Prima di parlare di antivirus, innanzitutto vediamo brevemente cos’è un virus e come agisce.

Per la precisione un virus è un tipo particolare di malware, per cui sarebbe più corretto utilizzare il termine generico, appunto, di malware. Questo è in buona sostanza una porzione di software che può essere eseguita sia da sola, sia all’interno di un normale e legittimo programma che gira nel computer della vittima. Le sue azioni possono essere le più disparate, ma la gran parte tenta di fare due cose: 1) replicarsi, per creare altre versioni di sé nel computer e 2) diffondersi attraverso la rete. Ed infatti l’inizio storico della loro grande diffusione coincide non a caso con l’esplosione di Internet.

Un virus, prima di essere riconosciuto e eliminato (si spera!), attraversa diverse fasi di vita, le principali sono:

  • Creazione
  • Diffusione
  • Incubazione
  • Attivazione
  • Propagazione


La creazione è la progettazione e scrittura del codice del virus da parte di un programmatore esperto. Viene usato sempre un linguaggio di basso livello, al fine di avere un codice virale che occupi pochissimi byte e riesca così a passare inosservato. Successivamente il virus viene diffuso affinché raggiunga i suoi obiettivi.

Quando il virus raggiunge il computer obiettivo, in genere non si attiva subito, ma rimane inerte fino a quando non si verificano le condizioni per la sua attivazione. Questa è la fase di incubazione. Nella fase di attivazione, il virus inizia l’azione dannosa per cui è stato progettato. L’ultima fase è quella di auto propagazione, in cui il virus si riproduce per infettare altre macchine.

L’antivirus entra in gioco già nella fase di diffusione, in quanto è generalmente in grado di intercettare il codice malevolo nel momento in cui viene memorizzato localmente.

Ma andiamo con ordine…


Quali sono le armi di un antivirus?

Gli antivirus hanno diversi strumenti, che utilizzano anche in combinazione, per rilevare le minacce:

  • Le firme
  • L’Euristica
  • La Sand box

Quando viene scoperto un nuovo malware, la software house che distribuisce l’antivirus aggiorna il proprio database della conoscenza, in modo tale da riconoscere poi in futuro quella nuova minaccia. La parte che viene memorizzata è la così detta firma, cioè una sequenza di byte presente all’interno del virus o del file infettato. Pertanto gli antivirus per essere efficaci devono aggiornare frequentemente il proprio database, scaricando le firme dei virus che vengono continuamente scoperti e che risiedono nel database centrale dell’azienda che distribuisce l’antivirus.


Tuttavia al giorno d’oggi lo strumento delle firme non garantisce più una protezione elevata, poiché molti virus sono ‘furbi’ e riescono a offuscare le proprie tracce. Pertanto un buon antivirus deve complementare la funzionalità appena vista con l’euristica. In questo caso, per individuare i virus ancora non presenti nelle firme, l’antivirus analizza la struttura e il comportamento dei programmi in esecuzione e se rileva un sospetto blocca il programma, oppure lascisa decidere l'utente se tale programma è una minaccia oppure no.

Infatti il problema principale dell’euristica è che se viene impostata eccessivamente aggressiva, si rischia di individuare minacce dove in realtà non ci sono. Di contro, se la sensibilità è troppo blanda, il rischio è di lasciarsi sfuggire dei virus, perché non ritenuti tali. Un comportamento sospetto potrebbe essere un programma che inizia a inviare molte email a uno stesso indirizzo.

La Sand box è un’area virtuale protetta e delimitata all’interno del computer, come una specie di 'bolla'. Qui l’antivirus fa eseguire il programma sospetto, ma non gli permette di andare al di fuori del suo spazio circoscritto. Se l’antivirus ritiene che non ci sono pericoli, allora quel programma verrà eseguito normalmente, se invece ne individua una minaccia, terminerà l’esecuzione e cancellerà la sand box, in questo modo il computer non viene coinvolto. Anche se molto utile, la Sand box è una funzionalità che non tutti gli antivirus utilizzano, poiché è piuttosto esosa nell’utilizzo di risorse.


Che modalità usa un antivirus?

Le attività di scansione di un antivirus possono essere generalmente suddivise in:

  • On demand
  • On Access
  • In Cloud

Anche qui di solito sono utilizzate tutte e tre in sinergia.

La modalità On demand è quando l’utente richiede una scansione di un file o di una porzione dell’hard disk.

On access, invece, è la scansione che l’antivirus fa automaticamente quando viene eseguito un programma. Se viene rilevata una minaccia il programma non viene eseguito e si allerta l’utente dell’accaduto.

Nella modalità cloud, gli antivirus più evoluti utilizzano la connessione a Internet per inviare il file sospetto al cloud del produttore, affinché venga scansionato in modo più accurato. Se l’antivirus riceve un esito negativo, allora darà il via libera al computer per usare tale file. Ovviamente per questa ultima modalità è necessaria la connessione permanente a Internet.

Le tipologie di scansione che abbiamo visto vanno modulate attentamente, poiché richiedono le risorse del computer locale e potrebbero pertanto rallentare anche di molto la sua velocità.


Cosa posso fare per aumentare la protezione?

Questa carrellata sugli antivirus non esaurisce il tema della sicurezza informatica, che dà prova di essere un campo molto vasto e complesso. Ad esempio, per citare un altro aspetto, un antivirus, per quanto valido e aggiornato possa essere, non mette al riparo un computer da attacchi esterni. Semplicemente perché non è il suo mestiere.

Pertanto si è soliti accoppiare un antivirus con un buon firewall. Un firewall è un software (in alcuni casi può essere anche un dispositivo fisico) che analizza in tempo reale tutto il traffico che entra nel computer su cui risiede. Se il firewall ritiene che un certo traffico possa essere dannoso per il computer, ne fa il drop, cioè lo elimina senza farlo arrivare all'utente finale. Se alcune tipologie di file sono state individuate come rischiose, semplicemente viene impedito loro di entrare. Anche qui, come nell’euristica, il livello di sensibilità deve essere ben calibrato, altrimenti se troppo alto o troppo blando potrebbe inficiare un corretto funzionamento del firewall.


Se ti interessano questi argomenti e ti piace il linguaggio con cui vengono esposti,

ho creato per te un video corso di informatica adatto ai principianti.

Vai alla pagina del corso!