Internet security center

Perché i cybercriminali tentano di combattere i software antivirus

Per poter infettare un computer con software nocivo, i cybercriminali devono:

  • Invogliare l'utente ad eseguire un file infetto, oppure
  • Tentare di penetrare nel computer della vittima, attraverso una vulnerabilità del sistema operativo o di un'applicazione in esecuzione sul computer

Allo stesso tempo, i cybercriminali più professionali tentano anche di assicurarsi che il loro malware sfugga al software antivirus in esecuzione sul computer della vittima.

Tecniche utilizzate per combattere i software antivirus

Per aumentare le probabilità di raggiungere i loro obiettivi, i cybercriminali hanno sviluppato svariate tecniche per combattere le attività dei software antivirus, fra cui:

  • Code packing e crittografia
    La maggior parte dei worm e dei virus trojan è "packed" (nascosta all'interno di pacchetti) e crittografata. Gli hacker progettano anche utility speciali per il packing e la crittografia. Ogni file Internet elaborato con CryptExe, Exeref, PolyCrypt e altre utility è risultato nocivo.

    Per poter rilevare i worm e i trojan inseriti in pacchetti e crittografati, il programma antivirus deve aggiungere nuovi metodi di decompressione e decrittografia oppure aggiungere nuove firme per ogni campione di programma nocivo.
  • Mutazione del codice
    Combinando il codice di un virus trojan con istruzioni di "spam", in modo che il codice assuma un aspetto diverso pur mantenendo la propria funzionalità originale, i cybercriminali tentano di camuffare i loro software nocivi. La mutazione del codice avviene in tempo reale, ogni volta o quasi che il trojan viene scaricato da un sito Web infetto. Il worm e-mail Warezov impiegava questa tecnica e ha causato alcune gravi epidemie.
  • Tecniche di mascheramento
    Le tecnologie rootkit, generalmente impiegate dai virus trojan, possono intercettare e sostituire alcune funzioni di sistema per rendere invisibile il file infetto al sistema operativo e ai programmi antivirus. A volte vengono nascosti persino i rami del registro di sistema in cui si annida il trojan, oltre ad altri file di sistema. Il trojan backdoor HacDef è un esempio di codice nocivo che impiega queste tecniche.
  • Blocco dei programmi antivirus e degli aggiornamenti dei database degli antivirus
    Molti virus trojan e worm di rete cercano attivamente i programmi antivirus nell'elenco delle applicazioni attive sul computer della vittima. A questo punto il malware tenta di:
    • Bloccare il software antivirus
    • Danneggiare i database dell'antivirus
    • Impedire il corretto funzionamento dei processi di aggiornamento del software antivirus
    Per sconfiggere il malware, il programma antivirus deve difendersi controllando l'integrità dei propri database e nascondendo i propri processi ai trojan.
  • Mascheramento del codice in un sito Web
    I produttori di antivirus vengono rapidamente a conoscenza degli indirizzi dei siti Web contenenti file di virus trojan e i loro analisti di virus possono quindi studiare il contenuto di questi siti e aggiungere il nuovo malware ai loro database. Tuttavia, per contrastare la scansione antivirus è possibile modificare una pagina Web in modo che, quando le richieste vengono inviate da un produttore di antivirus, venga scaricato un file non trojan al posto di un trojan.
  • Attacchi in "massa"
    In un attacco in massa vengono distribuite su Internet grosse quantità di nuove versioni di un trojan in un lasso di tempo molto breve. Di conseguenza, i produttori di antivirus ricevono una quantità enorme di nuovi campioni da analizzare. Il cybercriminale spera che il tempo impiegato per analizzare ogni campione dia al proprio codice nocivo la possibilità di penetrare nei computer degli utenti.

© 1997 - 2014 Kaspersky Lab ZAO.

Produttore leader di Software Antivirus.
Kaspersky Lab Italia - P.IVA 09923201009