoria centrale e cosi' via. Bene, il virus di tipo TSR, una volta installatosi nella memoria centrale, intercetta tutti gli interrupt del sistema, e, prima di richiamare i programmi che gestiscono un dato interrupt, lancia se stesso. Successivamente chiama il programma che doveva essere eseguito, in modo da nascondere la sua attivita in sottofondo. Queste tecniche funzionano solo in ambiente MsDos, pertanto sono innocue in ambiente Windows 95 ad esempio. Attenzione pero' che se viene aperta una finestra Dos in ambiente windows, il virus continua ad essere pericoloso (una finestra Dos, simula appunto un sistema MsDos).

Ogni virus e' identificabile tramite la sua 'stringa di identificazione', che e' una sorta di impronta digitale del virus, ed e' composta solitamente dalle prime righe di codice del programma (ricordiamoci che un virus non e' altro che un programma). Bene, molti virus cercano di mimetizzarsi, crittogafando il proprio codice, in modo da non essere identificati dagli antivirus! I virus di questo tipo possiedono un algoritmo di crittografia che crittografa il corpo del programma, e lo decrittografa unicamente un istante prima di essere eseguito. Ogni volta che viene lanciato, il virus crittografa se stesso, ogni volta in modo diverso. L' algoritmo di crittografia pero' rimane sempre lo stesso, ed e' quindi identificabile dagli antivirus.

Esistono pero' dei virus di tipo polimorfico, che possiedono un algoritmo che modifica il corpo della routine di crittografia ad ogni esecuzione! Ad ogni nuova infezione, la routine che si occupa della crittografia del virus viene cambiata.

      Home  Pag. prec.       Chi siamo?  Scrivici!

Copyright © 1998-2005 Wowarea