Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Come funzionano gli antivirus

di

Il tuo migliore amico, che è un po' più pratico di te con la tecnologia, ti ha consigliato, dopo averti sistemato per l'ennesima volta il computer, di installare un nuovo antivirus, spiegandoti anche un po' come questo protegge all'atto pratico il sistema. Purtroppo, però, tra una cosa e l'altra, ti sei reso conto di non ricordare più nemmeno una parola di quanto detto dal tuo amico e richiamarlo non ti sembra esattamente la migliore delle idee.

Non preoccuparti: se intendi comprendere come funzionano gli antivirus, direi che sei nel posto giusto: in questa sede ti mostrerò, infatti, le peculiarità delle soluzioni moderne, così che tu possa comprenderne da solo il funzionamento e adottare le strategie necessarie per ridurre al minimo il rischio di nuove infezioni.

Dunque, cos'altro aspetti a iniziare? Ritaglia qualche minuto di tempo per te, mettiti bello comodo e leggi con molta attenzione tutto quanto ho da dirti su quest'argomento: così facendo, oltre ad apprendere nuovi concetti, riuscirai ad aumentare la sicurezza del tuo computer configurando al meglio il programma di sicurezza che hai deciso di utilizzare. Detto ciò, non mi resta altro da fare, se non augurarti buona lettura!

Indice

Tecniche di scansione

Dato che ti stai chiedendo come funzionano gli antivirus, direi che risulta giusto iniziare con l'approfondimento delle principali tecniche di scansione utilizzate da questa tipologia di programmi.

Scansione in tempo reale

Scansione in tempo reale Bitdefender

Il modulo di scansione in tempo reale (a volte chiamato anche On-Access) è la componente dell'antivirus che si avvia insieme al sistema operativo, si posiziona in memoria RAM e analizza in tempo reale qualsiasi azione svolta sul computer.

Ogni volta che si esegue, si sposta, si crea o si modifica un file (anche in modo “invisibile”, per esempio all'atto della semplice apertura di un programma), il modulo in tempo reale analizza ciascun file impiegato nel processo (file binari, DLL etc.) alla ricerca di un file dannoso o sospetto. Quando “scatta l'allarme”, il modulo si occupa di bloccare ogni azione del file e di “neutralizzarlo”, spostandolo in una zona protetta, sita all'interno delle cartelle dell'antivirus (questa zona protetta viene chiamata, in genere, Quarantena o Cestino).

Questo modulo è quindi una componente fondamentale dell'antivirus: esso, non a caso, è presente sulla maggior parte dei programmi pensati per lo scopo. Grazie alla scansione on-access è infatti possibile bloccare un'infezione sul nascere, impendendo ai virus di modificare il comportamento del sistema e di danneggiare i file personali.

Ovviamente, questo modulo non è infallibile: se il virus è ben nascosto all'interno di file legittimi oppure non presente nella speciale “lista” in possesso dell'antivirus (sulla quale torneremo più avanti), esso potrebbe sfuggire a questo controllo, risultando quasi del tutto invisibile. Numerosi virus, infatti, possono essere attivati a distanza o dopo un determinato periodo di tempo, sfuggendo quindi al controllo della scansione in tempo reale e generando, di conseguenza, un'infezione più grande.

Un modulo di scansione in tempo reale dev'essere abbastanza leggero e poco invadente durante la sua azione: se così non fosse, le prestazioni del computer diminuirebbero in modo sensibile dopo qualsiasi operazione avviata dall'utente (anche la semplice apertura di un file o una cartella, per esempio). A tal proposito, potrebbe interessarti dare un'occhiata al mio approfondimento relativo agli antivirus leggeri.

Scansione su richiesta

Scansione su richiesta Bitdefender Antivirus Free

Il modulo di scansione su richiesta (chiamato anche On-demand) è la componente dell'antivirus che si occupa di analizzare, uno alla volta, tutti i file presenti nel sistema o nella cartella indicata. Rispetto al modulo di scansione in tempo reale, esso adotta un sistema molto più preciso ed efficace, e richiede un quantitativo di risorse maggiore: in passato, non era raro dover interrompere il proprio lavoro all'avvio di una scansione on-demand, poiché disco fisso e CPU erano completamente impegnati a eseguire questo compito.

Per via di quest'elevata richiesta di risorse, tale modulo può essere avviato soltanto su richiesta, cliccando su uno specifico pulsante presente nell'interfaccia dell'antivirus, oppure richiamando l'annessa funzionalità dal menu contestuale dei file salvati nel sistema.

La scansione su richiesta può inoltre essere pianificata: in tal modo, è possibile far sì che questa avvenga nei periodi in cui il computer non dev'essere utilizzato per altri compiti.

Personalmente, ti consiglio di pianificare una scansione completa del sistema almeno una volta al mese, impostando un giorno e/o un'ora in cui sei sicuro di non essere presente al PC (meglio lasciare il computer acceso per lo scopo, così da non doverla poi rimandare al primo avvio utile).

Scansione cloud

Scansione cloud antivirus

Da un po' di tempo, alle classiche componenti degli antivirus, si è aggiunto un nuovo modulo che coadiuva quelli On-Access e On-Demand: il modulo di scansione basata sul cloud. Quando questo componente è attivo, tutti i dati sui file analizzati dall'antivirus vengono inviati via Internet a una rete di server interconnessi, così da poter beneficiare di una potenza di calcolo molto superiore: i server, in tal modo, possono scansionare i dati del file (o il file intero, laddove questo fosse relativamente piccolo) e fornire un responso immediato all'antivirus, che potrà così cancellarlo (nel caso si trattasse di un virus) oppure “lasciarlo passare” (nel caso di un file legittimo).

Tale approccio ha due grossi vantaggi: in primis, l'analisi avviene su più motori contemporaneamente, il che riduce drasticamente il rischio di falsi negativi (o falsi positivi); in secondo luogo, le risorse del computer in uso non vengono impegnate ai fini della scansione, che avviene esclusivamente tramite Internet.

Tuttavia, il sistema di scansione cloud richiede accesso a Internet costante, poiché i server di analisi devono essere sempre disponibili. Al fine di evitare la saturazione della banda Internet (problema potenziale se si ha a disposizione una connessione non velocissima), questa componente entra solitamente in azione solo per le scansioni su richiesta e/o per i file classificati come “sospetti”. In assenza di collegamento a Internet, la componete cloud non funziona, per cui l'antivirus deve utilizzare gli strumenti messi a disposizione “offline” per poter bloccare le potenziali minacce.

Metodi di analisi

Dopo aver analizzato i moduli di scansione caratteristici degli antivirus moderni, è il momento di capire quali sono gli strumenti che tali programmi utilizzano per poter capire se un file è nocivo o meno. Per capire bene questa differenza, immagina un posto di blocco in strada: le tecniche di scansione potrebbero essere i poliziotti, mentre puoi vedere i metodi di analisi come gli strumenti impiegati per il rilevamento delle infrazioni, quali gli autovelox, gli etilometri e così via.

Metodo basato sulle firme

Metodo basato sulle firme antivirus

Il metodo più semplice e veloce impiegato dagli antivirus per stanare le minacce prevede l'impiego di una serie di “liste speciali” contenenti le firme o definizioni dei virus conosciuti: queste ultime sono delle caratteristiche specifiche delle minacce informatiche, quali comportamenti noti, precise sequenze di bit all'interno dei file infetti o codici hash. Tali archivi vengono interrogati ogni volta che un file viene analizzato dai moduli di scansione on-demand e on-access.

Le liste delle firme/definizioni vengono inoltre aggiornate con regolarità da tutti i produttori di antivirus, così da poter “beccare” (nel minor tempo possibile) ogni nuova minaccia riconosciuta. Purtroppo, però, questo metodo è inefficace per i virus messi in circolazione da pochi giorni o poche ore dall'analisi: non essendoci nessuna firma nota, l'antivirus potrebbe lasciar passare una minaccia senza far scattare l'allarme (minacce 0-day).

Tornando al nostro esempio sulle autorità, puoi considerare le firme/definizioni come le foto segnaletiche utilizzate dai poliziotti per poter identificare subito i delinquenti ricercati. Se un delinquente ha cambiato i suoi connotati, oppure non è ancora stato colto in flagrante (quindi non ha nessuna foto segnaletica associata alla sua identità), questi può sfuggire facilmente anche al controllo della pattuglia più attenta.

Metodo basato sull'euristica

Metodo basato sull'euristica antivirus

Se la firma di un virus non è presente nell'apposito archivio, esso potrebbe essere bloccato utilizzando una particolare componente dell'antivirus, ossia il modulo euristico. Tale modulo si occupa di fermare i file sospetti (ma non bloccati dalle firme) e controllarne il comportamento: se i file seguono degli schemi riconosciuti come fortemente sospetti o pericolosi, essi vengono subito bloccati e posti in quarantena, in attesa di ulteriori indagini (ossia l'arrivo di firme sulla natura malevola del file).

Grazie a questo modulo, il computer può difendersi dalle nuove minacce. D'altro canto, però, la sensibilità dell'euristica gioca un ruolo chiave per il suo successo: un modulo troppo severo può bloccare anche file perfettamente legittimi, mentre un modulo troppo permissivo può far passare i virus senza intervenire affatto.

Tornando all'esempio sulle autorità, puoi paragonare l'euristica al controllo completo che i poliziotti eseguono al passaggio di una vettura sospetta, durante un posto di blocco. Anche se la persona fermata non risulta ricercata, ma sembra irrequieta, si agita, teme controlli in auto o alla sua persona, è facile supporre che questi nasconda qualcosa!

Metodi basati sul cloud

Metodi basati sul cloud analisi telemetrica

Come già accennato in precedenza, molti strumenti moderni, al fine di bloccare i virus, prevedono l'utilizzo di Internet: tecniche come l'analisi telemetrica, l'euristica “a sciame” (basata sui comportamenti registrati dagli altri utenti che usano lo stesso antivirus e che incontrano lo stesso file) e il data mining contribuiscono a fermare anche le minacce più pericolose, quelle portate avanti da virus polimorfi, ossia in grado di cambiare identità (risultando quindi puliti su ogni PC infettato), e dai ransomware (abili a nascondersi in file insospettabili).

Puoi paragonare i metodi di analisi basati sul cloud come il supporto “esterno” offerto ai poliziotti durante una grande caccia all'uomo: elicotteri, comunicazioni radio e cani da guardia.

Sandbox

COMODO Sandbox Antivirus

Altro diffuso strumento disponibile negli antivirus moderni è la cosiddetta sandbox: essa prevede la creazione di uno spazio isolato, non comunicante con l'esterno, in cui vengono virtualizzati tutti i file di sistema richiesti durante l'avvio di un programma sospetto o di un eseguibile.

Se l'eseguibile si rivela essere un virus, esso potrà infettare solo la parte di sistema virtualizzata all'interno della sandbox, senza danneggiare il sistema operativo vero e proprio. Un po' come una macchina virtuale, insomma.

Grazie alla sandbox, si possono evitare un gran numero di infezioni: se la soluzione da te scelta ne dispone, abbi cura di inserire al suo interno tutti i nuovi programmi scaricati, o quelli che possono rappresentare degli importanti vettori di minacce (ad es. i browser e i client di posta elettronica).

Importanza degli aggiornamenti

Importanza degli aggiornamenti Windows Update Windows 11

Come puoi facilmente intuire, arrivato a questo punto della guida, aggiornare costantemente l'antivirus è di fondamentale importanza per mantenere sempre alta la barriera di protezione. Gli aggiornamenti, infatti, prevedono spesso il download delle nuove firme e il miglioramento dei moduli integrati nell'antivirus.

Ad oggi, quasi tutti gli antivirus sono programmati per scaricare gli aggiornamenti non appena essi diventano disponibili: per quelli basati principalmente sul cloud, l'update è, invece, costante e in tempo reale, poiché i database vengono sincronizzati non appena si aggiunge anche una sola firma. Non ci crederai, ma quest'operazione più avvenire anche più volte in un minuto!

La mancanza degli aggiornamenti, invece, potrebbe rendere essenzialmente “inutili” le funzionalità di protezione integrate nel software antivirus: i file nocivi più recenti, infatti, potrebbero agire indisturbati e danneggiare il sistema operativo e i dati in esso salvati. Di fatto, sarebbe proprio come non avere nessuna protezione!

In genere, è possibile intervenire sulla frequenza degli aggiornamenti automatici dal pannello delle impostazioni degli antivirus: assicurati innanzitutto che questi siano attivi e abbi cura di impostare l'intervallo di controllo/download a un tempo molto basso (un'ora o meno).

Per quel che riguarda, invece, le soluzioni integrate, ad esempio Windows Defender/Sicurezza di Windows, ovvero l'antivirus di Microsoft che si può trovare “di serie” su Windows 10 e Windows 11, usualmente gli update sono legati all'aggiornamento del sistema operativo e possono dunque essere effettuati direttamente dalle impostazioni di sistema.

Per procedere nell'ambito di Windows Defender/Sicurezza di Windows, da Windows 11 ti basta dunque recarti nel menu Start presente in basso nella barra delle applicazioni, facendo poi clic sull'icona dell'ingranaggio per aprire le Impostazioni di sistema.

Dopodiché ti basta premere sul riquadro Windows Update presente in alto a destra nella scheda Home, per poter utilizzare il pulsante Verifica disponibilità aggiornamenti. Per maggiori dettagli, potrebbe interessarti fare riferimento alla mia guida su come aggiornare il PC.

I migliori antivirus

I migliori antivirus Surfshark ONE

Fammi indovinare: adesso che sei a conoscenza del funzionamento degli antivirus e delle modalità di aggiornamento degli stessi, ti interesserebbe dare un'occhiata a ciò che offre la scena informatica per scegliere ciò che più si adatta al tuo caso? Nessun problema, credo proprio di poterti dare una mano.

Per quanto, infatti, esistano antivirus gratuiti utilizzati con soddisfazione da un buon numero di utenti, se tieni alla sicurezza del tuo dispositivo potrebbe interessarti più che altro approfondire gli antivirus a pagamento. Questi ultimi, infatti, integrano delle funzioni avanzate assenti dalle classiche soluzioni gratuite, a partire dalle protezioni che impediscono ai criminali informatici di poter prendere il controllo della webcam, passando per funzioni che notificano l'utente in caso i suoi dati siano finiti in mano agli hacker. Capisci bene, insomma, che puntare su una soluzione a a pagamento potrebbe rivelarsi utile.

A tal proposito, una soluzione valida a livello di antivirus a pagamento è Surfshark One: si tratta di una suite all-in-one compatibile un po' con tutti i sistemi operativi (da Windows a macOS). Tra le protezioni avanzate proposte, troviamo la scansione dei file direttamente in fase di download, ma c'è anche una funzione che permette di generare una nuova e-mail proxy con Alternative ID. Il flusso video della webcam viene inoltre protetto da intrusioni esterne e non mancano delle notifiche istantanee relative ai cosiddetti data breach (ovvero quelle fughe di dati che possono far trapelare i dati personali). C'è, insomma, un po' di tutto, tra l'altro a un prezzo inferiore ai 4 euro al mese (ci possono anche essere 3 mesi extra senza costi aggiuntivi). Per maggiori dettagli, puoi fare riferimento al mio tutorial su come funziona Surfshark One.

Come dici? Utilizzi un Mac? In questo caso potrebbe interessarti dare un'occhiata a CleanMyMac X. Si tratta di un programma tuttofare, che si occupa sia della “pulizia” del sistema (per velocizzarlo) che della protezione dello stesso. Il punto di forza di un programma di questo tipo consiste nel fatto che basta premere un tasto per avviare una scansione smart, in grado di rilevare e risolvere i problemi in men che non si dica. CleanMyMac X si può utilizzare gratis per 7 giorni, ma poi bisogna passare a un piano in abbonamento. A tal proposito, potrebbe farti piacere approfondire Setapp, dato che si tratta di un servizio comodo ed economico che garantisce l'accesso a decine di programmi per macOS che generalmente sono a pagamento. Puoi approfondire la questione tramite le mie guide su come funziona Setapp e su come funziona CleanMyMac X.

Per quanto riguarda le soluzioni di sicurezza pensate per gli smartphone e i tablet con sistema operativo Android, puoi dare un'occhiata alla mia guida ai migliori antivirus per Android, in cui ti ho elencato quelle che sono le migliori app pensate per preservare l'integrità dei dispositivi.

Per quanto riguarda iOS/iPadOS, invece, non ho molto da dirti: tali sistemi operativi dispongono di protezioni di sicurezza integrate estremamente efficienti, pertanto, di norma, non richiedono la presenza di una specifica soluzione antivirus. Se, però, hai bypassato queste protezioni per un motivo o per un altro o ritieni comunque indispensabile avere un antivirus a disposizione, puoi consultare il mio tutorial relativo alla rimozione dei virus da iPhone, nel quale ho trattato l'argomento “sicurezza” con dovizia di particolari.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.