No. O comunque praticamente mai nel real world. Un virus potrebbe (ma per ora non esiste nessun virus simile) cancellare il bios della scheda madre dalla EEPROM (una memoria riscrivibile elettricamente via software), sempre se la EEPROM non è protetta dalla scrittura (tali EEPROM hanno un apposito interruttorino o "jumper" con due posizioni, PERMETTI CANCELLAZIONE e IMPEDISCI CANCELLAZIONE. Quale delle due mantenere è lasciato al buon senso dell'utente).
In caso di cancellazione, è quasi sempre possibile ripristinare la EEPROM con
un disco di boot apposito, che è buona norma avere pronto.
Alcune schede madri non permettono la possibilità di fare questo ripristino di
emergenza, o non hanno il "jumper" (che è quindi, sempre, in posizione
di PERMETTI CANCELLAZIONE) e sono un ottimo esempio di prodotto che non dovrebbe
essere mai comperato.
Nel caso avvenga il danneggiamento per sovrascrittura della EEPROM del BIOS, è quasi sempre possibile ottenerne una nuova dal produttore/importatore/distributore della scheda madre, o molto semplicemente farsi riprogrammare la eeprom stessa (se avete un amico/conoscente con l'identico BIOS o avete accesso ai files con le immagini delle EEPROM).
Sono virus che in grado di nascondersi (più o meno bene) agli utenti e agli antivirus, per esempio disinfettando temporaneamente i files che vengono controllati dagli antivirus. Per questo è sempre una buona abitudine fare scansioni periodiche dell'hard disk dopo avere caricato il DOS da un disco di boot sicuramente pulito e protetto da scrittura, altrimenti alcuni virus potrebbero sfuggire al controllo.
Intanto in AVP e nelle versioni registrate di tbav e f-prot (la versione gratuita di questo non ha le descrizioni aggiornate), e poi:
La risposta standard è "Se devi chiederlo allora non ne hai veramente bisogno". A questa domanda dovrai rispondere da solo, e se non riesci a trovare dei virus sulla rete probabilmente potresti solo correre il rischio di infettare il tuo computer e quello di altre persone per errore.
La cosa migliore da fare è toglierli - e subito - di torno. Comunque la prima
avvertenza da avere con i file infetti, se sono eseguibili, è di cambiare loro
l'estensione: INFETTO.COM può diventare INFETTO.COX e VIRUS.EXE diventare VIRUS.EXX.
Così si eviterà almeno di lanciarli per sbaglio, visto che alcuni sistemi operativi
(o presunti tali) permettono di lanciare dei programmi con _un_ solo click.
Inoltre sarebbe bene comprimere (con utilità tipo PkZIP, ARJ, RAR, ecc.) questi
file di test ed archiviarli su disco rimuovibile.
Questo comando riscrive il codice contenuto nell'mbr (il primo settore dell'hard disk di boot), quello che solitamente carica il sistema operativo in memoria con il loader standard del dos. Il comando è presente a partire dal DOS 5 e non è documentato nei manuali.
In molti casi può essere usato per eliminare un virus, ma se usato per combattere
alcune infezioni può essere letale per i propri dati:
certi virus crittografano la tavola delle partizioni (sempre contenuta nel primo
settore del disco) e la decriptano al volo quando un programma cerca di leggere
il settore. Se si cancella il virus quindi si cancella anche il codice per decriptarla
e ci si ritrova con un hard disk inservibile, a meno di essere capaci a ricostruirla.
Inoltre può causare problemi nel caso che siano stati installati boot manager come DiskManager, OnTrack e lilo, oppure particolari software di protezione del disco dagli accessi non consentiti.
Notate che questo comando *non* cancella le informazioni di partizionamento (che stanno nella tavola delle partizioni, che costituisce l'ultima parte del primo settore dell'hard disk) o i dati contenuti nel disco, ma riscrive solo il codice che carica il DOS (l'MBR, che è situato prima della tavola delle partizioni) con quello standard.
No, no e poi ancora no. Ogni tanto viene postato in usenet un messaggio che mette
in guardia da particolari virus che si trasmetterebbero attraverso la lettura
di messaggi di email infetti.
Questi virus non esistono e non possono esistere, visto che Internet è un sistema
inter-piattaforme, e quello che per Windows 95 è un virus, per Unix è solo un'accozzaglia
di bytes senza nessuna possibilità di essere mai eseguito.
Ovviamente è sempre possibile che un messaggio contenga, uuencodato o codificato
con MIME, un documento di WinWord contenente un macro virus.
Oppure un file eseguibile, sempre in allegato, corredato di ampie spiegazioni
sul perché voi dobbiate eseguirlo. Beh, NON FATELO.
Se pure dicesse che è un antivirus, che è un driver che scatena tutta la potenza
della CPU, decuplica le prestazioni, guarisce il cancro e porta la pace nel mondo,
NON, NON, NON ESEGUITELO.
Stesso discorso per le news, non è possibile essere infettati semplicemente leggendo
un newsgroup, a meno che il vostro newsreader non decodifichi ed esegua automaticamente
i programmi codificati con MIME che incontra (che è l'equivalente di una porta
blindata che si apra automaticamente all'avvicinarsi di CHIUNQUE, sia voi che
un ladro).
Se il vostro software procede così, allora /meritate/ di essere infettati, per
il semplice motivo di usare un programma che fa una cosa così stupida.
(Quindi mai fidarsi dei programmi che trovate in giro, sopratutto dalle parti di alt.binaries.warez.* ...)
Ogni tanto esce qualcuno che spedisce un messaggio che avverte di un possibile virus chiamato Good Times che si trasmetterebbe via email. Bene, questo virus non esiste, e se cercate bene troverete anche una faq che spiega perché è un falso.
Ora, però, la situazione è cambiata. Dopo tre anni in cui tutti si sono convinti
che il Good Times è una burla, è uscito un VERO virus che attacca i sistemi Windows.
Si chiama Win.RedTeam.
Il virus invia una email CON ALLEGATO. Per nessun motivo eseguire questo allegato,
neanche se vi promette di essere un antivirus potentissimo che trasforma il PC
in una fortezza ed il gatto di casa in Claudia Schiffer.
Bravi polli! Se NON avete ancora resettato il computer, siete ancora al sicuro.
Andate su Avvio\Trova File e cercate EXTRACT.EXE.
Segnatevi la directory dove si trova; è C:\WIN95 o C:\WINDOWS\OPTIONS\CABS.
Andate su Avvio e riavviate il computer IN MODALITÀ MS-DOS, dopo esservi
stampati o annotati questa pagina
Date il comando
CD C:\WIN95 (oppure CD C:\WINDOWS\OPTIONS\CABS) e poi il tasto INVIO
Date il comando
extract /A WIN95_02.CAB KRNL386.EXE e poi il tasto INVIO
Date il comando
COPY KRNL386.EXE C:\WINDOWS\SYSTEM e poi il tasto INVIO
Okay. Per questa volta ce l'avete fatta.
8.7.2) Ho eseguito l'allegato; non ho Windows 95, oppure ce l'ho ma ho riavviato
la macchina, oppure l'ho spenta ieri sera e poi solo oggi ho letto le FAQ...
Spiacenti. Vi serve un antivirus efficace, oppure dovete formattare il disco e
reinstallare tutto. Vedi alla voce "Quali Antivirus".
Molte volte viene distribuito insieme anche un avviso di un virus chiamato PKZIP300.ZIP,
che invece è un vero trojan, visto che per ora l'ultimo PkZip uscito è il 2.04g.
Per saperne di più visitate
http://ciac.llnl.gov/ciac/bulletins/h-05.shtml
Sono virus scritti con i comandi macro di un'applicazione (per esempio WinWord o Excel) e contenuti in documenti che non sono di per sé files eseguibili. A volte un macro virus può immettere nel sistema e attivare un normale virus.
Sì, si può mettere un virus dentro al file di un'immagine come si può metterlo dentro a qualsiasi file di dati, però non sarà mai eseguito, visto che le immagini sono dati da visualizzare e non codice che deve essere eseguito dalla CPU.
Possono esistere GIF o JPEG "malicious", capaci di bloccare il sistema quando li si apre, ma è sufficiente cancellarli; non sono in grado di riprodursi.
Secondo voci non confermate, una particolare (e difettosa) gestione della dimensione
di una memoria temporanea consentirebbe ad un file GIF di prendere il controllo
della macchina sotto Windows 95 con la versione 4.xx di Internet Explorer. Questo
tipo di "scherzi", detti "buffer overruns", esiste in vari
programmi... ma sfruttarli è una cosa estremamente difficile, perché, *di solito*,
non esistono due macchine che reagiscano nello stesso identico modo.
Può essere, forse, - ma non garantisco - una buona idea installare un programma
chiamato "Norton CrashGuard", che rende Win 95 un poco più stabile e
"para" alcuni buffer overruns.
Dentro un file ascii potrebbe nascondersi una bomba ANSI (una sequenza di controllo
che rimappa alcuni tasti della tastiera in modo che compiano operazioni dannose,
tipo formattare l'hard disk) che si attiverebbe mentre viene visualizzato sullo
schermo.
Il miglior modo per tutelarsi è usare al posto dell'ANSI.SYS distribuito con il
DOS un driver che non permetta la ridefinizione dei tasti (se ne trovano sui siti
FTP dedicati ai programmi dos e sulle BBS).
Per sapere se avete l'ANSI installato, aprite il file C:\CONFIG.SYS con un editor
(EDIT, NOTEPAD, ecc.); se vedete una linea che inizia con
DEVICE=...
e finisce con
...ANSI.SYS
allora sì, avete l'ANSI installato. Se no, no (esistono ANSI residenti, non devices,
ma di solito non implementano la ridefinizione dei tasti).
In *NESSUN* modo un virus può /installarsi/ in memoria semplicemente eseguendo
dir, e tantomeno infettare altri programmi.
Invece succede che se si fa il dir di un disco, il suo bootsector viene letto
dal DOS e messo in un buffer all'interno della sua area dati (ma *NON* viene eseguito,
in nessun caso), e se quindi nel disco c'è un virus di boot il suo codice sarà
trovato in memoria (ma non certo sull'hard disk) da un antivirus eseguito subito
dopo; ma questo non significa che il PC sia stato infettato.
No. Però se uno dei files è infetto, e hai abbastanza buffers aperti, è possibile (perché vengono usati in rotazione) che i codici del virus rimangano, per un po' di tempo, intatti in uno di questi buffers.
I buffers non sono mai eseguiti e quindi il rischio è zero, ma un antivirus non può sapere a cosa serve la memoria che sta in quel punto. Perciò, quando fa l'analisi della memoria, vede un rimasuglio di codice virale e dà l'allarme.
È un fenomeno simile a quello per cui dare DIR di un dischetto infetto può far sembrare che ci sia un boot virus attivo nella memoria centrale (v. 8.10).
Qualsiasi operazione che riempia o svuoti tutti i buffers (come il dezippaggio di un file più grosso, o uno scandisk) dovrebbe magicamente far cessare l'allarme.
Torna in alto
Torna all'indice delle FAQ
Pagina precedente - Pagina successiva
Virus FAQ - it.comp.sicurezza.virus - versione HTML by Carlo Carmagnini
No copyright 1999 CarCar - Carlo's Homepage - carcar.zt.it (già www.tccity.net/carcar/)