🦠 Classificazione Completa del Malware
Una tassonomia scientifica e aggiornata delle categorie di malware moderno. Scopri come identificare, categorizzare e difendersi dalle diverse famiglie di malware.
📚 Come usare questa sezione: Se cerchi informazioni su un malware SPECIFICO (es: "Emotet"), visita il Database Malware. Se cerchi dettagli su come malware persiste o evade detection, vai a Tecniche di Evasione. Qui impari il FRAMEWORK generale per categorizzare qualunque malware.
VIRUS
Auto-replicante, legato a file ospite
Malware che si replica legandosi a file ospite. Richiede azione umana per propagarsi: apertura di allegati, esecuzione di file infetti, condivisione di media removibili.
Obiettivo Principale
Replicazione, disseminazione, alterazione/corruzione di dati, furto di informazioni.
Esempi
- Melissa (1999)
- ILOVEYOU (2000)
- Nimda (2001)
- CIH Chernobyl (1998)
WORM
Auto-replicante via rete
Malware autonomo che si autodiffonde via rete SENZA richiedere azione umana. Sfrutta vulnerabilità di rete (SMB, RPC, SSH) e si copia automaticamente.
Obiettivo Principale
Propagazione massiva, creazione di botnets, disruption di servizi, infiltrazione di infrastrutture critiche.
Esempi
- Morris Worm (1988)
- WannaCry (2017)
- Conficker (2008)
- CodeRed (2001)
TROJAN
Non replicante, accesso non autorizzato
Malware distribuito come software legittimo. Non si replica, è un programma singolo che nasconde funzionalità malevole. Richiede download/installazione esplicita.
Obiettivo Principale
Accesso non autorizzato, furto di credenziali, installazione di payload ulteriori, controllo remoto.
Esempi
- Zeus (2006)
- Emotet (2014)
- Poison Ivy (2005)
- Duqu (2011)
RANSOMWARE
Crittografia + Estorsione
Malware che crittografa file critici usando algoritmi forti (RSA, AES). Richiede pagamento per decryption. Moderno ransomware combina estorsione, minacce e interruzione di servizi.
Obiettivo Principale
Estorsione finanziaria, furto e pubblicazione dati, disruption di servizi critici, ricatto.
Esempi
- CryptoLocker (2013)
- WannaCry (2017)
- Ryuk (2018)
- LockBit (2019)
SPYWARE
Monitoraggio e sorveglianza
Malware che monitora attività dell'utente e trasmette dati sensibili (credenziali, keystroke, screenshot, dati personali) a attaccante.
Obiettivo Principale
Estrazione di informazioni sensibili, sorveglianza di individui/organizzazioni, furto d'identità, spionaggio.
Esempi
- Pegasus (2016)
- Flame (2012)
- DarkComet (2008)
- FinSpy (2011)
ADWARE
Pubblicità intrusiva
Malware che visualizza pubblicità indesiderata e reindirizza traffico web. Iniezione di popup, banner, link sponsorizzati. Modifica pagine web e hijacking di browser.
Obiettivo Principale
Monetizzazione attraverso click fraud, visualizzazione annunci, affiliate marketing.
Esempi
- Searchbar (1990s-2000s)
- VirusAlert/WinFixer (2000s)
- Fireball (2017)
- Flurry (mobile)
ROOTKIT
Privilegi di kernel, occultamento
Malware che acquisisce privilegi di amministratore/kernel e nasconde la propria presenza. Opera a livello OS con accesso diretto a memoria e hardware.
Obiettivo Principale
Persistenza massiccia e stealth, occultamento di altri malware, controllo non autorizzato, evasione di endpoint protection.
Esempi
- Sony BMG Rootkit (2005)
- Stuxnet (2010)
- TDL-4 (2010s)
- Hacking Team RCS (2015)
RAT
Controllo remoto interattivo
Remote Access Trojan - fornisce controllo remoto interattivo del sistema compromesso. Attaccante può eseguire comandi, trasferire file, accedere desktop, controllare webcam/microfono.
Obiettivo Principale
Accesso remoto persistente, supporto ad attacchi mirati (APT), lateral movement, data exfiltration.
Esempi
- Poison Ivy (2005)
- DarkComet (2008)
- Remcos (2016)
- AsyncRAT (2019)
BOTNET
Rete di host compromessi
Rete di computer compromessi (bots) controllati da attaccante tramite server C2. Infrastruttura per attacchi DDoS, spam, credential harvesting, mining.
Obiettivo Principale
Attacchi DDoS volumetrici, distribuzione di spam e malware, riciclaggio di risorse, monetizzazione massiccia.
Esempi
- Mirai (2016)
- Zeus (2006+)
- Emotet (2014+)
- BotMaster (2007)
WIPER
Distruzione irreversibile
Malware che cancella o corrompe irrevocabilmente dati. NON è ransomware: non cripta per ricatto, distrugge permanentemente. Payload distruttivo massimo.
Obiettivo Principale
Sabotaggio e distruzione massimale, cancellazione di prove, disrupzione di infrastrutture critiche, danni economici.
Esempi
- Shamoon (2012)
- MOONSTONE PANDA (2016)
- HermeticWiper (2022)
- CIH Virus (1998)
CRYPTOMINER
Mining di criptovaluta
Malware che usa CPU/GPU del sistema infetto per mining di criptovaluta (Bitcoin, Monero, Ethereum). Non cripta dati, non ruba informazioni - usa risorse compute.
Obiettivo Principale
Monetizzazione diretta tramite mining, riciclaggio di risorse computazionali, guadagno passivo su scala massiva.
Esempi
- WannaMine (2018)
- XMRig (2017)
- Smominru (2017)
- CoinHive (2017)
FILELESS MALWARE
In memoria, non su disco
Malware che risiede esclusivamente in memoria RAM, NON scrive su disco. Sfrutta strumenti legittimi di sistema (PowerShell, WMI, Registry, COM) per esecuzione.
Obiettivo Principale
Evasione massimale di endpoint security, persistenza difficile da rilevare, payload di spionaggio/accesso remoto.
Esempi
- PowerShell Empire (2015)
- Kovter (2016)
- Lazarus APT (2017)
- Winnti Fileless (2019)
📊 Tabella Comparativa
| Categoria | Auto-replicazione | Richiede Azione Umana | Vettore Primario | Difficoltà Rilevazione |
|---|---|---|---|---|
| Virus | ✓ Sì (infetta file) | ✓ Sì (esecuzione) | Email, Media removibili | Bassa |
| Worm | ✓ Sì (rete) | ✗ No | Vulnerabilità rete (SMB, RPC) | Media |
| Trojan | ✗ No | ✓ Sì (download) | Email, Siti dannosi | Media |
| Ransomware | ✗ No (worm variant) | ✓ Sì (exploit/phishing) | Phishing, Exploit, RDP | Bassa (visibile) |
| Spyware | ✗ No | ✓ Sì (trojan delivery) | Trojan, Exploit, App | Alta |
| Adware | ✗ No | ✓ Sì (PUP, trojan) | PUP bundling, Ads | Bassa (visibile) |
| Rootkit | ✗ No | ✓ Sì (exploit/trojan) | Exploit, Trojan | Molto Alta |
| RAT | ✗ No | ✓ Sì (trojan delivery) | Phishing, Exploit | Alta |
| Botnet | ✓ Sì (worm/trojan) | Variabile | Worm, Trojan, RDP | Media-Alta |
| Wiper | ✗ No | ✓ Sì (exploit/APT) | Exploit, APT tooling | Media |
| Cryptominer | Variabile | Variabile | Trojan, Worm, Injection | Alta |
| Fileless | ✗ No | ✓ Sì (macro/exploit) | Macro Office, PowerShell | Molto Alta |
✅ Prossimi Passi
Hai compreso la classificazione generale del malware? Approfondisci ulteriormente:
🗄️ Visita il Database Malware per analizzare specifiche famiglie di malware
🛡️ Scopri le Tecniche di Evasione per capire come il malware si difende
📖 Leggi gli Attacchi Storici per comprendere l'evoluzione del landscape delle minacce