Malware cos’è: guida completa a Virus, Trojan e Ransomware

Il malware è software progettato con intento malevolo — danneggiare, rubare dati, prendere controllo del sistema o sfruttarlo per scopi illeciti. Non è sinonimo di “virus”: il virus è una categoria specifica di malware, mentre il termine malware copre l’intero spettro di codice ostile — trojan, ransomware, spyware, adware, rootkit, worm.

La domanda malware cos’è emerge di solito quando il sistema inizia a comportarsi in modo anomalo: rallentamenti inspiegabili, popup pubblicitari invasivi, programmi che si aprono da soli, file cifrati con richiesta di riscatto. A quel punto, capire cosa si è installato e come rimuoverlo diventa urgente. Ma la difesa più efficace è impedire l’infezione in primo luogo.

Malware cos’è: definizione tecnica

Il termine malware (malicious software) indica qualsiasi programma eseguibile, script o codice con funzionalità ostili per l’utente o per il sistema. Include software che:

• Ruba informazioni personali, credenziali bancarie, dati aziendali
• Cifra file e chiede pagamento per il ripristino (ransomware)
• Traccia comportamenti e abitudini dell’utente (spyware)
• Usa risorse del sistema per mining di criptovalute o invio spam
• Danneggia o cancella dati
• Installa backdoor per accesso remoto permanente
• Propaga se stesso ad altri dispositivi sulla rete

A differenza dei bug software — errori di programmazione non intenzionali — il malware è creato deliberatamente con obiettivi specifici. La distinzione fondamentale è l’intenzionalità: tutto il malware è software dannoso per scelta, non per difetto.

Differenza tra virus e malware

La confusione più comune: molti chiamano “virus” qualsiasi infezione informatica. Tecnicamente scorretto. Un virus è malware che si replica inserendo il proprio codice in altri programmi o documenti — richiede un host per diffondersi. Il malware è il termine ombrello che include virus, worm, trojan, ransomware e tutte le altre categorie.

In sintesi:

• Virus → sottocategoria di malware che si replica infettando altri file
• Malware → qualsiasi software malevolo, inclusi virus

Quindi è corretto dire “ho preso un malware” per indicare genericamente un’infezione, mentre “ho preso un virus” è preciso solo se il malware si replica autonomamente.

Tipologie di malware: classificazione dettagliata

Ogni categoria di malware ha comportamenti, obiettivi e metodi di diffusione specifici.

🦠 Virus

Software che si replica inserendo copie del proprio codice in file eseguibili, documenti Office con macro, settori di avvio del disco. Richiede l’esecuzione del file infetto per attivarsi. Una volta attivo, infetta altri file sul sistema e su dispositivi collegati (USB, rete condivisa). I virus moderni sono meno comuni rispetto agli anni ’90-2000 — altre forme di malware si sono dimostrate più efficaci.

🐛 Worm

Simile al virus ma autonomo: non necessita di un file host. Si replica e diffonde automaticamente attraverso la rete sfruttando vulnerabilità di sistema o servizi mal configurati. Esempi storici come WannaCry (ransomware con capacità di worm) hanno infettato centinaia di migliaia di computer in poche ore sfruttando una falla in Windows SMB.

🐴 Trojan

Malware mascherato da software legittimo. L’utente lo scarica credendo sia un programma utile — crack di software commerciale, tool gratuito, aggiornamento di sistema falso. Una volta eseguito, installa payload malevoli: keylogger, backdoor, downloader di altri malware. I trojan sono il vettore più comune per infezioni attuali — si diffondono tramite email phishing, siti compromessi, download da fonti non verificate.

🔒 Ransomware

Cifra file dell’utente (documenti, foto, database) rendendoli inaccessibili. Mostra una schermata con richiesta di pagamento in criptovaluta per ottenere la chiave di decifratura. Varianti moderne cifrano anche i backup se accessibili dalla rete. Il ransomware è il malware economicamente più devastante — aziende colpite pagano decine o centinaia di migliaia di euro per recuperare dati critici. La difesa più efficace è il backup offline regolare: se i file sono salvati su supporti disconnessi, il ransomware non può raggiungerli.

🕵️ Spyware

Monitora attività dell’utente: siti visitati, tasti premuti (keylogger), screenshot periodici, accesso a webcam e microfono. Trasmette i dati raccolti a server remoti. Usato per furto credenziali, spionaggio aziendale, sorveglianza personale. Molti spyware commerciali vengono venduti legalmente come “software di monitoraggio parentale” o “controllo dipendenti” — la linea tra uso legittimo e abuso è sottile.

📢 Adware

Mostra pubblicità invasiva — popup, banner, redirect a siti commerciali. Tecnicamente meno dannoso di altre categorie, ma degrada esperienza utente e rallenta il sistema. Spesso si installa in bundle con software gratuito scaricato da fonti poco affidabili. Alcuni adware tracciano anche comportamenti di navigazione per profilazione pubblicitaria aggressiva.

👻 Rootkit

Modifica il sistema operativo per nascondere la propria presenza e quella di altro malware. Opera a livello privilegiato (kernel o bootloader), rendendo difficile la rilevazione anche per antivirus. I rootkit permettono accesso persistente al sistema anche dopo rimozione di altro malware visibile. La bonifica richiede spesso reinstallazione completa del sistema.

💰 Cryptojacker / Cryptominer

Usa risorse del processore e GPU per mining di criptovalute a beneficio dell’attaccante. L’utente nota rallentamenti, surriscaldamento, ventole sempre al massimo, consumi elettrici elevati. Si diffonde tramite script su siti compromessi (mining in-browser) o malware installato permanentemente. Meno visibile di ransomware, spesso rimane non rilevato per mesi.

Come si prende un malware: vettori di infezione 🚨

Il malware non appare spontaneamente su un sistema — arriva sempre tramite un’azione dell’utente o una vulnerabilità sfruttata.

Email phishing e allegati malevoli

Il vettore più diffuso. Email che sembra provenire da fonte legittima con allegato (.exe, .zip, documento Office con macro). L’utente apre l’allegato credendolo sicuro — il malware si installa. La difesa contro questo tipo di attacco richiede capacità di riconoscere i segnali tipici del phishing: mittente sospetto, richieste urgenti, allegati inaspettati.

Download da fonti non ufficiali

Crack di software commerciale, keygen, programmi piratati, versioni “gratuite” di tool a pagamento. Il file scaricato contiene il software promesso più un trojan. Anche siti di download apparentemente legittimi possono ospitare installer compromessi se non verificano i file caricati dagli utenti.

Vulnerabilità software non patchate

Sistemi operativi, browser, plugin, applicazioni con vulnerabilità note possono essere sfruttati da exploit che installano malware senza interazione dell’utente (drive-by download). La difesa è mantenere tutto aggiornato — gli aggiornamenti di sicurezza correggono le falle prima che diventino sfruttabili su larga scala.

Dispositivi USB infetti

Chiavette USB trovate in luoghi pubblici o ricevute da fonti non fidate possono contenere malware configurato per esecuzione automatica all’inserimento. Metodo meno comune in epoca moderna ma ancora usato per attacchi mirati in contesti aziendali.

Siti web compromessi

Siti legittimi hackerati che servono exploit kit o script di mining ai visitatori. Il malware si installa sfruttando vulnerabilità del browser o di plugin come Flash (ora obsoleto) e Java. La navigazione sicura con browser aggiornato riduce drasticamente questo rischio.

Reti Wi-Fi pubbliche non sicure

Su reti aperte, attaccanti possono intercettare traffico o iniettare malware in download non cifrati. Connessioni HTTP (senza HTTPS) sono particolarmente vulnerabili. L’uso di una VPN cifra tutto il traffico, rendendo inefficace questo vettore anche su reti ostili.

Segnali di infezione da malware

Riconoscere i sintomi di un’infezione attiva permette di intervenire prima che il danno diventi irreversibile.

• Rallentamenti improvvisi e persistenti — CPU e RAM costantemente al massimo senza motivo apparente
• Popup pubblicitari anomali — banner anche quando il browser è chiuso, redirect a siti commerciali
• Programmi che si avviano da soli — finestre che appaiono all’avvio o durante l’uso normale
• Modifiche al browser — homepage cambiata, motore di ricerca predefinito alterato, toolbar non installate dall’utente
• Antivirus disabilitato o bloccato — molti malware disattivano le difese del sistema
• File scomparsi o cifrati — estensioni modificate, documenti non apribili, richiesta di riscatto
• Traffico di rete anomalo — il sistema invia o riceve dati anche quando non in uso
• Account compromessi — accessi non autorizzati, email inviate dal proprio account senza intervento

La presenza di uno o più sintomi non garantisce infezione (possono essere causati da problemi hardware o software legittimo mal configurato), ma giustifica una scansione approfondita.

Come rimuovere il malware: procedura operativa

La rimozione dipende dal tipo e dalla gravità dell’infezione. Per malware superficiale (adware, alcuni trojan), strumenti automatici sono sufficienti. Per rootkit o ransomware, può essere necessaria reinstallazione completa. Per una scansione approfondita quando l’antivirus installato è compromesso, esistono strumenti di scansione alternativi che operano da ambienti esterni al sistema operativo — rescue disk bootabili e scanner online multi-engine.

Procedura standard di bonifica:

1. Disconnettere il sistema dalla rete — evita che il malware comunichi con server di comando o si propaghi ad altri dispositivi
2. Avviare in modalità provvisoria — impedisce l’esecuzione automatica di molti malware all’avvio
3. Eseguire scansione completa con antivirus aggiornato — se l’antivirus installato è compromesso, usare tool standalone da USB (Kaspersky Rescue Disk, Windows Defender Offline)
4. Rimuovere i malware rilevati — seguire le istruzioni dell’antivirus. Annotare nomi dei file infetti per verifica successiva
5. Verificare processi in esecuzione — controllare Task Manager / Activity Monitor per processi sospetti con nomi casuali o consumi anomali
6. Controllare estensioni browser — rimuovere componenti aggiuntivi non installati consapevolmente
7. Resettare impostazioni browser — ripristina homepage, motore di ricerca, pagina nuova scheda ai valori predefiniti
8. Cambiare tutte le password — da un dispositivo pulito. Se il sistema era infetto, considerare tutte le credenziali compromesse
9. Verificare la presenza di backdoor residue — anche dopo rimozione del malware principale

Per ransomware che ha cifrato file, la rimozione del malware non decifra i dati — serve la chiave o un backup precedente all’infezione. Non pagare il riscatto: non garantisce il recupero e finanzia attività criminale.

Difese preventive: come proteggere il sistema 🛡️

La prevenzione è più efficace e meno costosa della bonifica post-infezione.

1. Antivirus aggiornato e attivo

Windows Defender integrato in Windows è sufficiente per la maggior parte degli utenti se tenuto aggiornato. Antivirus di terze parti (Bitdefender, Kaspersky, ESET) offrono funzioni aggiuntive ma non sono indispensabili. L’importante è che sia sempre attivo e le definizioni virus aggiornate quotidianamente. Per verificare l’efficacia della protezione installata, esistono test di verifica antivirus che permettono di controllare se il software di protezione sta operando correttamente.

2. Aggiornamenti di sistema e applicazioni

Abilitare aggiornamenti automatici per sistema operativo, browser, PDF reader, suite Office, plugin. Le vulnerabilità corrette con le patch sono pubblicamente documentate — chi non aggiorna rimane esposto ad exploit noti.

3. Gestione sicura delle password

Un password manager protegge le credenziali anche se il sistema viene compromesso da keylogger — molti gestori integrano protezione contro cattura da tastiera. Password uniche per ogni servizio limitano il danno di eventuali furti: se un sito viene violato, solo quell’account è esposto.

4. Autenticazione a due fattori

Anche se malware ruba username e password, senza il secondo fattore l’accesso all’account rimane bloccato. L’autenticazione a due fattori trasforma il furto credenziali da compromissione totale a tentativo fallito.

5. Backup regolari offline

L’unica difesa efficace contro ransomware. Backup automatici su hard disk esterno disconnesso dopo la copia o su servizio cloud con versioning (permette recupero versioni precedenti dei file). Chi gestisce siti WordPress dovrebbe implementare un sistema di backup automatico che salvi database e file con frequenza adeguata all’importanza del sito.

6. Navigazione consapevole

Non cliccare link in email non sollecitate, non scaricare eseguibili da fonti non verificate, non installare crack o software piratato (contiene sempre malware). I principi di navigazione sicura sono semplici ma efficaci se applicati con costanza.

7. Limitare i privilegi amministrativi

Usare account utente standard per attività quotidiane, elevare a amministratore solo quando necessario. Malware eseguito con privilegi limitati causa danni più contenuti e è più facile da rimuovere.

Evoluzione del malware e minacce emergenti

Il panorama delle minacce informatiche evolve continuamente. Il malware polimorfo — che modifica il proprio codice a ogni infezione per eludere rilevamento basato su firme — è sempre più diffuso. I malware fileless operano interamente in memoria RAM senza scrivere file su disco, rendendo la rilevazione tradizionale inefficace. Gli attacchi supply chain compromettono software legittimo alla fonte, distribuendo malware attraverso aggiornamenti firmati digitalmente da aziende fidate.

Per approfondire le caratteristiche tecniche delle diverse famiglie di malware e comprendere le metodologie di analisi utilizzate dai team di sicurezza, Fortinet offre un glossario dettagliato che copre anche le varianti più avanzate e le tecniche di evasione utilizzate dagli sviluppatori di codice malevolo.

Malware e privacy: il rischio dei dati rubati

Quando malware di tipo spyware o trojan ruba credenziali, questi dati finiscono spesso in database venduti nel dark web. Chi ha subito un’infezione dovrebbe verificare se le proprie credenziali sono state esposte pubblicamente tramite i servizi di controllo dei database di credenziali rubate. Se le password risultano compromesse, cambiarle immediatamente su tutti i servizi dove erano riutilizzate.

La protezione completa della privacy online richiede un approccio stratificato di cui la difesa dal malware è un componente essenziale ma non esclusivo.