Questo sito contribuisce alla audience di Il Messaggero

Come funzionano gli antivirus

di

Il tuo migliore amico, dopo averti sistemato per l’ennesima volta il computer, ti ha fornito tutte le istruzioni necessarie per scaricare un nuovo antivirus e su come utilizzarlo per proteggere il sistema da ogni eventuale futura infezione. Purtroppo non hai più toccato quel computer per un bel po’ di tempo e, dopo averlo riacceso oggi, ti sei reso conto di non ricordare più nemmeno una parola su cosa fare e come comportarti per far sì che l’antivirus sia sempre efficace.

Come dici? Vuoi evitare di disturbare nuovamente il tuo amico esperto informatico e vorresti finalmente capire come funzionano gli antivirus, così da poter agire in maniera del tutto autonoma? Allora sei capitato sulla guida giusta: qui ti mostrerò infatti le peculiarità degli antivirus moderni, così che tu possa comprenderne da solo il funzionamento e adottare le strategie necessarie per ridurre al minimo il rischio di nuove infezioni.

Dunque, cos’altro aspetti a iniziare? Ritaglia qualche minuto di tempo per te, mettiti bello comodo e leggi con molta attenzione tutto quanto ho da dirti su quest’argomento: così facendo, oltre ad apprendere nuovi concetti, riuscirai ad aumentare la sicurezza del tuo computer configurando al meglio il software di sicurezza che hai deciso di utilizzare. Detto ciò, non mi resta altro da fare, se non augurarti buona lettura!

Indice

Tecniche di scansione

Per poter capire al meglio il funzionamento di un antivirus, devi necessariamente essere a conoscenza delle componenti che lo caratterizzano, ossia dei moduli di scansione che compongono il suo "scudo difensivo".

Scansione in tempo reale

Scansione in tempo reale

Il modulo di scansione in tempo reale (chiamato anche On-Access) è la componente dell’antivirus che si avvia insieme al sistema operativo, si posiziona in memoria RAM e analizza in tempo reale qualsiasi azione svolta sul computer. Ogni volta che si esegue, si sposta, si crea o si modifica un file (anche in modo "invisibile", per esempio all’atto della semplice apertura di un programma), il modulo in tempo reale analizza ciascun file impiegato nel processo (file binari, DLL etc.) alla ricerca di un file dannoso o sospetto. Quando "scatta l’allarme", il modulo si occupa di bloccare ogni azione del file e di "neutralizzarlo", spostandolo in una zona protetta, sita all’interno delle cartelle dell’antivirus (questa zona protetta viene chiamata, in genere, Quarantena o Cestino).

Questo modulo è quindi una componente fondamentale dell’antivirus: esso, non a caso, è presente sulla maggior parte dei programmi pensati per lo scopo. Grazie alla scansione on-access è infatti possibile bloccare un’infezione sul nascere, impendendo ai virus di modificare il comportamento del sistema e di danneggiare i file personali.

Ovviamente, questo modulo non è infallibile: se il virus è ben nascosto all’interno di file legittimi oppure non presente nella speciale "lista" in possesso dell’antivirus (sulla quale torneremo più avanti), esso potrebbe sfuggire a questo controllo, risultando quasi del tutto invisibile. Numerosi virus, infatti, possono essere attivati a distanza o dopo un determinato periodo di tempo, sfuggendo quindi al controllo della scansione in tempo reale e generando, di conseguenza, un’infezione più grande.

Un modulo di scansione in tempo reale dev’essere abbastanza leggero e poco invadente durante la sua azione: se così non fosse, le prestazioni del computer diminuirebbero in modo sensibile dopo qualsiasi operazione avviata dall’utente (anche la semplice apertura di un file o una cartella, per esempio).

Scansione su richiesta

Scansione su richiesta

Il modulo di scansione su richiesta (chiamato anche On-demand) è la componente dell’antivirus che si occupa di analizzare, uno alla volta, tutti i file presenti nel sistema o nella cartella indicata. Rispetto al modulo di scansione in tempo reale, esso adotta un sistema molto più preciso ed efficace, e richiede un quantitativo di risorse maggiore: in passato, non era raro dover interrompere il proprio lavoro all’avvio di una scansione on-demand, poiché disco fisso e CPU erano completamente impegnati a eseguire questo compito.

Per via di quest’elevata richiesta di risorse, tale modulo può essere avviato soltanto su richiesta, cliccando su uno specifico pulsante presente nell’interfaccia dell’antivirus, oppure richiamando l’annessa funzionalità dal menu contestuale dei file salvati nel sistema.

La scansione su richiesta può inoltre esser pianificata: in tal modo, è possibile far sì che questa avvenga nei periodi in cui il computer non dev’essere utilizzato per altri compiti.

Personalmente, ti consiglio di pianificare una scansione completa del sistema almeno una volta al mese, impostando un giorno e/o un’ora in cui sei sicuro di non essere presente al PC (meglio lasciare il computer acceso per lo scopo, così da non doverla poi rimandare al primo avvio utile).

Scansione cloud

Scansione cloud

Di recente, alle componenti degli antivirus, si è aggiunto un nuovo modulo che coadiuva quello On-Access e On-Demand: il modulo di scansione basata sul cloud. Quando questo componente è attivo, tutti i dati sui file analizzati dall’antivirus vengono inviati via Internet a una rete di server interconnessi, così da poter beneficiare di una potenza di calcolo molto superiore: i server, in tal modo, possono scansionare i dati del file (o il file intero, laddove questo fosse relativamente piccolo) e fornire un responso immediato all’antivirus, che potrà così cancellarlo (nel caso si trattasse di un virus) oppure "lasciarlo passare" (nel caso di un file legittimo).

Tale approccio ha due grossi vantaggi: in primis, l’analisi avviene su più motori contemporaneamente, il che riduce drasticamente il rischio di falsi negativi (o falsi positivi); in secondo luogo, le risorse del computer in uso non vengono impegnate ai fini della scansione, che avviene esclusivamente tramite Internet.

Tuttavia, il sistema di scansione cloud richiede accesso a Internet costante, poiché i server di analisi devono essere sempre disponibili. Al fine di evitare la saturazione della banda Internet (problema molto diffuso soprattutto se si ha a disposizione una connessione non velocissima), questa componente entra solitamente in azione solo per le scansioni su richiesta e/o per i file classificati come "sospetti". In assenza di collegamento a Internet, la componete cloud non funziona, per cui l’antivirus deve utilizzare gli strumenti messi a disposizione "offline" per poter bloccare le potenziali minacce.

Metodi di analisi

Dopo aver analizzato i moduli di scansione caratteristici degli antivirus moderni, è il momento di capire quali sono gli strumenti che tali software utilizzano per poter capire se un file è nocivo o meno.

Per capire bene questa differenza, immagina un posto di blocco in strada: le tecniche di scansione potrebbero essere i poliziotti, mentre puoi vedere i metodi di analisi come gli strumenti impiegati per il rilevamento delle infrazioni, quali gli autovelox, gli etilometri e così via.

Metodo basato sulle firme

Metodo basato sulle firme

Il metodo più semplice e veloce impiegato dagli antivirus per stanare le minacce prevede l’impiego di una serie di "liste speciali" contenenti le firme o definizioni dei virus conosciuti: queste ultime sono delle caratteristiche specifiche delle minacce informatiche, quali comportamenti noti, precise sequenze di bit all’interno dei file infetti o codici hash. Tali archivi vengono interrogati ogni volta che un file viene analizzato dai moduli di scansione on-demand e on-access.

Le liste delle firme/definizioni vengono inoltre aggiornate con regolarità da tutti i produttori di antivirus, così da poter "beccare" (nel minor tempo possibile) ogni nuova minaccia riconosciuta. Purtroppo, però, questo metodo è inefficace per i virus messi in circolazione da pochi giorni o poche ore dall’analisi: non essendoci nessuna firma nota, l’antivirus potrebbe lasciar passare una minaccia senza far scattare l’allarme (minacce 0-day).

Tornando al nostro esempio sulle autorità, puoi considerare le firme/definizioni come le foto segnaletiche utilizzate dai poliziotti per poter identificare subito i delinquenti ricercati. Se un delinquente ha cambiato i suoi connotati, oppure non è ancora stato colto in flagrante (quindi non ha nessuna foto segnaletica associata alla sua identità), questi può sfuggire facilmente anche al controllo della pattuglia più attenta.

Metodo basato sull’euristica

Euristica

Se la firma di un virus non è presente nell’apposito archivio, esso potrebbe essere bloccato utilizzando una particolare componente dell’antivirus, ossia il modulo euristico. Tale modulo si occupa di fermare i file sospetti (ma non bloccati dalle firme) e controllarne il comportamento: se i file seguono degli schemi riconosciuti come fortemente sospetti o pericolosi, essi vengono subito bloccati e posti in quarantena, in attesa di ulteriori indagini (ossia l’arrivo di firme sulla natura malevola del file).

Grazie a questo modulo, il computer può difendersi dalle nuove minacce. D’altro canto, però, la sensibilità dell’euristica gioca un ruolo chiave per il suo successo: un modulo troppo severo può bloccare anche file perfettamente legittimi, mentre un modulo troppo permissivo può far passare i virus senza intervenire affatto.

Tornando all’esempio sulle autorità, puoi paragonare l’euristica al controllo completo che i poliziotti eseguono al passaggio di una vettura sospetta, durante un posto di blocco. Anche se la persona fermata non risulta ricercata, ma sembra irrequieta, si agita, teme controlli in auto o alla sua persona, è facile supporre che questi nasconda qualcosa!

Metodi basati sul cloud

Metodi basati sul cloud

Molti strumenti moderni, al fine di bloccare i virus, prevedono l’utilizzo di Internet: tecniche come l’analisi telemetrica, l’euristica "a sciame" (basata sui comportamenti registrati dagli altri utenti che usano lo stesso antivirus e che incontrano lo stesso file) e il data mining contribuiscono a fermare anche le minacce più pericolose, quelle portate avanti da virus polimorfi, ossia in grado di cambiare identità (risultando quindi puliti su ogni PC infettato), e dai ransomware (abili a nascondersi in file insospettabili).

Puoi paragonare i metodi di analisi basati sul cloud come il supporto "esterno" offerto ai poliziotti durante una grande caccia all’uomo: elicotteri, comunicazioni radio e cani da guardia.

Sandbox

Sandbox

Altro diffuso strumento disponibile negli antivirus moderni è la cosiddetta sandbox: essa prevede la creazione di uno spazio isolato, non comunicante con l’esterno, in cui vengono virtualizzati tutti i file di sistema richiesti durante l’avvio di un programma sospetto o di un eseguibile.

Se l’eseguibile si rivela essere un virus, esso potrà infettare solo la parte di sistema virtualizzata all’interno della sandbox, senza danneggiare il sistema operativo vero e proprio.

Grazie alla sandbox, si possono evitare un gran numero di infezioni: se la soluzione da te scelta ne dispone, abbi cura di inserire al suo interno tutti i nuovi programmi scaricati, o quelli che possono rappresentare degli importanti vettori di minacce (ad es. i browser e i client di posta elettronica).

Importanza degli aggiornamenti

Importanza degli aggiornamenti

Come puoi facilmente intuire, a questo punto, aggiornare costantemente l’antivirus è l’unico modo per poter mantenere sempre alta la barriera di protezione offerta dal software. Gli aggiornamenti, infatti, prevedono spesso il download delle nuove firme e il miglioramento dei moduli integrati nell’antivirus.

Ad oggi, quasi tutti gli antivirus sono programmati per scaricare gli aggiornamenti non appena essi diventano disponibili: per quelli basati principalmente sul cloud, l’update è, invece, costante e in tempo reale, poiché i database vengono sincronizzati non appena si aggiunge anche una sola firma. Non ci crederai, ma quest’operazione più avvenire anche più volte in un minuto!

La mancanza degli aggiornamenti, invece, potrebbe rendere completamente inutili le funzionalità di protezione integrate nel software antivirus: i file nocivi più recenti, in tal caso, potrebbero agire indisturbati e danneggiare il sistema operativo e i dati in esso salvati. Di fatto, sarebbe proprio come non avere nessuna protezione!

In genere, è possibile intervenire sulla frequenza degli aggiornamenti automatici dal pannello delle impostazioni degli antivirus: assicurati innanzitutto che questi siano attivi e abbi cura di impostare l’intervallo di controllo/download a un tempo molto basso (un’ora o meno).

Per le soluzioni integrate nei sistemi operativi, come Defender di Windows, è possibile scaricare manualmente gli aggiornamenti dall’interno delle impostazioni di sistema: su Windows 10, per esempio, bisogna recarsi nel menu Start e cliccare sul pulsante a forma d’ingranaggio, situato a sinistra, per aprire la finestra delle Impostazioni.

In seguito, bisogna cliccare sul pulsante Aggiornamento e sicurezza, recarsi nella sezione dedicata a Windows Update e fare clic sul bottone Verifica disponibilità aggiornamenti.

I migliori antivirus

I migliori antivirus

Fammi indovinare: ora che hai capito come funzionano gli antivirus e che hai le idee chiare sulle tue necessità, vorresti dare un’occhiata a ciò che offre la scena informatica per scegliere ciò che più si adatta al tuo caso? Nessun problema, credo proprio di poterti dare una mano.

Esistono davvero tantissimi software di sicurezza di questo tipo, ciascuno con le proprie caratteristiche: gratuiti, a pagamento, dotati di moduli di scansione real-time, predisposti per le sole scansioni on-demand, basati sul cloud e così via. Se utilizzi il sistema operativo Windows, per esempio, ti consiglio di leggere la mia guida al miglior antivirus per Windows 10, valida anche per tutte le altre versioni del sistema operativo, in cui ti ho spiegato come confrontare i vari prodotti gratuiti e come scegliere quello che fa al caso tuo.

Se, invece, hai bisogno di una soluzione che sia efficiente, personalizzabile e dotata di un gran numero di moduli, ti consiglio di orientarti verso un antivirus a pagamento.

Per quanto riguarda le soluzioni di sicurezza pensate per gli smartphone e i tablet con sistema operativo Android, puoi dare un’occhiata alla mia guida ai migliori antivirus per Android, in cui ti ho elencato quelle che sono le migliori app pensate per preservare l’integrità dei dispositivi.

Per quanto riguarda macOS e iOS, invece, non ho molto da dirti: tali sistemi operativi dispongono di protezioni di sicurezza integrate estremamente efficienti, pertanto, di norma, non richiedono la presenza di una specifica soluzione antivirus.

Se, però, hai bypassato queste protezioni per un motivo o per un altro o ritieni comunque indispensabile avere un antivirus a disposizione, puoi consultare i miei tutorial dedicati agli antivirus per Mac e alla rimozione dai virus da iPhone, nei quali ho trattato l’argomento "sicurezza" con dovizia di particolari.