Symantec Italia
siti globali
prodotti e servizi
acquisto
supporto
partner
security response
downloads
informazioni su Symantec
ricerca
feedback


© 1995-2008 Symantec Corporation.
All rights reserved.
Note legali
Politica sulla privacy
Privati e Professionisti

Come funzionano gli antivirus?

L'antivirus è un po' come l'angelo custode del computer: controlla il suo stato di salute, lo protegge dagli attacchi dei virus e ripara gli eventuali danni causati dai virus stessi. In altre parole, è uno strumento di cui non si può fare a meno. Ma come riesce a rilevare ed eliminare i virus? Perché è necessario aggiornarlo? È in grado di riparare tutti i file infetti? Continuate a leggere per scoprire come funziona veramente un programma antivirus.

Più dispositivi di protezione
Il programma antivirus protegge il computer in molti modi con sistemi più o meno visibili. Uno dei sistemi più comunemente usati dai programmi antivirus consiste nella scansione del computer. Questa procedura, che può essere avviata dall'utente o eseguita ad intervalli regolari, permette di analizzare tutti i file in una sola volta e di verificare che non contengano virus. Questa operazione è particolarmente utile in caso di presenza sospetta di un virus. L'utente può configurare il programma in modo che analizzi tutti i file o solo quelli contenuti sui dischi floppy.
Durante la scansione, l'antivirus ricerca le tracce dei virus mediante il suo database di firme. Al pari di altri programmi eseguibili, i virus sono costituiti da più codici. Ogni volta che viene scoperto un nuovo virus, i produttori di programmi antivirus ne registrano il codice, chiamato anche "firma", e lo inseriscono nei database dei loro programmi. Questo codice o firma è costituito da una serie di caratteri incomprensibili per l'utente ed identificabili solo dal computer.

Esempio: X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Se si copiano queste righe in un file di testo e si salvano come file eseguibile con estensione .com, il programma antivirus identificherà il file come virus, perché i codici utilizzati sono contenuti nel suo database.

Monitoraggio in tempo reale
La scansione permette di avere un quadro immediato della situazione in un dato momento. Tuttavia, per fornire una protezione costante e in tempo reale, il programma antivirus adotta anche altre precauzioni, effettuando ad esempio un controllo in background. Questa funzione, chiamata anche “monitoraggio” è sempre attiva, anche se non visibile. Lo scopo di questa funzione è quello di controllare tutti i file in entrata e in uscita nel/dal computer e di analizzare i nuovi documenti che vengono salvati su un disco floppy, scaricati o inviati per posta elettronica. Questa funzione di monitoraggio costante permette di tenere a bada tutti i possibili virus. Anche questa funzione, come la scansione, utilizza un database di firme. Se il database non viene aggiornato, il programma non è in grado di rilevare i virus più recenti. Purtroppo molti utenti non effettuano l'aggiornamento regolarmente oppure non lo effettuano alla frequenza richiesta. Un ritardo nell'aggiornamento potrebbe rivelarsi deleterio: a fine di agosto, ad esempio, sono improvvisamente comparsi tre virus di livello 3 e 4.
Le firme non sono, tuttavia, sempre sufficienti, poiché i virus polimorfici tendono a cambiare la firma dopo ogni infezione. Questo tipo di virus è particolarmente difficile da rilevare con le firme.
Per risolvere questo problema, i produttori di virus hanno sviluppato un sistema di ricerca euristico. Questo sistema, che è indipendente dalle firme, utilizza una tecnologia ad intelligenza artificiale per rilevare i nuovi virus, individuando in particolare, gli schermi considerati anomali per una normale applicazione.

Esempio: quando si avvia un normale programma, il sistema ricerca le opzioni corrispondenti nella riga di comando. Il comportamento dei virus è leggermente diverso poiché ricercano i file eseguibili per potersi moltiplicare, per potersi copiare direttamente sul disco o per tentare di decifrare il codice crittografato iniziale (nel caso specifico dei virus polimorfici), ecc. Se il programma antivirus rileva un'applicazione che contiene numerose anomalie (ad esempio un'applicazione che contenga il codice per la formattazione del disco fisso), genera immediatamente un avviso. I programmi antivirus sono in grado anche di bloccare i virus sconosciuti la cui firma non è ancora contenuta nel database. La probabilità di falsi allarmi (legati ad esempio al rischio di identificare come possibile virus un programma per la formattazione del disco rigido) viene minimizzata tramite l'uso di altri strumenti, come il controllore di integrità. Questo strumento controlla costantemente alcune costanti software (ad esempio le dimensioni, la data di creazione, ecc.). Se questi dati risultano modificati, è possibile che sia presente un virus.

Riparazione immediata
Appena rileva un virus, il programma mette il file che lo contiene in quarantena per evitare che il virus possa moltiplicarsi. Quindi, cerca di eliminare il codice del virus e di riparare le parti danneggiate. Questa operazione è possibile solo se il virus si è moltiplicato aggiungendo il proprio codice a quello di una o più applicazioni. Alcuni virus però infettano tutti i file rendendone impossibile il recupero. In questo caso, il programma antivirus mette in quarantena il file e suggerisce all'utente di cancellarlo.


Burçin Gerçek.