Quando l'antivirus non funziona

Capita abbastanza spesso che anche un buon antivirus, pur aggiornato, non si accorga della presenza di un virus o di malware. Eppure il virus c'è di sicuro perché le conseguenze della sua presenza sono manifeste. Questo non esclude che si possono prendere, e sovente accade, clamorosi abbagli.
E' comunque normale che anche il miglior antivirus risulti, sul momento, inadeguato ad affrontare una nuova minaccia. Questo sia considerando una protezione in tempo reale, sia considerando i risultati di una scansione lanciata da un utente.

Gli antivirus identificano il malware sostanzialmente in due modi: tramite la "firma" di un virus e tramite la ricerca euristica. L'aggiornamento quotidiano di un antivirus non è altro che l'aggiornamento del database delle firme dei virus noti. Mentre la ricerca euristica cerca di identificare un nuovo virus in base a caratteristiche di comportamento o strutture nel codice simili a virus noti: il difetto della ricerca euristica è quello di produrre molti falsi positivi, ossia di identificare come virus alcune categorie di programmi, legittimi, che con i virus non  hanno niente a che fare. Di solito si può impostare il livello di approfondimento della ricerca euristica: più è alto maggiori sono le possibilità.

La ricerca di un virus tramite la sua "firma" può ovviamente agire solo su virus noti o quanto meno su classi di virus noti, la cui firma sia inserita nel database utilizzato dal programma antivirus. Quindi tutti i virus appena creati, se non sono "parenti stretti" di altri virus già classificati,  non possono essere individuati in base alla firma fin quando qualcuno, spesso grazie alla segnalazione di tecnici e utenti, o di veri e propri cacciatori di virus, non segnala la presenza di quel determinato programma malevolo che viene quindi analizzato e la cui firma viene inserita nella successivo rilascio del database aggiornato.

Prima di proseguire è doveroso un chiarimento: con il termine malware si indicano quei programmi o parte di codice progettati per infettare dispositivi informatici ed eseguire compiti indipendentemente dalla volontà dell'utente del dispositivo infettato, come carpire password e dati riservati, mass mailing, attacchi contro altri obbiettivi, etc.

Worms, trojans e rootkits sono alcuni tipi di malware. Anche i virus rientrano nella generica categoria del malware, anche se storicamente la parola virus è nata prima della parola malware.
La caratteristica principale di un virus è quella di auto-replicarsi infettando altri programmi.
Sono sempre meno diffusi rispetto ad altri tipi di malware.

Mentre molti tipi di malware possono essere individuati ed eliminati manualmente, lo stesso non si può dire dei virus, che solitamente necessitano dell'utilizzo di un antivirus.

Spesso l'individuazione manuale di alcuni tipi di malware non è difficile relativamente al grado di conoscenza di quel sistema operativo da parte dell'utente.

Spesso chi progetta un certo tipo di malware non si preoccupa del fatto che un utente esperto lo individua ed elimina in pochi minuti: il suo obbiettivo sono quel 90% degli utenti che nemmeno ci provano o si accorgono della sua presenza. Entro pochi pochi giorni o poche ore tutti gli scanner antivirus individueranno la sua "creatura" che nel frattempo avrà già prodotto i risultati per cui era stata progettata.

Anche se l'antivirus non è infallibile rimane lo strumento più semplice a protezione della nostra sicurezza informatica, da abbinare ad una buona dose di prudenza nell'aprire allegati sospetti o ricevuti da sconosciuti e nel visitare siti non affidabili.