VirusQuando un amico si sorprende delle mie raccomandazioni, o dell’ammissione da parte mia di non sentirmi sicuro contro i virus informatici, io cerco sempre di spiegare che gli antivirus non ci rendono sicuri al cento per cento.

Trovo però difficile spiegare con chiarezza il perchè.

Ora mi è capitato per la mani un esempio di come sia possibile aggirare le difese di un antivirus (anzi della maggior parte degli antivirus) utilizzando una debolezza degli stessi.

Probabilmente mentre scrivo i team di sviluppo dei vari antivirus stanno già risolvendo il problema, ma è ovvio che di problemi come questi ce ne possono essere altri, e che nel momento in cui ne fossimo vittima ci consolerebbe poco sapere che dopo la cosa sarà sistemata.

Il sistema è molto semplice e potete farlo persino voi utenti normali.

Tutto ciò che occorre è un virus, un file .rtf e un editor per lo stesso file.

Il virus, finto per carità, potete scaricarlo qui. Niente paura, è un virus finto, non fa assolutamente nulla, ma viene utilizzato da tutti i software antivirus come test. Ah, se avete un antivirus attivo non ve lo farà scaricare 🙂

A questo punto basta inserire il virus in un documento .rtf, poi cambiare il nome con cui viene visualizzato in qualcosa di rassicurante, tipo readme.txt

La cosa interessante è che il file così ottenuto, un RTF contenente un virus, passa indenne il controllo della maggior parte degli antivirus.

Certo se andate ad eseguire il file contenuto ed avete l’antivirus attivo questo verrà bloccato, ma già il fatto che un file infetto possa girare in rete superando allegramente i controlli degli antivirus non mi rassicura molto.

Se volete divertirvi a vedere se il vostro antivirus riesce a beccarlo, questo è il file contenente il virus di prova EICAR, in teoria l’antivirus non dovrebbe permettervi di scaricarlo….

La morale ? Anche se il vostro provider ha un antivirus sui propri server, anche se voi avete un antivirus installato, anche se il file sembra innocuo, prima di cliccare su qualcosa pensateci molto bene….

(via Avertlabs, via LockerGnome)