febbre da virus · 2010-02-04 · mondo pc avessi già sentito da qualche tempo parlare dei virus e...
TRANSCRIPT
MACINTOSH---------------------liiiiiiiiiiiiiiii.-------------~d:;ijR;:a::ff7.fa:::e-:;;lI~o~D;:;-e:::-;M~as:i
Febbre da virusUna panoramica sui virus presenti nel mondo Mac
prima parte
Mia nonna, grande saggia cometutte le nonne del mondo, (eroin terza media e mi aveva visto
«studiare» troppo spesso con la miacompagna di banco) mi disse un giorno.'«Stai attento, nipote mio, che presto otardi se non è già successo, ti becchi unmalanno che non va via con le medicineche vendono i farmacisti I». Cosa chepoi puntualmente successe, e che perla verità ha avuto una serie innumere-voli di ricadute, tanto che mia nonna,che ormai è nell'altro mondo da venti-cinque anni, si sarà più volte chiesta co-me questo suo nipote dalla mole e dallespalle di peso massimo si ammali casifacilmente di questo male antico, che,meno male, non ha mai fatto male anessuno I
A parte questa malattia ricorrente dacui, per la verità, non ho mai, comun-que, sentito il bisogno di chiedere al Pa-dreterno di liberarmi, la salute di ferroche finora mi ha accompagnato mi hapermesso di scorrere metà della mia vi-ta (almeno lo spero, che sia la metà)senza neppure il classico raffreddore.Mal di testa, sì, e parecchi, per causeorganiche, finanziarie, di lavoro, e cosìvia, ma, nient'altro, anche se sono for-tunosamente scampato a manicaretti dialta cucina della mensa universitaria e diquella militarel Ed ecco che una mattinaaccendo il mio amato Mac (all'epoca eraun SE con una ventola che pareva unoSpitfire in picchiata) e mi ritrovo con unamacchina incontrollabile che si rifiutavadi aprire applicazioni, sparava bombemeglio di Rambo, e a un certo momen-to si puntò e non volle saperne di con-cludere più alcunché.
Era la fine dell'87 e, sebbene nelmondo PC avessi già sentito da qualchetempo parlare dei virus e dei problemirelativi, il mondo Mac, almeno il mio, neera rimasto fino ad allora immune. For-tunatamente avevo a portata, da buonaformica previdente, un antivirus, dal si-
MCmicrocomputer n. 104 - febbraio 1991
gnificativo nome di Assassin, fornitomida un collega di lavoro, e, come si suoidire, per quella volta parai la botta, madevo confessare che mi sono sentito inun certo qual senso defraudato comechi, non avendo mai posseduta un'au-tomobile, si vede recapitare a casa unamulta per divieto di sosta.
Fatte le debite ricerche nel mio archi-vio di dischetti scoprii che il focolaiod'infezione era in un dischetto di publicdomain, ricevuto da un collega univer-satario, e contenente alcune utilitv; co-stui avvisato cercò di risalire nella scalaper capire la precedente provenienza,ma questa specie di catena di S. Anto-nio non portò ad alcuna conclusione.
/I virus di cui risultai infetto era unnVir, lo ricordo con chiarezza; non eraneanche tanto cattivo, visto che le ap-plicazioni rifunzionavano di nuovo se ap-pena uno era capace di giocherellarenelle risorse con il ResEdit; ma la cosami dispiacque soprattutto perché diven-
La testata dello 5tack« The Virus Encyclopae-dia ", un volume Hyper-card, scritto da Henry5chmitt per un UserGroup di Chicago, cheraccoglie, in manieraesauriente e ordinatatutte le notizie attual-mente disponibili sul fe-nomeno virus. È unostack «sharewarell,che, pur nella sua strin-gatezza, risulta esau-riente e costruito conordine e criteri informa-tivi ben chiari Il simboloche compare sul libro èquello internazionaleadottato nella lolta con-tro l'A 105.
ni senza colpa, l'untore dell'istituto, fa-ma che ho faticato molto a scrollarmi didosso. Ne ho approfittato per farmi unacerta cultura nel campo delle infezionitanto da essere divenuto, oggi, un po' ilPasteur dei miei amici. Ecco, in breve,quanto sono riuscito a mettere insiemein un periodo di tre anni I
Gli attrezzi dell'untoreCome si manifesta generalmente, su
Mac, una infezione da virus? «Tot capi-ta, tot sententiae», come dicevano i la-tini. Generalmente l'applicazione, nelbel mezzo del suo funzionamento, si«congela», si blocca, e per riutilizzare lamacchina occorre resettare e ricomin-ciare daccapo. Solo che questo difetto,per nostra fortuna (o sfortuna) non di-pende solo da infezioni; spesso abbia-mo sovraccaricato il sistema di font,FKey e DA, magari abbiamo giocherel-lato con il Multifinder, dimenticando che
221
MACINTOSH
Un «albero" di analisi del fenomeno Virus, ricavato dalla stessa pubblicazione
non è il pozzo di S. Patrizio, oppure ab-biamo caricato più INIT dei missili delcomandante Samarov in assetto diguerra su «Ottobre Rosso».
Un altro sintomo è la continua sban-data in bomba, con ID sempre diversi.Qui la diagnosi riesce ad essere più pre-cisa e il probema più circoscrivibile se siconsidera che, generalmente, errori dimalfunzionamento di una applicazionedanno sempre lo stesso ID number,mentre una infezione da virus, per i mo-tivi che diremo in questo stesso articoloe in quello del mese prossimo, possonodare, volta per volta, messaggi d'errorediversi.
Un terzo guaio è quasi sempre sinto-matico di infezione; durante il lancio diuna applicazione, il sistema si blocca enon dà più segni di vita o reazione; que-sto avviene anche con il System e an-cora di più col Finder; nel primo casocompare il ben noto «Sad Mac» che,nelle ultime macchine, è accompagnatoda un accordo in mi minore niente ma-le! Una variazione sul tema è la diffi-coltà di stampa, soprattutto da parte diprogrammi di grafica e di spreadsheet;un'altra, più curiosa, è il ritorno al Finderquando si lancia una applicazione!
Ma qualunque sia il sintomo, una in-fezione da virus, specie se si dispone diun HD di discreta potenza, è cosa per lomeno seccante. Questo non tanto per ilpericolo insito nella infezione stessa(come vedremo, nella maggior parte deicasi, non ci sono grossi problemi a li-berarsi di questi ospiti sgraditi), quantoper il talora tedioso lavoro di esame espulciatura di tutto il contenuto dell'HD;infatti, come prevedibile, occorre elimi-nare tutti, ma proprio tutti i residui viralidalla macchina per essere sicuri che,presto o tardi, il problema non si ripre-
222
senterà. Alcuni considerano i virus conocchio benevolo, come simpatici avver-sari con cui combattere e sui quali vin-cere; d'altro canto, poiché nella stra-grande parte dei casi, i virus attaccanole applicazioni e non i file dati, sarebbesufficiente rimpiazzare tutte le applica-zioni infette per risolvere il problema!Ma si tratta di un lavoro seccante, a dirpoco, e resta sempre il dubbio che l'o-perazione di pulizia non sia proprio statafatta a dovere. Non sempre, poi, la cosaè fattibile; parlo della stupida protezioneche certi programmi hanno, che con-sente un numero limitato di installazioni(spesso solo una) su HD. Così, quando,ad esempio, Excel o Word si ammala,siamo nei guai I
Macintosh e il suo software possonoessere attaccati da tre categorie princi-pali di agenti infettivi, che, pittoresca-mente (e anche con un occhio alle loromodalità di funzionamento) prendono ilnome di cavalli di Troia, vermi e virusveri e propri. La differenza sta nelle mo-dalità di attacco e di «funzionamento».
Molti utenti Macintosh ricorderanno,forse anche amaramente, uno stackHyperCard che ebbe una gran fortuna,anche in funzione del soggetto che trat-tava, Sexy Ladies (che, sicuramente inbuona fede, fu distribuito per un certoperiodo gratuitamente anche da un paiodi organizzazioni di freesoftware). Men-tre l'ignaro utente navigava tra immaginipiù o meno piccanti, una parte del co-dice provvedeva a cancellare settori susettori dell'HD. Questo è un esempio dicavallo di Troia.
Per definizione, quindi, un cavallo diTroia è un programma vero e proprio,caricato intenzionalmente dall'utente,ma che ha alcune funzionalità che re-stano nascoste all'utente fino a che se
ne accorge a sue spese. Esso può faredi tutto; lanciare messaggi, mandare inbomba programmi, o cancellare infor-mazioni. Ciononostante, almeno nellaloro eccezione iniziale, non si propaganoe, una volta localizzati e cancellati, l'a-zione di danno si blocca e scompare.
I vermi agiscono proprio come gli ani-ma letti di cui portano il nome, si trattadi «pieces» di programma che scavanouna strada nelle memorie; in pratica ilprogramma cancella parti del disco rigi-do come un lombrico che scava nel ter-reno. Essi non abbisognano di un ospite(un programma su cui attaccarsi) per so-pravvivere. Si tratta di una infezione po-co nota su Mac; la più grave infezione,da parte di un verme (il tristemento no-to Fall 1988) avvenne un paio di anni fa,quando una serie di macchine UNIX go-vernative, legate in rete, furono infetta-te e parzialmente disabilitate nel giro diun solo giorno.
I virus sono la categoria più «cattiva»del gruppo. Essi sono generalmente co-struiti con due finalità; quella di propa-garsi e quella di fare qualcosa.
Il nome non è stato dato a caso.Quando un dischetto infetto viene lan-ciato, l'applicazione che contiene il viruspassa nella memoria centrale e di qui siattacca, riproducendosi, ai file di siste-ma. Da questa posizione privilegiata do-mina la scena, incollandosi alle applica-zioni che successivamente vengonolanciate, inserendo un codice «virulen-to» nel «resource fork» dell'applicazio-ne stessa.
Fin qui, ancora nulla di pericoloso, an-che se non può far certo piacere che,con le dovute differenze, un parassita,ancorché innocuo, ci si moltiplichi ad-dosso. Ma qui subentra la seconda fun-zione, stabilita dal programmatore.
Il 2 marzo 1988, mercoledì, primo an-niversario della nascita della serie Il delMac, molti utenti saranno rimasti stupi-ti, accendendo la loro macchina, di tro-vare un messaggio del tipo «Peace inthe World». Il messaggio ricomparivaogni volta al reboot della macchina. Sitrattava di un virus commissionato daRichard Brandow, l'editore canadesedella rivista MacMag, ad un noto pro-grammatore dell'Arizona, Drew David-son, che si autocancellava dopo questadata senza da're più problemi. Ambeduegli autori dello scherzo (che poi di scher-zo, peraltro di buon gusto, si trattava)non negarono mai, sotto alcuna forma,la paternità del virus (tanto è vero cheDavidson lasciò il suo nome nel codiceoggetto del programma). AddiritturaBrandon (che aveva inserito il suo pro-gramma in una rete e lo distribuiva gra-tuitamente «agganciato» a una sua ap-plicazione tramite una organizzazione di
MCmicrocomputer n. 104 - febbraio 1991
MACINTOSH
La mappa dei virus Mac' attualmente presenti nella comunità.
Una mappa delle tre famiglie di antlvlrus disponibili allualmente, suddivise nelle tre tipologiedi intervento che esse coprono.
ciare e far funzionare MacDraw, nellostampare documenti così redatti e nel-l'utilizzare il pannello di sistema. La per-sona che per prima si accorse del pro-blema, Dave Lovery, contattò immedia-tamente la Apple che dopo due giorni dilavoro isolò e classificò il problema stes-so. Lovery, dopo la disinfezione della re-te, scrisse un articolato resoconto delfatto (i tecnici Apple avevano stabilitoche l'infezione era arrivata attraversosoftware importato da un bullettinboard) e lo spedì alle più estese reti na-zionali. Impose, inoltre, che tutto il so-ftware inserito nella rete NASA fossetenuto in «quarantena» per un certo pe-riodo. Howard Hupcurch (autore, tra l'al-tro di alcuni splendidi caratteri per laser)e la Apple Corps di Dallas ripresero l'ar-ticolo di Lovery, ampliandolo e aggior-nandolo, tanto che oggi è consideratouna specie di bibbia sul problema.
limiti di paranoia (non era raro chi pen-sava che addirittura un virus potesse di-struggere microprocessori e RAM). Lacosa peggiorò quando si scopri che esi-stevano diversi ceppi di virus, che agi-vano in maniera diversa e non erano ri-conducibili a uno stesso antidoto. For-tunatamente la comunità non era statacon le mani in mano e cominciarono avedersi in giro prodotti efficaci, che nonsolo localizzavano, ma distruggevanol'agente infettante e spesso, recupera-vano l'applicazione infetta.
Il virus della Pace nel mondo era unnVir, molto più difficili da localizzare eben più cattivi si dimostrano i successiviScores Virus (così chiamati per un fileinvisibile che il virus crea nel SystemFolder). Esso creò gravi problemi alla re-te dei computer NASA (ben 120 mac-chine) che mostrarono i primi sintomi diinfezione incontrando difficoltà nel lan-
«public domain»). sostenne, e non atorto che scopo del suo virus era quellodi attrarre l'attenzione della comunità in-ternazionale sui problemi dei virus stes-si, visto che già in quel periodo il pro-blema non pareva niente affatto trascu-rabile. Egli mostrò in diverse occasioniche il suo virus era del tutto innocuo euna volta, in una conferenza, sostenneanche che la paura da virus poteva es-sere senz'altro considerata un ottimodeterrente contro la pirateria.
Addirittura una serie di copie di AldusPageMaker furono distribuite infette daquesto virus, ma la cosa non fu di so-verchia preoccupazione; addirittura ilproblema, nonostante questa clamoro-sa dimostrazione di virulenza, fu inizial-mente sottovalutato (come riferisceMac World, in un articolo di SuzanneStefanac, un redattore specializzato delWashington Post, T.R. Reid, scrisse,nella rubrica «Personal Computing» che«i virus non attaccano i personal com-puter»).
Visto che stiamo parlando di un fattoper così dire storico, vediamo come agi-va; esso si insinuava nel sistema attra-verso una applicazione infetta; entravanel System e si installava come unINIT; bastava lanciare una applicazionesu un dischetto perché l'INIT del siste-ma lo installasse su questa applicazionestessa e la trasformasse in veicolo perl'infezione (essa era, oltre tutto, pocoevidente, visto che pesava solo 15K).La sua presenza comunque fu notataprima del fatidico 2 marzo, e i commen-ti della comunità Mac furono, sebbeneil virus fosse del tutto innocuo, moltoamari. Si parlò, allora, di alcune decinedi migliaia di infezioni riconosciute; mail numero è senz'altro molto inferiore al-la realtà, visto che il virus diede vita almessaggio sugli schermi solo quel fati-dico giorno, e si autocancellava anchenon attivato già il giorno dopo. ,
Ma questo è stato solo l'inizio. E lanotizia (restiamo sempre nell'ambitoMac) che nel settembre 1988 membridel «Hamburg's Computer Club Chaos»infiltrarono in un network della NASA unvirus; sebbene il club abbia sempre ri-fiutato qualunque addebito, "arrestodell'esperto di virus del club lascia mol-te ombre sulla innocenza del gruppo. Èun fatto, anche che immediatamentedopo la stessa Università di Amburgofondò un centro di Analisi Virale, percombattere il fenomeno che cominciavaa presentarsi in tutta la sua gravità.
Da qui il panico; ogni scoppio di bom-ba (che nel mondo Mac, per la verità,non sono mai mancate) faceva gridareall'infezione; questo, è la notevole igno-ranza sull'argomento, seminò un'atmo-sfera da caccia all'untore che raggiunse
MCmicrocomputer n. 104 - febbraio 1991 223
MACINTOSH
TOMa, ~
Rel_Topla
0.-" •• '•••..10'"_ •.•••.•-.;",..lO<lO •••••••• g.00 •••• p,,,,,, ••••• !I ••
6o""'._ ••••lt'I!'Iing.w•• ~ ••oIO.•.... .....,...."..,_g_._.oo_ .......•. '
~.\I<C>Od •• _ •• IIu.o« •• """""',.••• Io" •••••• u •••••••••••••• , __•...•.••••..• "".•.•• """' •.• .,...101'.~--p<_ ..,.- .•... ---_ ...- " ••••••••• _ w •••••. _ T ••--_ ..,.---• ..- •••.•. .,._'opkolo
"'bI'dpu DIl'O" dgl
.\~
.l~
-.;'•••••.••. IL.'OOOft,] a. l'),,, "'._01 ••••_ ••••••••...-........ ..__ •.........~--_......•.......•.. _ ..~"'.........,..... •._ ...•.--
"'"Ioopar •••• _"' ••• _ ••-. ..• _lo· _ ·_1Ilo 01........,..·1o•.._01.~ .....•...•."''''''- .... ..,..,--._ •..•••..•.• _p" •• __ •.••••.1lo •••• lol .••••• __ •• __•••••••• ,.,...(II •• uIIipIooj
""'"_. __ .-.._ ""_ •..• 01......,~ ...._ ....•.._.-......- ....•~._•..•~,,·_g•....•••..•.Z.l __,_..••'_~_lIo"'_1IW::::::::::: ':: ~": •••..,3~,:"
"'" •• 001 •••••• ......, ••.•••• 1)"1»'"..•...•,'"g_ •..••••·•••••, ..•W-.n•••,.I8p_p •••""'•••,...,••••.••.••.•••10."' ••••• ; ••••..•• ,••••• " ••••••••••••• "'Iod •• _ •••_,.,...,.- .",. .....•.. ,... ,,.,..-- •.._ •......., -,...., -.-,.. .-,...._ ....•......,.-.-..•. ~ ..._ ....- •......•••..•....,.. ....•.
r~·_·.·_!!Q~._!r!O!!::~'.·M-.•,.!gl.~~.I!:!1:!:.!n:'~d'_1III!!~!.!l1•• __ •• ol ••••••• -. .__ .,..._
;::~==::~:-=--:'~:;=Uft=..--.. - .,.., ..::-"::':;,'::.-::","k.""-
~~:i=.2~:=:7h_.-'__ """'«Oond_••• 11y •• , •• ~
minuti, manda in bomba il programmaappena si tenta di scrivere su disco.
Sebbene il virus non tenti di attaccar-si ad applicazioni diverse da quelle congli identificatori appena nominati, esisteun altro danno indiretto che, possiamodire, determina involontariamente; il fat-to che si moltiplica incollandosi addossoalle applicazioni determina inevitabil-mente delle sovrascritture su file atti-gui. Ancora, esiste una profonda incom-patibilità tra Scores e i sistemi operativipari o superiori al 6.0.4, nei quali Appleha iniziato ad utilizzare risorse di tipo si-mile a quelle adottate da Scores. Quan-do il virus infetta il file di sistema, al-cune versioni delle risorse proprie del-l'Apple sono sostituite da quelle speci-fiche dell'infezione. In questo caso, so-vente, il sistema stesso si rifiuta di par-tire.
=~.~_.."_ ••••.•••. "W_oIU._ .....-...
""""'"~~:~"::':.:'~J..I ••• vut t••••.
=~:"'..:..~:w _
_l''r_ ••••--.."... _ ..-,...s,••••••.••..••.•._ •.•"" .•.-""-"
I.~
III.':\~
fIII!!"",,,!!",,,,!!.,,,,,,,,~-"""_Io •..•~.r".J'OU'_loI ••••oo_.h •••..•••._ •._<lO •••
~.....,...:::-: .::~:.: br :.::::~~ ••::;::;I :':' •.~.-.,"' •.•••••••. """""'1'1••••• an. rou""'YbIIy __ op.- ••• lllo=:.'::::.:~-~.-~::.:.:~-..,.-
."_"'-"_"_ __ •••••• _ ••• lflII*l ••••~_._-...•...•._ •••• _ ••••. __ br •••• ,._Opot_ ••••• _-_ • ....,_.- ....•. ~ ..-,-o,.r_ .••.••. oo_.
r-!!.."!!,,,,,,,,!!!!Io,,,, -r--...,I
..:. ':.::.:' =~:::.=-,",""••. "._01 ___ ",'" oVIII. •••••••••• our.-
~':::'~:Ulll::-
sce un codice adatto nella tabella deisalti contenuti nel Resource Code ID O,all'undicesimo posto (che abitualmentecontiene l'indirizzo del secondo seg-mento di codice). Qui il virus, con il nuo-vo codice, provvede a deviare il flussodel programma allo slot di risorsa pre-cedentemente realizzato; dopo di ciò ilgioco è fatto è il virus, senza che l'u-tente se ne sia accorto, restituisce ilcontrollo al programma.
Quattro giorni dopo l'infezione inizialeil virus si riattiva, andando a cercare filee programmi con sigla di identificazioneEric e Vult. Esso non si attacca al pro-gramma, ma lo lascia funzionare per 25minuti, poi lo manda in bomba (è que-sto il motivo per cui sembra che la stes-sa applicazione a volte funzioni, a volteno). AI settimo giorno il virus accorcia itempi e, dopo aver atteso per 15 soli
I tipi di virus presenti ogginella comunità Mac
Esistono almeno undici famiglie prin-cipali di virus tuttora circolanti sul mer-cato; vediamo le caratteristiche di alcu-ne di esse.
Il virus ScoresGli Scores virus; li abbiamo già nomi-
nati. È stata dimostrata la provenienzadel ceppo da una sotware house piut-tosto nota. Infatti esso attacca imme-diatamente due applicazioni che, nel pe-riodo compreso nella prima metàdell'88 erano in fase di avanzata realiz-zazione (le applicazioni, poi, non sonomai state messe in vendita). Le primetestimonianze della sua comparsa sonoda riferire alla primavera de1l'88; varia-zioni sul tema sono i virus «Eric»,«Vult», «NASA», e «San Josè Flu».
Nonostante l'alta virulenza gli Scoresvirus hanno un tallone d'Achille moltoesposto. Una infezione da Score è in-dividuabile facilmente aprendo la cartel-la sistema e esaminando i file Appunti eArchivio Appunti. Normalmente essi so-no rappresentati da icone di piccoliMac; se invece essi presentano la ge-nerica icona a foglio bianco con l'angoloripiegato (in inglese, molto pittoresca-mente, «blunted ear dog»). ci sono pro-blemi I Il software è probabilmente in-fetto! Occorre un accertamento più davicino. Per fare ciò bisogna disporre diun editor di file nascosti (come ResEdit,Resource Editor, Mac Tools, Mac CopyIl o altri). Scores virus crea infatti duenuovi file, invisibili, «DeskTop» e «SCO-res», da cui il nome. Si noti che il primonon ha nulla a che vedere con l'omoni-mo file di sistema; tanto per chiarire ladifferenza DeskTop (buono) è un fileche risiede nalla root del disco, l'altro(che si riconosce per avere un caratteredi spazio, invisibile, alla fine del nome)vive attaccato al System. Scores non in-fetta mai documenti, solo il software disistema e le applicazioni (e nemmenotutte: alcune restano del tutto immuni,altre, come MacDraw e Excel, sono levittime preferite).
Il meccanismo di azione di Scores èben noto; esso risiede inattivo nelsystem per due giorni dopo l'infezione(potremmo dire che resta in incubazio-ne). poi, allo scadere esatto del secon-do giorno, si risveglia e, a intervalli di treminuti circa, parte alla ricerca di una ap-plicazione sterile (è questo il motivo del-l'interferenza con processi di stampa).AI ritrovamento esso installa una risorsadi tipo Code di 7026 byte nel secondoslot libero delle risorse.
Immediatamente dopo il virus inseri-
224 MCmicrocomputer n. 104 - febbraio 1991
MACINTOSH
r-.!!..",.,!!!"""."!!I.,,,, •. .,.-.-.,Tho_- __ ""_
,_ ••••• 1HlT ••••••••• 0I ••••••
_"'''OJI''-o..,_ •• o: ••••,-r·_!·::!~C_!':!I~:!J:!:t!~.!:!n~,.,~ ••••• .,~-._....._- ....
..llCMO_ ••• IIIIIT_ ••• ~
Ool••...,,2.'_._oy •• "' ..••••••_••~,_on •••.••."J.'__ l_...., ""'.~.-"",., "" ..•.....'" "'-""".._,...- .
~ Una serle di pagine dello stack nominato; ognischeda è dedicata a un virus e al modo con cui Ii-berarsene. Sebbene non si entri nelle specifichetecniche delle singole infezioni, i conSigli forniti so-no facilmente attuabifi disponendo semplicementedi un Resource Editor come quello distribuito dallaApple o quelli disponibili, quasi sempre. come free·ware presso le organizzazioni di "public·domain>l.
\o~ 'o~lotl.r" T,M'P ~('T
mentato di 2 ogni volta che una appli-cazione infetta viene lanciata .
Quando il contatore giunge a zero,compare sullo schermo una scritta deltipo «Dont't Panic» se AppleTalk è set-tata; nel caso contrario si ha solo unbeep. Questo avviene anche allo star-tup con una probabilità di 1: 16. Dopo diciò lo stesso avviene anche lanciandouna applicazione infetta, con una proba-bilità di 15/128; infine, giusto per nonessere complicati, la scritta appare duevolte di seguito con una probabilità di1/256. Questo avviene generalmentecon nVir A; il tipo B esegue più o menole stesse cose, ma non chiama in causaAppleTalk
La cosa più curiosa, in tutto questo, èche i due ceppi, A e B, possono coe-sistere nello stesso sistema e dare ori-gini a varianti che recuperano parte delcodice dall'uno e dall'altro virus, con ca-ratteristiche imprevedibili. Purtroppo,come dicevamo, non è semplice indivi-duare una infezione latente o parzial-mente in atto, in quanto, a differenza diScores, non esistono segni esteriori delmale che si sta diffondendo (come leicone guaste di Scores). Occorre, perun utente esperto, lavorare un poco conResEdit e cercare nel sistema una risor-sa del tipo nVir (da cui il nome).
Si conoscono almeno 6 cloni del cep-po nVir. Essi sono tutti simili all'nVir B,con eccezione di alcune piccole diffe-renze.
/I virus INIT 29
Esso prende il nome da una risorsa ditipo INIT che crea nel sistema, e da unaID resource number n° 29.
Si tratta di uno dei virus più vecchi,visto che è comparso all'inizio dell'88.Non se ne conoscono le origini. Si trattadi uno degli agenti più feroci e virulenti,visto che si attacca alle applicazioni inmaniera velocissima; a questo si ag-giunge il fatto che, al contrario di quelliprecedenti, non è necessario lanciareuna applicazione perché questa sia in-fetta. Inoltre INIT 29 può infettare qua-lunque file, non solo di sistema o ap-plicazioni, ma anche documenti; in que-st'ultimo caso però, non sono contagio-sI.
TOMOP
1I_.MIo •••, ••••••••••••,_ •••••'
=A,,;=e::':::':~-::,·01,.._"' .•..-..a ....'_ .._ ._- ..•.•..--_oI.IIOM __ ",..-_lool...•-
"'-"lli.IlJDUThIo __ •• i_ •."""•.•..
1IyP«C""ocripIWI$I_.$II1I'J*T ••..••..•....,..~ ••,.,...c •..•• _ •. "_t>Ol1n1Kl,....Sr·_Of"' ••• _ , .•••_10_ • ......,.... ••••••••••••
paiono praticamente immuni dal conta-gio mentre altre, come Excel e Filema-ker divengono inutilizzabili già alsecondo lancio. Il Finder e DA Handlersono quelli più esposti. Anche qui i do-cumenti non sono attaccati né modifi-cati.
Esiste comunque un meccanismo diritardo che permette al virus di propa-garsi in gran copia prima di mostrare lasua presenza; esso è articolato in ma-niera semplice, ma efficace. Appena en-trati in un sistema gli nVir infettano tut-to quello con cui vengono a contatto,senza dare alcun segno della loro pre-senza.
Quando il file di Sistema viene rag-giunto (generalmente è uno dei primi)un contatore viene settato a 1000; ilcontatore è decrementato di 1 ogni vol-ta che viene lanciato il System e decre-
Thlo••••••• n_ •••••••.••'•••••••._.••• 1011 ,!'>w••• _ •.•••••••••••••••••••••••_ ,.,.,... "".-nVl_....n_ r- _._ _••.••• ",_">Ifoo(lIwl_ol-"VIR" __ OOOt"2S5_-....., ..... 0... __ ....;EE':":: .::. "'1090·. ·"EW· ..
MNo._ •••••••••••• "'I ••• ~VIR.-.. ••.••••••• 1001'0 ••• _ •••_"' ..._n--......,.-_ .. -...- ....•.- ..•=.-;:.._a_'~._
n!lIBlllrl!tOOfrAtloolM __ • ___ •• _ ••••
A.""~"' •••••••• I0_ ••••••.., •••...........• "' ....- • ""•••••• oppko_.IoMp •• _ .•_ N __ ••• "'" •• _r•.I0_ .••• _ •• _... _..,. ... __ . ••• 1lIK •• ..,·g..,"..r .••.••.•.applk.'- -_ •• oppkollM 10_ ••••••••
~ •••COOEO'_ •••• ~IO •••C00E2!11,••••.••••_.,~IO •••~-'.-
~'E;;'t.':'tl'OC.nlonll C >(10MI, ~e.
-toGloUUll
no,VIJ. l JlI
.VlI 1 •AVII J JU• VII , IH
nVlI T lUi nOi
, rT;M;pì TO'10"1'11) ~
k~ To'lou.'J,l
~
.'l.le<lICPlu--.----QIoo< ••••
,u,
, "...-.._, ..... -.. .. , v._. _ ....•_•......."'."I.', ",.' •••• COOll" •..•••••
•••••••• " •• " •• .., •• ''''' •••••• 110.'10.
/I virus nVir
,. .••~~:':::!!!:~:::.!!"'"•.-r-.."~.-"..,,.-,,.....,~~.~~
I.. :::::-:' :'::; :::;:::' .....
• iooRy_' •••,•••••••••• INtTn..e-. __ ..•.• _ ••.
Il primo virus di questa specie fu iso-lato in Europa nel 1987 e negli Stati Uni-ti nel 1988. Di questo ceppo se ne co-noscono due rami principali, nVir A enVir B. Pare che addirittura ne esistesseuna terza versione, la più vecchia, cheperò non è stata mai esaminata a fondoe di cui si sono perse addirittura le trac-ce.
nVir è più semplice e, potremmo dire,più rozzo di Scores. Ciononostante èmolto più difficile da localizzare. Sia il fi-le appunti che l'archivio non sono attac-cati o modificati, né viene creato alcunfile invisibile. Non esistono tempi di in-cubazione; appena trasmesso nVir co-mincia ad attacarsi e ad infettare le ap-plicazioni appena queste vengono lan-ciate; anche qui alcune applicazioni ap-
MCmicrocomputer n. 104 - febbraio 1991 225
MACINTOSH
Esiste un metodo molto efficace perlocalizzare la presenza di questo agente.Tentando di inserire un dischetto protet-to in scrittura in una macchina conSystem infetto si ottiene la ben nota fi-nestra di "alert»:
Il disco "AAAAA" ha bisogno di riparazioniminori: desideri procedere ì
decisamente in contrasto con la presen-za del floppy protetto; ci sono, decisa-mente, ottime possibilità di avere un si-stema infettato da INIT 29.
Come nel caso precedente, INIT 29non procura intenzionalmente danno,tranne quello di moltiplicarsi a spesedello spazio libero su disco. I risultatipossono comunque essere disastrosi;generalmente i danni si manifestanocon bombe di sistema, difficoltà di uti-lizzo del Multifinder (uno dei mezzi dia-gnostici più efficaci) e incompatibilitàcon programmi e documenti di startup.
/I virus ANTIL'autore di questo virus ha incluso,
come se fosse una firma, la stringa AN-TI nel sorgente, da cui il nome di questoagente infettivo.
Si conoscono due ceppi diversi di vi-rus di questo tipo, ambedue scoperti inFrancia; quello di tipo A diede segno disé inizialmente nel febbraio de1l'89, ilsecondo, il "B" è recentissimo, essen-do stato segnalato inizialmente nel set-tembre del '90.
AI contrario della gran parte dei viruspresenti, esso non infetta il System file,ma solo applicazioni o file che funzio-nano da applicazioni (come il DeskTop eil Finder). Non colpisce, come la mag-gior parte dei suoi simili, i documenti. Èmeno virulento del precedente, ma lasua pericolosità non gli è da meno,avendo la capacità, finora ignota, di at-taccarsi anche ad applicazioni senza chequeste siano state lanciate. A causa diuna particolare sua struttura interna,ANTI perde qualsiasi potere se la mac-china funziona in Multifinder.
ANTI è ancora pericoloso in quantodetermina vere e proprie modifiche nel-l'applicazione attaccata; questo vuoi di-re che, anche se riparata con i più ef-ficienti disinfettanti in commercio, l'ap-plicazione non sarà identica a quella pre-cedente e potrebbe, in certi casi parti-colari, creare problemi (difficoltà distampa e bomba quando si tenta di sal-vare il documento). Questo ultimo difet-to impone di cancellare del tutto l'ap-plicazione, quando scoperta "ammala-ta» e di sostituirla con una nuova.
Per essere precisi, occorre rilevareche il danno determinato da ANTI è rap-
226
presentato dalla distruzione degli attri-buti numerici contenuti nelle risorseCODE 1. I disinfettanti in commercio,ovviamente, non possono conoscere ivalori originari per tutte le applicazionipresenti sul mercato; i difetti che si ve-rificano, comunque, sono rari, e rappre-sentati quasi sempre da una non cor-retta gestione della memoria; essi sonopiù frequenti con le macchine dotate diROM da 64 e 128K.
Ancora, un particolare curioso; il virusB neutralizza il virus A, quando ambe-due sono presenti sullo stesso HD.
/I virus MacMag(detto anche Pea.ce Virus)
La storia di questo virus è già nota; sitratta di uno dei più vecchi, avendo ori-gine già nel 1987. Esso è anche cono-sciuto come "Drew», "Brandow», AI-dus (per aver infettato numerose appli-cazioni originali di PageMaker) e "Pea-ce».
Esso, lo abbiamo accennato, infettavasolo il System, per una sola volta, quan-do veniva lanciato uno stack Hypercard,prodotto dalla redazione di Montreal diMacMag Magazine. Questo stack con-teneva solo alcune immagini digitalizza-te, di scadente fattura dell'allora non an-cora presente sul mercato scanner dellaApple.
Quando lo stack veniva lanciato il vi-rus si attaccava al System e di lì si in-collava a tutti i dischetti contenenti unSystem che successivamente venivanoutilizzati su quella macchina.
Incollandosi solo sul System e soloper una volta, MacMag si diffondevapiuttosto lentamente, anche perché èben difficile che chi scambia dischettiinserisca in essi anche il sistema ope-rativo. Il fatto che il virus sia stato pro-gettato per fini non distruttivi è dimo-strato dal fatto che esso non si propaganemmeno attaccandosi ad altri stackHypercard.
Esso non ha mai avuto una grandediffusione, sia per i motivi predetti, siaperché programmato per autodistrug-gersi il 2 marzo del 1988. Oggi ha solovalore e significato storico, visto che èben raro che esista un disco che da da-te precedenti a quella indicata non siastato utilizzato. L'effetto era di mostrareun messaggio di pace, lampeggiante,sullo schermo, per qualche secondo.
/I virus DukakisVisto che ci troviamo a parlare di
stack e di Hypercard, accenniamo ad unvirus poco diffuso passato come unameteora nel mondo Mac. Scritto inte-ramente in linguaggio HyperTalk, attac-
ca solo stack Hypercard, ma non appli-cazioni né il System. Si tratta di un viruspiù seccante che dannoso; quando unostack infetto viene lanciato, l'handler"OpenStack» mostra sullo schermo unmessaggio del tipo "Dukakis for Presi-dent». Lo script corrispondente è pre-sente a livello dello stack "Home» dacui si propaga agli altri stack.
Si tratta di un virus che non procuraalcun danno alle applicazioni e ai docu-menti, e inoltre è molto semplice da eli-minare. Occorre agire a livello 5 diHypercard (Scripting) leggere nello sta-ck infetto lo script specifico del virus,che inizia con il comando "on OpenSta-ck» e cancellare tutto il codice del virus(che, ad onor del vero, è ben commen-tato e individuabile). Occorre fare que-sta operazione per tutti gli stack presen-ti sul disco; è tutto.
In Italia, a quanto ci risulta, non è sta-to mai segnalato.
/I virus WDEFQuesto virus è stato isolato per la
prima volta nel dicembre 1989 in Bel-gio. Si tratta di un virus piuttosto rozzoe semplice nel suo meccanismo d'azio-ne, ma dalla eccezionale virulenza. Es-so attacca solo il "DeskTop File», invi-sibile, presente sulla scrivania. È moltointeressante in quanto non si propagaattraverso lo scambio di applicazioni,ma solo attraverso quello dei dischetti;così anche il semplice passaggio, dauna macchina all'altra, di un disco giàinizializzato (e quindi già contenente ilDiskTop File) può essere fatale. Esso,quindi non si propaga attraverso l'usodi reti.
Se ne conoscono due varianti princi-pali; WDEF A e B; la sola differenza èrappresentata dal fatto che nel primocaso il sistema lancia un beep quando ilDeskTop File viene infettato (potrebbeessere un mezzo diagnostico, ma chi cifa caso 7), nel secondo ciò non avviene,sebbene non sia intenzionalmente di-struttivo, WDEF provoca diversi danni eproblemi; sulle macchine Ilci e IIfx e sulportatile si ha un crash di sistema ap-pena si tenta di lanciare un disco infetto(ivi compreso quello di boot). Ma anchesulle altre macchine il fenomeno è ab-bastanza frequente e nei casi più gravipuò portare alla parziale o totale illegi-bilità della memoria stessa (il recuperoè abbastanza facile, comunque, conmezzi adatti, come Norton Utilities o Di-sk 1st Aid). Altro problema frequente èla scarsa leggibilità dei caratteri sulloschermo (specie sul portatile) e proble-mi di stampa con macchine PostScript.Ma diversi altri problemi sono stati rife-riti, come scambio di lettere sulla tastie-
MCmicrocomputer n. 104 - febbraio 1991
ra, o forma strana assunta dal cursore,cosa che prelude ad un quasi immedia-to crash di sistema.
Usare un disinfettante è abbastanzautile, ma esiste un metodo diretto esemplice che mette al sicuro dall'infe-zione da questo virus; esso consistenella periodica ricostruzione del Desk-TopFile, cosa che come tutti sanno siesegue tenendo, al boot, premuti con-temporaneamente i tasti di Option eCommand e seguendo le successiveistruzioni. WDEF non si propaga attra-verso AppleShare, in quanto gli utenti diquesta rete non utilizzano nelle ordina-rie operazioni il loro DeskTop File, maquello del gestore della rete; cionono-stante se questo ha permesso l'opzione«make changes» alla directory radicedel server, ogni utente infetto del ser-ver può a sua volta infettare il DeskTopfile del server stesso.
È questo il motivo per cui i gestori direte AppleShare impediscono agli utentidel network di utilizzare il privilegio dioperare cambi alla root. È invece appu-rato che il virus non si può attaccare daun server di rete ad altri Mac collegatisul network.
Se la rete è gestita attraverso l'uso diTops, l'infezione può avvenire attraver-so lo scambio del DeskTop pubblico,ma solo dal cliente al server; non sonostati segnalati casi di infezioni in sensoinverso. .
Infine, su questo virus poco pericolo-so, una curiosità; utilizzando il ResEditper scandagliare le intime viscere deiprogrammi non è raro il caso di trovarerisorse del tipo WDEF in file diversi dalDeskTop; si tratta di un tipo di risorsaquindi prevista anche in altre applicazio-ni; quando la loro presenza non è nelfile di scrivania, non deve allarmare (an-zi, azioni sterilizzanti a carico di questerisorse possono portare alla inabilitazio-ne del programma stesso).
/I virus ZUCGli italiani, popolo di santi poeti e na-
vigatori, non poteva non distinguersi an-che in questo campo; questo tipo di vi-rus fu per la prima volta scoperto in Ita-lia da un prete, Don Ernesto Zucchini(da cui il nome). Fu scoperto nel marzodel 1990, infetta applicazioni ma non Si-stema o documenti. Esso è regolato perentrare in funzione dopo il 2 marzo, odopo due settimane da quando l'infezio-ne è avvenuta. Prima che ciò avvenga,il virus si attacca da applicazione ad ap-plicazione (non è necessario lanciare unprogramma perché si infetti). Dopo taleperiodo di incubazione, circa 90 secondidopo il lancio dell'applicazione infetta, ilcursore assume una forma diversa
MCmicrocomputer n 104 - febbraio 1991
quando il bottone del mouse è schiac-ciato. Inoltre si muove diagonalmentesullo schermo cambiando continuamen-te direzione e rimbalzando contro i bordicome una palla da biliardo. L'effettosparisce quando il tasto del mouse vie-ne rilasciato, ma diviene fisso se si c1ic-ca 3 volte di fila.
L'effetto del virus è simile a quello diun vecchio DA, «Bouncing Mac» cheaveva il compito di prevenire bruciaturedello schermo. Inoltre cambia in manie-ra strana e imprevedibile lo sfondo dellascrivania, e i tempi di accesso strana-mente lunghi e una prolungata attivitàdella memoria di massa quando si lan-cia una applicazione. Inoltre può attac-carsi da un utente al server di rete e daquesto agli altri utenti collegati. Nono-stante questa notevole attività, gli unicieffetti rilevati sono quelli descritti, ed èben raro che si rovinino applicazioni ofile in maniera irreparabile. Onore al me-rito del realizzatore, ZUC non cambia ladata dell'ultima modifica al programma(visibile nella finestra informazioni) percui è ben difficile rintracciare la fonte eil momento della infezione stessa.
/I virus MDEFVirus dalle conseguenze leggere, ha
tre varianti principali; le prime due fu-rono scoperte alla Cornell University diNew York e denominate forma A e B (lafantasia non è il forte del mondo Mac).La prima diede segno di sé nel maggio'90 e la seconda nel successivo agosto;sono anche note nel mondo Mac come«Garfield Virus» e «TopCat». La terza,MDEF C fu scoperta all'High Scool diIthaca nell'ottobre del '90.
Una efficiente azione della «Compu-ter Security» della sezione di polizia del-lo stato di New York portò alla identifi-cazione dell'autore del virus, un ragazzodi quattordici anni, che dopo un proces-so rapidissimo fu condannato (secondouna di quelle condanne curiose edesemplari tanto frequenti nella giustiziaamericana) a non possedere calcolatorie a non toccare una tastiera per tre an-ni, sotto la diretta responsabilità dei ge-nitori. Successivamente si scoprì cheegli era anche autore del virus CDEF (dicui discutiamo in seguito).
MDEF infetta applicazioni e Systemfile, e, con minore frequenza, documen-ti e file di scrivania. L'infezione avvienesolo se l'applicazione viene lanciata o ildocumento aperto. Anche qui il Systemè infettato per primo.
Come dicevamo precedentemente,MDEF non produce grandi disastri, vistoche, intenzionalmente non produce al-tro danno che quello di attaccarsi alleapplicazioni. Ciononostante è molto ben
MACINTOSH
progettato visto che riesce a bypassarenumerosi INIT di protezione contro le in-fezioni. Un esempio è Vaccine, un otti-mo programma antivirus, che riesce abloccare l'azione di MDEF impedendol'attacco alle applicazioni, ma MDEF eVaccine interagiscono conflittualmentetra di loro, disastrando il System; que-sto «perde» completamente i menu,cosa che può essere un efficace stru-mento diagnostico
Il nome di questo virus proviene darisorse che esso crea nelle applicazioniinfette; anche qui c'è da notare cheusando ResEdit si possono trovare ri-sorse di questo tipo che non hannoniente a che fare con infezioni o altro. Avantaggio dell'« utente» è il fatto cheMDEF Virus è uno dei più semplici daeliminare con disinfettanti presenti sulmercato.
/I virus FrankieSi tratta di un agente di piccolo ca-
botaggio, presente da diversi anni e po-chissimo diffuso; esso funziona solo sualcuni emulatori Mac, come quelli di-sponibili per Amiga e Atari. Non colpi-sce né infetta macchine Macintosh.
L'effetto prodotto è per lo meno cu-rioso; dopo che l'infezione è avvenuta,il sistema va in bomba e compare unafinestra di messaggio con la fase: -Frankie says: «no more piracy» - sem-pre sugli emulatori. Franckie si attaccasia alle applicazioni che sul System; in-fetta altresì il file DeskTop; funziona so-lo sotto Finder.
/I virus CDEFScoperto nell'agosto del 1990 è stato
scritto dalla stessa persona responsabi-le del virus MDEF, e ad esso è moltosimile negli effetti (colpisce il DeskTop)Ciononostante il suo progetto è del tut-to originale, e i suoi effetti sono anchemeno disastrosi di quelli, ben modesti,di MDEF, non essendo stato disegnatoper produrre altro danno che quello diattaccarsi alle applicazioni. Il suo nomeè dovuto al tipo di risorse che crea nelSystem, anche se queste sono propriedel sistema operativo originale del Mac.Perciò, anche in questo caso, attenzio-ne a togliere indiscriminatamente que-sto tipo di risorsa.
Termina così la prima parte di questoarticolo dedicato al gran contagio che hacolpito il mondo del silicio e anche ilmondo Mac. La prossima volta vedre-mo quali sono i mezzi che la modernamedicina, pardon informatica, mette adisposizione per riportare in buona sa-lute il «melone»; a risentirei.
227