Un virus informatico è un tipo di malware che si replica inserendo copie di sé stesso in altri file eseguibili o nel settore di avvio (boot sector) di un supporto di memorizzazione. Come i virus biologici da cui prende il nome, il virus informatico richiede un host — un file o un sistema già presente — per sopravvivere e propagarsi: non può eseguirsi autonomamente senza che il file infetto venga avviato dall’utente o dal sistema.
Meccanismo di infezione
Il ciclo di vita di un virus si articola in quattro fasi. Durante la fase di infezione, il virus trova file o supporti target (file eseguibili nella stessa directory, dischetti, condivisioni di rete) e vi inserisce il proprio codice. Nella fase di latenza, il virus può rimanere inattivo per un periodo definito o attendere un trigger (data specifica, numero di avvii, evento di sistema). Nel momento dell’attivazione, quando il file infetto viene eseguito, il virus si attiva. Infine nella fase di propagazione, il virus cerca nuovi host da infettare prima, durante o dopo la propria azione malevola.
Tipologie
File infector: si inserisce in file eseguibili (.exe,.com,.dll su Windows; ELF su Linux). All’esecuzione del file, il virus si attiva, infetta altri eseguibili accessibili e poi esegue (o simula di eseguire) il programma originale.
Boot sector virus: infetta il MBR (Master Boot Record) o il VBR (Volume Boot Record) del disco. Si attiva ad ogni avvio del sistema, prima del caricamento del sistema operativo — particolarmente difficile da rimuovere. Molto diffuso negli anni ‘80/’90 tramite floppy disk.
Macro virus: si nasconde nelle macro di documenti Office (Word, Excel) ed è eseguito quando il documento viene aperto con le macro abilitate. Tornato di moda con le macro di Excel VBA usate come dropper di malware.
Virus polimorfico: modifica il proprio codice ad ogni ciclo di infezione generando varianti con firma binaria diversa, eludendo la detection basata su firme statiche degli antivirus. La struttura logica rimane invariata ma il codice è cifrato o riorganizzato diversamente.
Virus metamorfico: si riscrive completamente ad ogni infezione — non solo cifra il payload ma rigenera il proprio corpo in modo semanticamente equivalente ma strutturalmente diverso. Più difficile da rilevare del polimorfico.
Distinzione da worm e trojan
Il virus si distingue dagli altri malware per la necessità dell’host e della propagazione manuale (l’utente deve eseguire il file infetto). Il worm si propaga autonomamente in rete senza host. Il trojan si camuffa da software legittimo ma non si replica. Nella pratica moderna, molti malware combinano caratteristiche di più categorie.