Questo
sito non è più aggiornato dal 4 febbraio 2003
Per eventuali aggiornamenti e informazioni, rivolgersi allo staff del sito Web-Ring.it
Estensioni tipiche di Windows e pericolosità
Non tutti i tipi di file sono in grado di infettare un sistema con un virus, un worm o un trojan, solo alcuni tipi, caratterizzati da estensioni conosciute, possono costituire una seria minaccia per il proprio computer.
Tramontata ormai l'era dei floppy disk infetti da Stoned o Michelangelo, Internet è il veicolo più rapido per quanto riguarda la diffusione di virus, e la posta elettronica è il vettore in assoluto più utilizzato.
Quando riceviamo un'e-mail con un allegato è bene prestare molta attenzione
a quello che si fa, per evitare di eseguire codice patogeno.
Innanzitutto è bene possedere un antivirus, magari integrato con il client di
posta elettronica, e tenerlo sempre aggiornato. Aggiornare anche Outlook,
Outlook Express e Internet Explorer, per evitare di essere soggetti ai sempre
più numerosi bug che ogni giorno vengono scoperti dalla comunità di internauti
e ripararsi da eventuali attacchi rivolti verso queste falle nella sicurezza.
Allegati sicuri sono solo quelli non direttamente eseguibili, pertanto file
immagine, file compressi o file di testo semplice (TXT, RTF o WRI). Tutto il
resto è in genere soggetto a ospitare codice infettante.
Le estensioni in assoluto più pericolose sono COM, EXE, BAT, VBS, CPL, PIF,
DOT, DOC e XLS:
| COM | File comando MS-DOS. E' in grado di eseguire qualsiasi tipo di operazione e in genere non ospita alcun tipo di grafica. Se ricevete per posta un file di questo tipo è certo che si tratta di un virus. |
| EXE | File eseguibile per definizione. E' in grado di eseguire qualsiasi tipo di operazione, ha l'icona personalizzabile e può ospitare grafica e audio. Non sempre un file EXE ricevuto per posta è detto che sia infetto, però è alta la probabilità che lo sia. |
| BAT | File batch. Si tratta di un file ch contiene al suo interno una serie di operazioni MS-DOS. Un file BAT è in grado di cancellare dati, eseguire programmi, modificare il registro di configurazione e fungere da vettore per virus, worm e trojan. Un file BAT non è necessariamente un virus, ma se lo ricevete per posta è assolutamente certo che si tratta di qualcosa di dannoso. |
| VBS | File VisualBasicScript. Si tratta di un file contenente un codice scritto in un linguaggio di programmazione, il VisualBasic, che non ha bisogno di essere compilato per eseguire le operazioni che contiene. Questo, se da un lato offre il vantaggio all'occhio di un esperto di capire cosa effettivamente intende fare quel programma, da contro ha lo svantaggio di offrire la possibilità a moltissimi programmatori in erba di realizzare e modificare virus in un linguaggio semplicissimo e immediatamente operativo. Esistono altre estensioni relative al VisualBasic (VB e VBE), tutte pericolose. Questi file, ricevuti per posta, contengono certamente codice dannoso. |
| CPL | Estensione del pannello di controllo. Questo tipo di file non solo è direttamente eseguibile, ma ad esso vengono spalancate le porte del sistema operativo. Nelle intenzioni della Microsoft con questa estensione viene catalogato un certo tipo di applicazione (chiamata Applet) che va a integrarsi tra le funzionalità dal Pannello di Controllo di Windows. Non è detto che un file CPL sia dannoso, ma di certo non si tratta di un programma innocuo. |
| DOC | File Documento. Anche i file DOC di MS-Word possono contenere del
codice infetto. Si tratta dei macrovirus, codice scritto in VisualBasic
che può essere ospitato all'interno del documento ed essere
immediatamente eseguibile all'apertura. Non è detto che un file DOC sia
certamente infetto, ma è bene specificare al mittente di preferire che
egli vi mandi i documenti in formato RTF, del tutto simile al formato
DOC, ma incapaci di accogliere codice in VisualBasic. Anche i file per PowerPoint (POT, PPS, PPT), Excel (XLS, XLM, XLT, XLV) e Access (MDB) possono contenere macrovirus. E' indispensabile sottoporre a scansione antivirus (aggiornato) tutti i file relativi alle applicazioni di MS-Office prima di accedervi, e di adottare tutte le necessarie impostazioni si sicurezza. |
| DOT | MS Word Document Template. Si tratta di un file che contiene alcune informazioni relative alla funzionalità di MS Word o di modelli di documento. Questo file, ricevuto per posta, è certamente infetto. |
| PIF | Program Information File. E' in assoluto il vettore infettante più
pericoloso e diffuso della rete Internet. Quello che è anche più
pericoloso è il fatto che l'estensione dei file PIF è nascosta! Un
file PIF è in genere un collegamento a un file COM che ne specifica
alcune caratteristiche d'esecuzione in ambiente Windows. I file COM,
infatti, sono specifici di MS-DOS e la loro funzionalità sotto Windows
è soggetta ad una sorta di emulazione. I file PIF intendono concedere
all'utente la possibilità di fornire alcuni parametri di funzionalità
specifici ai file COM, come la gestione della memoria, la priorità
nell'esecuzione e altro. Purtroppo i file PIF sono usati con tuttaltro
scopo, come quello di eseguire operazioni spesso nocive. Per verificare che un file sia un PIF, visto che l'estensione è nascosta, due sono i dettagli da osservare: il primo è che l'icona del file presenta una freccetta in basso del tutto simile a quella dei collegamenti (i file PIF sono dei tipi particolari di collegamento); la seconda è quella di selezionare il file e di leggerne il nome nella barra a sinistra della finestra di Windows (operazione che funziona solo se non si è sul Desktop, evidentemente), che riporterà il nome esatto del file comprensivo di estensione e la voce "Collegamento ad un programma per MS-DOS". Quel che è peggio è che un file PIF è in grado di eseguire direttamente del codice compilato. Pertanto un virus compilato potrebbe essere nascosto cambiandone semplicemente l'estensione in PIF, il sistema operativo capirà che non è un collegamento, ma un programma e, invece di bloccarlo, lo eseguirà. Un file PIF ricevuto per posta è certamente un file dannoso. |
Premesso tutto ciò, e bene sottolineare che la presenza di file dei tipi qui sopra indicati nel proprio pc è del tutto normale e innocua. L'attenzione deve essere rivolta ai file di questo tipo che intendono "entrare" nel nostro pc attraverso canali quali floppy-disk, posta elettronica e trasferimento file peer-to-peer o via client di chat.
Qui di seguito è riportata una tabella certamente non esaustiva su tutti i
tipi di estensione di file utilizzati, ma che offre una discreta quantità di
informazioni utili. E' mia intenzione quella di tradurre tutte le descrizioni in
italiano e di aggiungere nuovi dettagli ad ogni cella.
Chi volesse collaborare a questo lavoro è pregato di mandarmi i suoi appunti al
mio indirizzo di posta elettronica johnnywolf@interfree.it,
verrà citato come collaboratore in questo articolo.
| Ext. | Descrizione | Operatività | Estensione | Infetto o infettante |
| 323 | H323 Internet Telephony | |||
| 386 | Virtual Device Driver | Eseguibile | ||
| 669 | WinAmp media file | |||
| aca | MS Agent Character file | |||
| acf | MS Agent Character file | |||
| acg | MS Agent Preview file | |||
| acs | MS Agent Character file | |||
| ade | MS Access Project Extension | Eseguibile | ||
| adn | MS Access Blank Project Template | Eseguibile | ||
| adp | MS Access Project | Eseguibile | ||
| aif | Mac aiff Sound Clip | |||
| ani | Animated Cursor | |||
| arc | PkArc DOS archive | |||
| arj | ARJ archive | |||
| art | ART image | |||
| asa | Active Server Document | |||
| asf | Streaming Audio/Video File | |||
| asp | Active Server Document | Eseguibile | Pare sia possibile | |
| asx | Streaming Audio/Video shortcut | Eseguibile | ||
| au | AU Format Sound | |||
| avi | Video clip | |||
| awd | Fax Viewer Document | |||
| b64 | base64-encoded file | |||
| bas | Visual Basic Class Module | Eseguibile | ||
| bat | MS-DOS Batch file | Eseguibile | Molto pericoloso, non solo come virus | |
| bhx | Mac BinHex-encoded file | |||
| bmp | Bitmap Image | |||
| c | C source code | |||
| cab | Windows propietary archiver | |||
| cat | Security Catalog | |||
| cda | WinAmp media file | |||
| cdf | Channel File | |||
| cdx | Active Server Document | |||
| cer | Security Certificate | |||
| chm | Compiled HTML Help file | Eseguibile | Raramente, ma possibile | |
| cil | Clip Gallery Download Package | |||
| cmd | Windows NT Command Script | Eseguibile | Probabile | |
| cnf | SpeedDial | Eseguibile | nascosta | |
| com | MS-DOS Application | Eseguibile | Sicuramente | |
| cpl | Control Panel extension | Eseguibile | Sicuramente | |
| crl | Certificate Revocation List | |||
| crt | Security Certificate | |||
| css | Cascading Style Sheet Document | Eseguibile | Pare sia possibile | |
| csv | MS Excel Comma Separated Values file | |||
| cur | Cursor | |||
| dcx | DCX Image Document | |||
| der | Security Certificate | |||
| dic | Text Document | |||
| dif | MS Excel Data Interchange Format | |||
| dll | Application Extension | Eseguibile | Non direttamente, ma è il tipo di file che viene infettato per primo | |
| doc | MS Word Document | Può contenere macrovirus | ||
| dot | MS Word Template | Quasi certamente infetto | ||
| dqy | MS Excel ODBC Query file | |||
| drv | Device Driver | Non direttamente | ||
| dsm | WinAmp media file | |||
| dsn | MS OLE DB Provider for ODBC Drivers | |||
| dun | Dial-Up Networking Exported file | |||
| eml | Outlook Express Mail Message | |||
| exc | Text Document | |||
| exe | Application | Eseguibile | Molto probabile | |
| far | WinAmp media file | |||
| fav | Outlook Bar Shortcuts | |||
| fdf | Adobe Acrobat Forms Document | |||
| fnd | Saved Search | |||
| fon | Font file | |||
| gif | GIF Image | |||
| gra | MS Graph 2000 Chart | |||
| grp | MS Program Group | |||
| gwx | GWX File | |||
| gwz | GWZ File | |||
| gz | GNU zip | |||
| h | C definition code | |||
| hlp | Help File | Eseguibile | Raramente, ma possibile | |
| hqx | Mac archiver file | |||
| ht | HyperTerminal file | |||
| hta | HTML Application | Eseguibile | Probabile | |
| htm | MS HTML Document | Eseguibile | Come vettore | |
| html | MS HTML Document | Eseguibile | Come vettore | |
| htt | HyperText Template | |||
| htx | Internet Database Connector HTML Template | |||
| icc | ICC Profile | |||
| icm | ICC Profile | |||
| ics | iCalendar File | |||
| idf | MIDI Instrument Definition | |||
| iii | Intel IPhone Compatible | |||
| inf | Setup information | Eseguibile | Come appendice per trojan | |
| ini | Configuration Settings | Come appendice per trojan | ||
| ins | Internet Communication Settings | Eseguibile | Pare sia possibile | |
| iqy | MS Excel Web Query File | |||
| isp | Internet Communication Setting | Eseguibile | ||
| it | WinAmp media file | |||
| its | Internet Document Set | |||
| ivf | IVF File | |||
| job | Task Scheduler Task Object | |||
| jod | MSJetOLEDB | |||
| jpe | JPEG Image | |||
| jpg | JPEG Image | |||
| js | JScript file | Eseguibile | Probabile | |
| jse | Jscript Encoded Script File Ink Shortcut | Eseguibile | Probabile | |
| lnk | Shortcut | Eseguibile | nascosta | |
| lsf | Streaming Audio/Video file | |||
| lsx | Streaming Audio/Video shortcut | |||
| lwv | MS Linguistically Enhanced Sound File | |||
| lzh | LZH DOS archiver | |||
| m1v | Movie Clip | |||
| m3u | WinAmp Playlist file | |||
| mad | MS Access Module Shortcut | Eseguibile? | nascosta | |
| maf | MS Access Form Shortcut | Eseguibile? | nascosta | |
| mag | MS Access Diagram Shortcut | Eseguibile? | nascosta | |
| mam | MS Access Macro Shortcut | Eseguibile? | nascosta | |
| maq | MS Access Query Shortcut | Eseguibile? | nascosta | |
| mar | MS Access Report Shortcut | Eseguibile? | nascosta | |
| mas | MS Access StoredProcedure shortcut | Eseguibile? | nascosta | |
| mat | MS Access Table Shortcut | Eseguibile? | nascosta | |
| mav | MS Access View Shortcut | Eseguibile? | nascosta | |
| maw | MS Access Data Access Page Shortcut | Eseguibile? | nascosta | |
| mda | MS Access Add-in | |||
| mdb | MS Access Database | Eseguibile | Può contenere macrovirus | |
| mde | MS Access MDE Database | Eseguibile | Può contenere macrovirus | |
| mdn | MS Access Blank Database Template | |||
| mdt | MS Access Add-in data | |||
| mdw | MS Access Workgroup Information | |||
| mdz | MS Access Database Wizard Template | |||
| mht | MS MHTML Document Document | |||
| mid | MIDI file | |||
| mim | WinZip file | |||
| mmc | Medias Catalog | |||
| mod | MODplayer Media file | |||
| mov | Quicktime movie clip | |||
| mp1 | MPEG1-audio file | |||
| mp2 | MPEG2-audio file | |||
| mp3 | MPEG3-audio file | |||
| mpa | MPEG Movie Clip | |||
| mpe | MPEG Movie Clip | |||
| mpg | MPEG Movie Clip | |||
| msc | MS Common Console Document | Eseguibile | ||
| msg | Outlook Item | |||
| msi | Windows Installer Package | Eseguibile | Probabile | |
| msp | Windows Installer Patch | Eseguibile | Probabile | |
| mst | Visual Test Source Files | Eseguibile | ||
| mtm | WinAmp Media file | |||
| nws | Outlook Express News Message | |||
| oft | Outlook Item Template | |||
| opx | MS Organization Chart | |||
| oqy | MS Excal OLAP Query File | |||
| oss | Office Search | |||
| p10 | Certificate Request | |||
| p12 | Personnal Information Exchange | |||
| p7b | PKCS #7 Certificates | |||
| p7m | PKCS #7 MIME Message | |||
| p7r | Certificate Request Response | |||
| p7s | PKCS #7 Signature | |||
| pcd | Photo CD Image | Eseguibile | ||
| pcx | PCX Image Document | |||
| Adobe Acrobat Document | ||||
| pfx | Personnal Information Exchange | |||
| pgd | PGPDisk volume | |||
| pif | Shortcut to MS-DOS Program | Eseguibile | nascosta | Certamente infetto, ma difficile da identificare a causa della sua estensione sempre nascosta |
| pko | Public Key Security Object | |||
| pl | Perl file | Eseguibile | ||
| pls | Winamp Playlist file | |||
| png | PNG Image | |||
| pot | MS PowerPoint Template | |||
| ppa | MS PowerPoint Addin | |||
| pps | MS PowerPoint Slide Show | |||
| ppt | MS PowerPoint Presentation | Può contenere macrovirus | ||
| prf | PICSRules File | |||
| ps | PostScript file | Eseguibile | ||
| pwz | MS PowerPoint Wizard | |||
| py | Python file | Eseguibile | ||
| qcp | QUALCOMM PureVoice File | |||
| qt | QuickTime Video Clip | |||
| que | Task Scheduler Queue Object | |||
| rat | Rating System File | |||
| reg | Registration Entries | Eseguibile | Non può contenere virus, ma può creare seri danni | |
| rmf | Adobe Webbuy Plugin | |||
| rmi | MIDI Sequence | |||
| rqy | MS Excel OLE DB Query files | |||
| rtf | Rich Text Format | |||
| s3m | ScreamTracker3 Media file | |||
| scf | Windows Explorer Command | Eseguibile? | nascosta | |
| scp | Dial-Up Networking Script | |||
| scr | Screen Saver File | Eseguibile | Probabile | |
| sct | Windows Script Component | Eseguibile | Pare sia possibile | |
| shb | Shortcut into a document | Eseguibile | nascosta | Probabile, ma difficile da identificare a causa della sua estensione sempre nascosta |
| shf | PGP Share | |||
| shs | Shell Scrap object | Eseguibile | nascosta | Probabile, ma difficile da identificare a causa della sua estensione sempre nascosta |
| sig | PGP Detached signature file | |||
| skr | PGP Private Keyring | |||
| slk | MS Excel SLK Data Import Format | |||
| snd | AU Format Sound | |||
| snp | Snapshot File | |||
| spa | Flash Movie | |||
| spc | PKCS #7 Certificates | |||
| spl | Shockwave Flash Object | |||
| sst | Certificate Store | |||
| sta | sta file (Eudora) | |||
| stl | Certificate Trust List | |||
| stm | WinAmp media file | |||
| swf | Shockwave Flash Object | |||
| swt | Generator Template | |||
| sys | System file | Come appendice per trojan | ||
| tar | TAR archive file | |||
| taz | gzipped TAR archive | |||
| tgz | gzipped TAR archive | |||
| tif | TIFF Image Document | |||
| ttf | TrueType Font file | |||
| txt | Text Document | Per un tipo particolare di virus: le ANSI-Bomb, ma solo per MS-DOS |
||
| tz | gzipped TAR archive | |||
| udl | MS Data Link | |||
| uls | Internet Location Service | Eseguibile? | ||
| ult | Winamp media file | |||
| url | Internet Shortcut | Eseguibile | nascosta | |
| uu | UUencoded file | |||
| uue | UUencoded file | |||
| vb | VBScript File | Eseguibile | Certamente infetto | |
| vbe | VBScript Encoded Script File | Eseguibile | Certamente infetto | |
| vbs | VBScript Script File | Eseguibile | Certamente infetto | |
| vcf | vCard File | |||
| vcs | vCalendar File | |||
| voc | Winamp Medias file | |||
| vsd | VISIO 5 drawing | |||
| vss | VISIO 5 drawing | |||
| vst | VISIO 5 drawing | |||
| vsw | VISIO 5 drawing | |||
| vxd | Virtual device driver | Eseguibile | Come appendice per trojan | |
| wab | Address Book File | |||
| wav | Waveform audio file | |||
| wbk | MS Word Backup Document | |||
| wht | MS NetMeeting Whiteboard Document | |||
| wif | WIF Image Document | |||
| wiz | MS Word Wizard | Eseguibile | ||
| wlg | Dr Watson Log | |||
| wm | Windows Media Audio/Video File | |||
| wma | Windows media audio | |||
| wpd | WordPerfect file | |||
| wpz | Winamp extension installation file | |||
| wri | Write Document | |||
| wsc | Windows Script Component | Eseguibile | Pare sia possibile | |
| wsf | Windows Script File | Eseguibile | Probabile | |
| wsh | Windows Scripting Host Settings File | Eseguibile | Probabile | |
| wsz | Winamp extension installation file | |||
| xif | XIF Image Document | |||
| xla | MS Excel Add-in | |||
| xlb | MS Excel Worksheet | |||
| xlc | MS Excel Chart | |||
| xld | MS Excel DialogSheet | |||
| xlk | MS Excel Backup File | |||
| xll | MS Excel XLL | |||
| xlm | MS Excel Macro | Può contenere macrovirus | ||
| xls | MS Excel Worksheet | Può contenere macrovirus | ||
| xlt | MS Excel Template | Può contenere macrovirus | ||
| xlv | MS Excel VBA Module | Può contenere macrovirus | ||
| xlw | MS Excel Workspace | |||
| xm | ScreamTracker media file | |||
| xml | XML Document | Pare sia possibile | ||
| xnk | Exchange Shortcut | Eseguibile? | nascosta | |
| xsl | XSL Stylesheet | |||
| xxe | XXencoded file | |||
| z | Compressed file | |||
| zip | Zipped file |
Ecco, invece, una lista più ristretta sulle estensioni di file più pericolose:
| Ext. | Descrizione | Estensione | Infetto o infettante |
| bat | MS-DOS Batch file | Molto pericoloso, non solo come virus | |
| chm | Compiled HTML Help file | Raramente, ma possibile | |
| cmd | Windows NT Command Script | Probabile | |
| com | MS-DOS Application | Sicuramente | |
| cpl | Control Panel extension | Sicuramente | |
| dot | MS Word Template | Quasi certamente infetto | |
| exe | Application | Molto probabile | |
| hlp | Help File | Raramente, ma possibile | |
| hta | HTML Application | Probabile | |
| ins | Internet Communication Settings | Pare sia possibile | |
| js | JScript file | Probabile | |
| jse | Jscript Encoded Script File Ink Shortcut | Probabile | |
| mdb | MS Access Database | Può contenere macrovirus | |
| mde | MS Access MDE Database | Può contenere macrovirus | |
| msi | Windows Installer Package | Probabile | |
| msp | Windows Installer Patch | Probabile | |
| pif | Shortcut to MS-DOS Program | nascosta | Certamente infetto, ma difficile da identificare a causa della sua estensione sempre nascosta |
| ppt | MS PowerPoint Presentation | Può contenere macrovirus | |
| reg | Registration Entries | Non può contenere virus, ma può creare seri danni al registro di configurazione | |
| scr | Screen Saver File | Probabile | |
| sct | Windows Script Component | Pare sia possibile | |
| shb | Shortcut into a document | nascosta | Probabile, ma difficile da identificare a causa della sua estensione sempre nascosta |
| shs | Shell Scrap object | nascosta | Probabile, ma difficile da identificare a causa della sua estensione sempre nascosta |
| vb | VBScript File | Certamente infetto | |
| vbe | VBScript Encoded Script File | Certamente infetto | |
| vbs | VBScript Script File | Certamente infetto | |
| wsc | Windows Script Component | Pare sia possibile | |
| wsf | Windows Script File | Probabile | |
| wsh | Windows Scripting Host Settings File | Probabile | |
| xlm | MS Excel Macro | Può contenere macrovirus | |
| xls | MS Excel Worksheet | Può contenere macrovirus | |
| xlt | MS Excel Template | Può contenere macrovirus | |
| xlv | MS Excel VBA Module | Può contenere macrovirus |
Un ultimo appunto su altre estensioni che meritano un po' d'attenzione:
| CHM HLP |
Si tratta di file eseguibili utilizzati per i file delle guide associati ai programmi. Anche questa estensione è associata a file che possiedono la caratteristica di contenere codice eseguibile e, quindi, anche nocivo. Questo canale di infezione è però molto raro. Resta il fatto che è comunque estremamente insolito ricevere questo tipo di file in allegato e che non ci si dovrebbe fidare se non dopo un controllo antivirus. |
| HTA | Applicazione HTML. Si tratta di un veicolo piuttosto raro, ma non esente da rischi. Non è detto che sia nocivo, ma è comunque un tipo di file raro (non è escluso che non ce ne sia neppure uno nel vostro pc) e davvero molto sospetto. Il consiglio generale, come in tutti gli altri casi, è quello di non eseguire questi tipi di file se non si è assolutamente certi del loro effetto sul nostro pc. |
| REG | Si tratta di un file di testo contenente alcune informazioni relative
all'aggiunta o alla cancellazione di chiavi di registro. I file REG non
possono contenere codice virale, ma possono imporre al sistema operativo
di abbassare qualsiasi tipo di difesa, di cancellare o eseguire
applicazioni e quant'altro possa essere gestito dal registro di
configurazione. Si tratta di un tipo di file molto diffuso ma certamente poco utile ai più. In genere gli antivirus non sono programmati per verificare le operazioni eseguite dai file REG, pertanto anche una scansione accurata potrebbe dare esito negativo e il file REG essere realmente nocivo. |
| SCR | File ScreenSaver. E' del tutto simile nelle funzionalità a quelle dei
file EXE. Questa estensione è predisposta per gli screen saver di
Windows, ma nulla toglie che la si possa utilizzare per scopi virali. Prestare molta attenzione: moltissimi virus usano questa estensione per nascondersi. |
| SHS | File Ritaglio. Si tratta di un tipo di file poco noto e molto raro. I
file SHS vengono generati da Windows in particolari condizioni, spesso
quando si copia all'interno di una cartella un frammento di testo
conservato negli Appunti. La sua estensione è sempre nascosta ma, a
differenza dei file PIF, l'icona non è modificabile e non presenta la
freccina dei collegamenti. Non è certo, ma pare sia in grado di contenere ed eseguire codice dannoso. |