Gli antivirusattuali basano la loro capacità di cattura di virus sul riconoscimento di firme (riconoscimento di un frammento di codice tipico di uno specifico virus) ma anche, vista la frequenza dei virus polimorfici (che cambiano casualmente parte del loro codice) sulle tecniche euristiche, cioè sul riconoscimento dei comportamenti malevoli.
In altri termini, un programma che riconosca decodificandole le password di accesso ai siti del vostro programma di trasferimento FTP verrebbe probabilmente etichettato come infetto da almeno metà degli antivirus a disposizione. Se poi l’exe è stato crittato per difesa e/o compresso l’identificazione come minaccia è scontata, di solito con la tipica dicitura “probabilmente una variante di Win32.Hack” o qualcosa di simile.
Gli antivirus di oggi non sono come quelli di una volta, che quando dicevano che si trattava di un virus così era.
Per questo motivo prendono sempre più piede i sandbox (ambienti protetti, tipo macchine virtuali) in cui eseguire senza rischio i programmi sospetti ed i siti che offrono l’online scanning di file sospetti come Jotti, NoVirusThanks, virustotal e ThreatExpert sono diventati un riferimento: su questi siti si può proporre un file sospetto perché sia analizzato da una ventina o più di antivirus, in modo da avere un quadro complessivo e decidere in base alla percentuale di riconoscimento come minaccia.
Chi produce software, ad esempio utilità di sistema, si trova oggi ad affrontare un problema in più: con buone probabilità il suo strumento verrà trattato come sospetto nel migliore dei casi, ed anzi più è utile (nel senso di sofisticato, in grado di interagire profondamente con il sistema) più sarà probabile che venga marchiato come truffaldino.
Per questo motivo ma anche e soprattutto per le esigenze degli hacker, produttori di software effettivamente malevolo, nascono gli UnDetector: si tratta di EXEPacker o compressori che oltre a ridurre le dimensioni del software per agevolarne la distribuzione e ridurne i tempi di carico, lo trattano in modo da mascherarne gli effettivi comportamenti. E qui la fantasia si sbizzarrisce e si vedono applicati schemi creativi che vanno dal crittaggio del programma (elemento base) all’aggiungere uno stub (un pezzo di eseguibile in avvio che appare del tutto innocente), a includere nell’eseguibile distribuito altri eseguibili che vengono scompattati ed eseguiti contemporaneamente a quello interessato, a mettere in atto misure che riconoscendo un sandbox impediscono al programma di eseguire in tale modalità.
Strumenti di questo tipo sono liberamente scaricabili e molti di questi sono a loro volta malware, nel senso che nei programmi trattati introducono backdoor o troiani che poi mettono il computer su cui l’eseguibile gira in effettiva balia dell’autore dell’UnDetector.
Per questo vi sono versioni “private” di questi strumenti: si possono comprare dall’autore con la garanzia che la versione cedutavi è unica, quindi la sua circolazione dipende solo da voi. Come è chiaro, meno un programma di questo tipo circola e meno probabile che qualche antivirus ne riconosca il comportamento.
Queste poche righe dovrebbero far capire come nessun antivirus possa rendere completamente sicuro un pc: occorre avere anche almeno un firewall hardware e magari anche uno software, usare un sandbox, ricorrere a strumenti di analisi esterni e mantenere un comportamento “sano”, evitando i rischi fin troppo diffusi.