Perché conoscere virus, trojan, spyware e worm è fondamentale oggi
Negli ultimi quarant’anni, ho visto internet trasformarsi da un lusso per pochi smanettoni in un campo di battaglia digitale dove ogni click può costarti caro. Quando ho iniziato, bastava preoccuparsi del floppy danneggiato.
Ora, ogni dispositivo connesso è un bersaglio. E sai qual è l’errore più comune che vedo? Le persone trattano virus, trojan, spyware e worm come se fossero la stessa cosa. Un’enorme confusione che porta a soluzioni inefficaci e vulnerabilità su larga scala.
Capire le differenze non è teoria da libro: è sopravvivenza digitale. Ti racconterò come riconoscerli, evitarli e, quando serve, contenerli. Ma non aspettarti sciocchezze da tutorial moderni: qui si parla con esperienza vera, accumulata sul campo, dai tempi in cui i modem gracchiavano sulle linee telefoniche.
ECCO IL CONTENUTO
Virus: i vecchi lupi solitari
Molti giovani pensano che “virus” sia un termine generico per qualsiasi minaccia digitale. Ti fermo subito: il virus è la forma più antica, risale agli anni ‘80. È un codice malevolo che si attacca a un file o a un programma legittimo, e si replica solo quando quel file viene eseguito. Ecco dove sta il trucco: senza esecuzione manuale o automatica, il virus resta dormiente.
Quello che distingue un vero virus è la sua capacità di infettare altri file. Mi ricordo di CIH nel ‘99 – un mostro che sovrascriveva il BIOS: ho salvato decine di computer solo perché conoscevo il comportamento del payload e sapevo dove recuperare un backup ROM.
Diagnosi tipica? File .exe o .doc che aumentano inspiegabilmente di dimensione, rallentamenti inspiegabili, processi attivi che non dovrebbero esserci.
Consiglio da veterano: usa sistemi di hashing come SHA-256 per confrontare l’integrità dei file eseguibili. Se cambia l’hash senza motivo, c’è qualcosa che non quadra.
Trojan: la minaccia sotto falso nome
Quello che mi manda in bestia è quando la gente scarica una “calcolatrice pro” da un sito strano e poi si lamenta perché la webcam si accende da sola. Il trojan è, per definizione, un programma apparentemente innocuo che, una volta installato, spalanca la porta a funzioni malevole. Il nome non è un caso: come il cavallo di Troia, porta il nemico dentro le mura.
A differenza dei virus, i trojan non si replicano. Non è il loro scopo. Vogliono innanzitutto installarsi senza farsi notare, poi passano alla fase due: furto dati, accesso remoto, o installazione di ransomware.
Una volta ho analizzato un trojan nascosto in un finto file PDF. Chi l’ha aperto, ha innescato un downloader che ha portato dentro un keylogger e un crypto miner. Ho riconosciuto la catena di infezione perché il processo figlio girava con il nome “acrotray.exe” ma ascoltava sulla porta 4444. Un classico segnale d’anomalia.
Test pratico: monitora le eccezioni del firewall. Se un’app che non dovrebbe comunicare online cerca comunque accesso in uscita, probabilmente stai ospitando qualcosa che non dovrebbe esserci.
Spyware: il ladro silenzioso
Lo spyware non fa rumore. Non cripta, non blocca, spesso non rallenta nemmeno. Fa una sola cosa: guarda. E registra. Che sia la cronologia di navigazione, le password digitate o gli screenshot periodici del tuo schermo, il suo scopo è raccogliere informazioni senza che tu te ne accorga.
Mi ha sempre stupito come troppa gente cerchi modi per spiare un tradimento e poi si scandalizzino se vengono spiati loro. Ah, l’ironia!
Nel 2005 ho smascherato un client macchina da gioco (una slot online) che nascondeva uno spyware iniettato nella DLL preinstallata delle DirectX. L’unico segnale era un traffico HTTPS criptato verso un server russo, in orario notturno. Lo avresti notato solo se controllavi i log del router.
Trucco da mani callose: usa “netstat -ano” su Windows o “lsof -i” su Linux per identificare connessioni sospette. Il 70% degli spyware tradizionali si collega a server noti, molto prima di iniziare la raccolta dati massiva.
Worm: quelli che corrono da soli
I worm sono virali per davvero. Non hanno bisogno di un file da infettare o di un clic umano: si diffondono da soli, una macchina infetta e poi va a caccia delle altre sulla stessa rete. Spoofano, reindirizzano, e spesso sfruttano vulnerabilità non patchate in servizi di rete.
Ricordi Blaster o WannaCry? Quelli erano worm. E non erano uno scherzo. Nel mio laboratorio, nel 2017, ho isolato WannaCry in un VM con snapshot attivi ogni 15 minuti. Ho guardato in tempo reale come provasse a propagarsi sulla rete con l’exploit EternalBlue. Sai cosa l’ha bloccato? Una banale regola firewall locale fatta nel 2009. Vecchia scuola, uno a zero.
Segnale d’allarme: traffico intensivo su porte SMB (445) o RPC (135) tra nodi interni alla rete che normalmente non dialogano.
Contromisura d’esperienza: se amministri una rete domestica o aziendale, segmentala con VLAN e firewall separati. I worm odiano i muri interni.
Ciò che i moderni ignorano: l’importanza dell’osservazione
Oggi si affida tutto agli antivirus come se fossero oracoli. Ma lo strumento vale quanto l’artigiano che lo usa. Io dico sempre: vuoi davvero capire cosa succede? Guarda cosa fa il sistema quando crede di non essere osservato.
Una volta mi sono imbattuto in un laptop apparentemente integro. Nessun antivirus, nessun comportamento anomalo. Ma quando l’ho lasciato su una rete isolata e ho avviato Wireshark, ecco lì: beacon UDP ogni 62 secondi verso un IP brasiliano. Ho tracciato l’infezione a un plugin WordPress gratuito installato su una macchina di test tre mesi prima.
Sono questioni come queste che mostrano l’importanza di guardare l’attività invisibile, anche dall’alto. Bisogna posizionarsi al di sopra del sistema stesso per coglierne i pattern. Come un satellite.
Conclusione: rispetto per l’arte invisibile
Proteggersi da virus, trojan, spyware e worm non è solo questione di tool aggiornati. È un mestiere fatto di attenzione, memoria storica e pazienza certosina. Di quegli strumenti fondamentali che gli autodidatti con l’ultimo antivirus “AI-powered” spesso ignorano.
Il reale vantaggio? È tutto nella prevenzione, nell’analisi comportamentale, nella lettura dei segnali più silenziosi. Come nell’antica arte di riconoscere le tracce nella polvere prima che l’ombra del predatore ti raggiunga.
Impara a leggere i log, a osservare il traffico, a cogliere il battito del tuo sistema. Lì dentro, ci sono più risposte di quante troverai in qualunque guida moderna. E ricorda: chi controlla il flusso, controlla il sistema. Sempre.