Differenze tra Virus e Malware (Ransomware, Spyware e altri)
“Malware” e “virus” sono utilizzati come termini generici per identificare un’infezione che colpisce i dispositivi elettronici, anche se non sono propriamente sinonimi.
Si parla in entrambi i casi di codici, script o intere applicazioni in grado di arrecare danni di vario tipo, ma c’è una sostanziale differenza tra virus e malware. La scopriremo in questa guida, insieme a diversi consigli utili per identificare e bloccare entrambe le minacce.
Differenze tra Virus e Malware
Quando si parla di sicurezza informatica o cybersecurity è bene imparare la differenza tra virus e malware, e in questo modo riconoscerli.
Tutti i programmi, le app, i frammenti di codice e gli script pensati per danneggiare i PC, i dispositivi mobili (smartphone e tablet), i modem o qualsiasi altro device possono essere racchiusi nel termine generico malware, nato dall’abbreviazione dell’inglese “malicious software“.
Con il termine “virus” invece si identifica una specifica categoria di malware, pensata per distruggere le funzioni del dispositivo o di specifiche applicazioni e replicarsi velocemente su altri dispositivi connessi o accessibili nella stessa rete.
Questo significa che non tutti i malware sono virus ma tutti i virus sono malware. Vediamo ora le differenze tra queste minacce secondo tre aspetti: modalità di replicazione e di diffusione e tipologia di danni.
Modalità di replicazione
Un malware dispone di diverse modalità di replicazione: può replicare il suo codice e occupare spazio fino a saturare le risorse (worm), può replicarsi sfruttando i bug presenti nei protocolli di rete o all’interno dei programmi, può nascondersi in altri file o nelle cartelle di sistema (trojan), può replicarsi usando i programmi presenti all’interno del dispositivo o scaricare nuove copie (o altri malware) connettendosi al server gestito dal pirata informatico.
D’altro canto il virus ha modalità di replicazioni semplici ma efficaci: crea velocemente delle copie di se stesso (auto-replicazione) e utilizza (nella maggior parte dei casi) lo stesso metodo di diffusione utilizzato per infettare la macchina colpita (se ad esempio il virus è partito via email, utilizzerà la rubrica dei contatti per inviare una copia di se stesso agli altri utenti).
Meccanismo di diffusione
I malware possono diffondersi tramite email, tramite allegati di posta, tramite messaggio social, tramite un link infetto o nascondendosi all’interno di una pagina web o di un app innocua, diventando di volta in volta sempre più difficile da identificare o da bloccare.
Molti malware si avviano da soli non appena il loro codice è eseguito o solo scaricato, con una minima interazione da parte dell’utente; questo li rende estremamente pericolosi (è il caso dei ransomware ad esempio).
I virus tradizionali invece necessitano di essere avviati dall’utente, che deve premerci sopra con il doppio clic per eseguirli in memoria e avviare il processo di infezione.
Tipologia di danni
Il malware e i virus possono arrecare vari tipi di danni al dispositivo in cui vengono eseguiti. I problemi diventano sempre più gravi man mano che il malware rimane attivo nella memoria del dispositivo, moltiplicandosi e infettando nuovi file.
I principali danni da malware sono:
- occupazione risorse: tutte le componenti principali (CPU, RAM, disco) sono occupate dai file e/o dai processi legati all’infezione, causando inevitabili rallentamenti nel sistema e nell’avvio delle applicazioni;
- danneggiamento file di sistema o app: i file del sistema e delle applicazioni possono essere modificati o cancellati per garantire l’attivazione costante dell’infezione, anche in caso di cancellamento del processo nocivo principale. Il malware si avvierà sempre insieme al sistema operativo;
- danneggiamento file personali: l’infezione può bloccare l’accesso o cancellare tutto senza distinzioni;
- blocco del sistema: il dispositivo non è più utilizzabile dopo l’avvio dell’infezione, mostrando una schermata di blocco che occupa tutto lo schermo e impedisce anche l’uso del mouse e della tastiera. Questo comportamento è tipico dei ransomware;
- violazione privacy e account: tutti gli account, le password e i dati d’accesso sono a rischio, innescando una fuga di dati che può portare alla violazione degli account economici (account della banca, account PayPal, account Amazon etc.) o al furto d’identità;
- accesso remoto non autorizzato: il pirata informatico può accedere al dispositivo in qualsiasi momento, sfruttando le porte e gli accessi creati dal malware.
Queste caratteristiche possono essere identificate in tutti i malware, mentre i virus di solito presentano solo alcune delle caratteristiche citate (danneggiamento file di sistema e applicazioni e occupazione delle risorse).
Principali tipi di Virus
Nell’analizzare le differenza tra virus e malware è importante capire quali sono i virus informatici classici. Attualmente i virus sono classificati in:
- file virus: infettano o si propagano infettando altri file innocui, aumentando a dismisura il danno al sistema man mano che procedono con l’infezione; solo abbastanza pericolosi e fastidiosi, visto che modificano i file di app, file di sistema e file dell’utente;
- boot virus: questi virus si nascondono nel settore d’avvio del PC, avviandosi quindi prima del sistema operativo e infettando i file fondamentali per il corretto avvio del sistema. Sono estremamente pericolosi e difficili da rimuovere;
- macro virus: in questa categoria si trovano i virus nascosti all’interno dei documenti Office, in particolare quelli che presentano macro; sono abbastanza pericolosi ma semplici da rimuovere;
- network virus: qui si trovano invece i virus che si propagano attraverso la rete interna o tramite link nascosti all’interno delle pagine web. Sono pericolosi e molto reattivi e possono compromettere un gran numero di dispositivi in pochi secondi.
Le differenze tra virus e malware diventano sempre più sottili con il passare del tempo; questo perché i virus sono solo una delle tipologie di minacce che possono colpire i sistemi informatici e spesso le loro caratteristiche possono essere ritrovate anche in altri malware, aumentando così la potenza dell’infezione.
Come si classificano i Malware
I malware più comuni sono i trojan, i worm, i ransomware e gli spyware. Esistono anche altre tipologie di malware ma queste coprono la maggior parte delle infezioni moderne, motivo per cui vale la pena approfondire come agiscono e come è possibile infettarsi.
1. Trojan
I trojan o trojan horse sono una categoria di malware molto pericolosa. Hanno caratteristiche molto precise, che spesso si ritrovano anche in altri malware più strutturati.
Cosa sono
I trojan sono malware nascosti all’interno di programmi o di eseguibili insospettabili. Hanno come obiettivo aprire nuove porte per i malintenzionati, scaricare altri malware o danneggiare il sistema per compromettere programmi o funzioni.
Come agiscono
I trojan agiscono a livello di sistema, modificando i file per garantirsi l’avvio automatico. Dopo aver avviato l’infezione sfruttano le porte lasciate aperte dal sistema o bug noti dei programmi per garantire il controllo remoto da parte del creatore del trojan, che può quindi caricare altri malware.
Come si prendono
I trojan possono nascondersi in qualsiasi file scaricato da Internet, anche in un semplice eseguibile o installer. Per bloccare questo tipo di minacce è necessario disporre di un antivirus con protezione in tempo reale molto reattiva, visto che al termine del download spesso i trojan sono subito operativi.
2. Worm
I worm sono malware “antichi” ma ancora operativi. Sono una piaga per le reti aziendali, dove possono ridurre o addirittura azzerare la produttività di tutte le postazioni connesse.
Cosa sono
I worm sono malware che hanno come unico scopo moltiplicarsi all’infinito, occupando in poco tempo tutto lo spazio di memoria libero a disposizione sul device in uso. Man mano che si moltiplicano tolgono spazio ai programmi legittimi, rallentando il computer e impedendo l’uso di qualsiasi funzione. Un worm non va confuso con un virus: il primo si diffonde autonomamente, sfruttando vulnerabilità di rete, il secondo richiede l’interazione dell’utente per attivarsi. Per saperne di più è possibile leggere la nostra guida sulla differenza tra virus e worm.
Come agiscono
I worm si moltiplicano automaticamente creando delle copie del loro eseguibile o creando dei file inutili ma che occupano lo spazio (migliaia di file da 1KB). Oltre ad invadere la memoria del disco possono anche moltiplicarsi tramite rete interna, utilizzando le connessioni LAN e le condivisioni di tipo SMB per infettare rapidamente tutti i dispositivi connessi.
Come si prendono
I worm sono famosi per diffondersi tramite allegati email e macro nascosti all’interno dei documenti Office, ma le ultime versioni possono diffondersi tramite trojan o tramite link infetto condiviso via chat di WhatsApp o tramite social.
3. Ransomware
I più pericolosi malware, in grado di portare scompiglio sia sui dispositivi personali sia sui dispositivi aziendali. La gravità dell’infezione da ransomware è tale che molti antivirus utilizzando un modulo di protezione dedicato contro questo tipo di malware (come nel caso di Kaspersky).
Cosa sono
I ransomware sono malware potenti in grado di bloccare il desktop e l’accesso ai file personali. Possono avviarsi automaticamente, anche senza l’interazione dell’utente; sono pensati per avviarsi in memoria e bloccare il sistema operativo, garantendosi l’accesso al sistema anche dopo un riavvio o un ripristino.
Come agiscono
Questi malware agiscono su due livelli: blocco del sistema e cifratura dei file personali. Il blocco del sistema mostra una schermata, impossibile da chiudere, dove sono presenti le informazioni per pagare i malintenzionati e riscattare il codice per sbloccare i file cifrati.
Il sistema di cifratura si occupa di cifrare i file personali con algoritmi via via sempre più avanzati, che rendono impossibile accedere al file. I documenti non sono recuperabili a meno di non pagare il riscatto o usare i tool di sblocco forniti dalle aziende antivirus, anche se alcuni ransomware cifrano così bene da rendere impossibile il recupero.
Come si prendono
I ransomware possono nascondersi praticamente ovunque (allegati, email, eseguibili), ma spesso si trovano nelle pagine web. Basta quindi aprire una pagina web infetta (che presenta script o porzioni di codice infetto) per avviare il ransomware in memoria e bloccare il sistema.
Questo rende necessario bloccarli non appena si palesano in memoria, impedendo loro di accedere ai file personali e alle cartelle del sistema, con una reattività elevata (disponibile quasi sempre solo in antivirus premium).
4. Spyware
Gli spyware sono spesso utilizzati come strumenti per recuperare informazioni personali, rubare dati d’accesso e spiare il comportamento dell’utente a fini di marketing aggressivo. La loro pericolosità varia in base al tipo di informazioni raccolte e al grado di mimetizzazione all’interno del sistema operativo.
Cosa sono
Gli spyware si presentano in molte occasioni come moduli aggiuntivi di programmi del tutto legittimi, pensati per finanziare un programma gratuito. Si installano e raccolgono dati dai cookie, dai file personali o dai siti visitati.
In alcuni casi invece presentano come dei veri malware (nello specifico dei keylogger), in grado di infettare il computer e intercettare i dati in transito tra la tastiera, il mouse e il PC, raccogliendo quindi le informazioni che si digita durante la navigazione (incluse le password e i dati d’accesso).
Come agiscono
Gli spyware agiscono come estensioni o processi in memoria, programmati per spiare il comportamento dell’utente in ogni occasione. Possono intercettare gli input del computer e raccogliere dati da browser, applicazioni e siti web, creando un profilo su misura da rivendere alle agenzie pubblicitarie o da utilizzare per bucare account compromessi.
Come si prendono
Gli spyware sono nascosti all’interno di programmi gratuiti legittimi, anche se è possibile trovarli anche come malware a sé stanti, come estensioni di un infezione da trojan o nascosti all’interno dei siti web.
Qual è il Malware più pericoloso?
Compresa differenza tra virus e malware può essere utile approfondire anche il livello di pericolosità di ogni tipologia di malware, visto che ogni categoria presenta vari tipi di rischi.
Il malware più pericoloso attualmente è senza ombra di dubbio il ransomware. Questo si attiva da solo senza interazione dell’utente, si moltiplica velocemente e blocca il sistema operativo, oltre a cifrare i file personali (anche documenti importanti); tirando le somme è difficile trovare un malware più pericoloso.
Dal punto di vista storico il malware più pericoloso è stato Mydoom, un worm che ha colpito Windows nel 2004. Questo ha compromesso velocemente tutti i sistemi operativi connessi ad Internet, mettendo fuori uso intere reti aziendali con danni per miliardi di dollari. Detiene ancora oggi il record per la velocità di diffusione.
Come proteggersi da Virus e Malware
Per proteggersi efficacemente da virus e malware è necessario scegliere subito un antivirus molto potente, in grado di fornire un modulo di protezione on-access reattivo. Un antivirus come Kaspersky può fornire protezione in tempo reale e un modulo specifico per bloccare i ransomware fin dalla versione gratuita, proteggendo così qualsiasi dispositivo dai malware più pericolosi prima che possano arrecare danno.
Un antivirus a pagamento è la scelta migliore per chi è particolarmente esigente in termini di sicurezza, con la costante aggiunta di nuovi moduli di protezione e di sistemi pensati per aggiornare i programmi e il sistema operativo, riducendo sensibilmente i margini per subire un’infezione pesante.
Consigli di sicurezza generali
Oltre alla scelta di un buon antivirus valgono anche i consigli generali di sicurezza:
- effettuare aggiornamenti: conviene tenere sempre aggiornati i programmi e il sistema operativo, così da ridurre i rischi di bug e di vulnerabilità sfruttabili dai nuovi malware;
- evitare link e file sospetti: i link e i file provenienti da Internet, da qualche chat o dalle email andrebbero evitati accuratamente, specie se non si ha un ottimo antivirus installato sul sistema;
- evitare siti sconosciuti: i siti poco frequentati o ottenuti dai social o dalle chat anonime sono il miglior modo per beccarsi un’infezione grave;
- cancellare allegati sospetti: la posta elettronica è ancora un mezzo di diffusione molto utilizzato per i malware, meglio quindi evitare gli allegati da utenti sospetti o mai contattati prima;
- scaricare solo da fonti legittime: conviene usare solo gli store ufficiali e le fonti accreditate per aggiungere nuovi programmi e nuove app, evitando quindi gli eseguibili e gli installer disponibili liberamente in rete;
- utilizzare una VPN: se ci si connette ad una rete aziendale o una rete pubblica per la prima volta vale la pena usare subito una VPN, così da rendersi invisibili al resto dei dispositivi ed evitare così gli attacchi portati avanti tramite rete (basti pensare ai virus e ai worm);
- eseguire un backup dei dati e dei file: per la massima sicurezza conservare sempre una copia dei file personali e un backup del disco e del sistema operativo, in modo da poterlo ripristinare velocemente in caso di necessità.
La maggior parte dei consigli esposti può essere automatizzata installando un antivirus completo come Kaspersky Premium.
Conclusioni
Analizzando la differenza tra virus e malware è possibile capire come agiscono per rubare i dati degli utenti e danneggiare i dispositivi su cui vengono eseguiti. Sapere quale tipo di minaccia si presenta davanti e adottare delle contromisure aiuterà a proteggere i dati personali e difendere le applicazioni e i sistemi dalle infezioni più pesanti, come quelle causate da un ransomware.
Se si è alle prime armi e inesperti è altamente consigliato affidarsi ad un antivirus premium come Kaspersky, in grado di bloccare tutti i tipi di malware, oltre a salvaguardare informazioni sensibili custodite all’interno dei dispositivi. Il tutto con un livello di interazione minimo da parte dell’utente, che deve solo acquistare la licenza e installare il software sui dispositivi compatibili.