SPECIALIZAREA : FINANTE BANCI ANUL I, SEMESTRUL I, ian 2009. PREZENTAREA VIERMILOR SI VIRUSILOR DE CALCULATOR REFERAT : Bazele tehnologiei informatiei VIRUSII SI VIERMII INFORMATICII CUPRINS: 1. CE ESTE UN VIRUS DE CALCULATOR? 2. ISTORIA VIRUSILOR 3. CLASIFICAREA VIRUSILOR 4. MODUL DE INFECTARE CU VIRUSI 5. CE ESTE UN VIERME DE CALCULATOR? 6. ISTORIA VIERMILOR 7. CLASIFICAREA VIERMILOR 8. MODUL DE INFECTARE CU VIERMI 9. SIMPTOMELE UNUI SISTEM VIRUSAT 10. MODALITATI DE PROTECTIE PRO!RAMELE ANTIVIRUS 11. ACTUALII VIRUSI SI VIERMI BIBLIOGRAFIE : Primii Pasi in securitatea retelelor - Tom Thomas Computer Viruses - Dr. Frederick B. Cohen http://ro.wikipedia.org/wiki/Virus_informatic www.computerworld.ro arhiva.wall-street.ro Am al! "#$n%a %ma "n%#& a in'a%a (&m imi ")% "#)%*a (al(&la%)#&l + 'i#&!i !i 'i#mi. A")#%&l m& la #ali$a#a a(!%&i !%&+i& ! ,a$a$a +)a# "#in (&l-#a + in.)#ma%ii +in !&#!l mn%i)na% mai !&! !i im,ina#a a(!%)#a in%#/&n m)+ (a% mai ()n(i! 0!"#1. S"# !a n& 'a +#an*$ l&n-ima #.#a%&l&i, in!a %)a% +a%l #.#i%)a# la !&,i(% mi !/a& "a#&% 2%#m + im")#%an% "n%#& #la%a#a !&,i(%&l&i al!. Ce este un virus de calculator ? Virus (Virus) - este un program care are funcii de infectare, distructive si de incorporare a copiilor sale n interiorul altor programe. Noiunea mai general se refer adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea de a se autocopia, astfel nct poate infecta pri din sistemul de operare i!sau programe e"ecuta#ile. $ro#a#il c principala caracteristic pentru identificarea unui virus este aceea c se duplic fr acordul utili%atorului. &a cum sugerea% i numele, analogia #iologic este relativ #un pentru a descrie aciunea unui virus informatic n lumea real. 'imensiunile mici ale programului-virus repre%int o caracteristic important, ntruct autorii in foarte mult ca produsul lor cu intenii agresive s nu fie o#servat cu uurin. Efectele distructive nu pot fi sesi%ate imediat, ci dup un anumit timp. &tunci cnd apar, efectele sunt diferite, variind de la mesa(e glumee, la erori n funcionarea programelor de sistem sau tergeri catastrofice a tuturor informaiilor de pe un )ard dis*. 'e aceea nu este indicat s se plece de la ipote%a c un virus nu nseamn ceva mai mult dect o glum. +n general, cei care construiesc virui sunt programatori autentici, cu e"perien #ogat si cu cunotine avansate n lim#a(ul de programare pe care l folosesc. Ela#orarea de virui este uneori si o activitate de grup, n care sunt selectai, antrenai si pltii cu sume uriae specialitii de nalt clas. E"ist programatori care susin c pot construi virui ce nu pot fi detectai si distrui. Este ca%ul unui grup de programatori polone%i care au anunat pe ,nternet, n urm cu civa ani, c pot construi astfel de "arme" im#ata#ile. $rogramul lor, #ine pus la punct, coninea cteva idei interesante care, dac ar fi fost duse la capt, pro#a#il c ar fi dat mult #taie de cap utili%atorilor de servicii ,nternet. -uprai de faptul c lumea a e"agerat att de mult cu costurile pe care le-a provocat virusul cunoscut su# numele de ", .ove /ou", aceti programatori intenionau s demonstre%e ntregii lumi c nu acest mult prea mediat virus este cel mai "tare". Virusul este caracteri%at de urmtoarele proprieti0 - poate modifica fiiere si programe ale utili%atorilor, prin inserarea n acestea a ntregului cod sau numai a unei pri speciale din codul su - modificrile pot fi provocate nu numai programelor, ci si unor grupuri de programe - are nevoie si poate s recunoasc dac un program a fost de(a infectat pentru a putea inter%ice o nou modificare a acestuia. Istoria virusilor ,storia viruilor de calculatoare este lung i interesant. 'ar ea a devenit cu adevrat palpitant a#ia din momentul n care a nceput s se de%volte industria $1-urilor. $e msur ce de%voltarea acestor calculatoare noi progresa, a devenit posi#il si accesarea a mai mult de un program ntr-un singur computer. +n acelai timp, s-a manifestat i o reacie mpotriva a tot ceea ce nsemna computerul. &ceast tendin are rdcini mai vec)i, dar impactul computerelor de tip $1 a fost aa de mare, nct si reaciile mpotriva acestora au nceput s se fac mai evidente.
,at o scurt dar spectaculoas evoluie a fa#ricrii n serie n toate colturile lumii si lansrii pe pia a viruilor0 1949 -unt puse pentru prima oara #a%ele teoriilor legate de programele care se autoreproduc. 1981 Virusii &pple 2, 3, si 4 sunt printre primii virusi "in t)e 5ild". 'escoperiti in sistemul de operare &pple ,,, virusii se raspandesc in 6e"as &78 prin intermediul (ocurilor piratate. 1983 ,n te%a sa de doctorat, 9red 1o)en defineste pentru prima oara formal un virus de calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le intr- un mod care presupune a#ordarea unor copii evoluate ale lor." 1986 'oi programatori :asit si &m(ad(frati pa*istane%i) au descoperit c un anumit sector dintr-un flopp; dis* conine un cod e"ecuta#il care funciona de cte ori porneau computerul cu disc)eta montat n unitate. &cestora le-a venit ideea nlocuirii acestui cod e"ecuta#il cu un program propriu.9lopp;-urile infectate aveau "< :rain" ca etic)eta de disc (volume la#el). &cest program putea #eneficia de memorie si putea fi astfel copiat n orice disc)et si lansat de pe orice calculator de tip $1. Ei au numit acest program virus, ocupnd doar 4=> ?: dintr-un flopp; disc. 6ot in acelasi an, un programator pe nume @alf :urger a a(uns la conclu%ia ca un fisier putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier . El a scris o demonstratie a acestui efect, pe care a numit-o V,@'E8 (Virus 'emonstration) si a distri#uit-o la conferinta pe tema virusilor 1)aos 1omputer 1lu#, in luna decem#rie a acelui an . V,@'E8 ar fi infestat orice fisier 1A8 . 'in nou pagu#ele erau destul de nesemnificative . &cest fapt a atras totusi atata interes, incat @alf :urger a fost rugat sa scrie o carte . ,n aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . 9ran% -5o#oda a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit 1)arlie si s-a facut multa pu#licitate in (urul acestei descoperiri . @alf :urger a o#tinut o copie a acestui virus si i-a dat-o unui prieten, :erdt 9i", care l-a de%ansam#lat (a fost pentru prima oara cand cineva a de%ansam#lat un virus) . :urger a inclus aceasta de%ansam#lare in cartea sa, dupa ce a scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagu#ele pe care le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa re#oote%e calculatorul (virusul copia%a primi cinci octeti de cod) B :urger (poate 9i") a inlocuit acest cod de re#ootare cu cinci spatii . Efectul era ca fisierele copiate #loca calculatorul, in loc sa-l re#oote%e . 1987 $rogramatorii de la Cniversitatea din 'ela5are au constatat ca au virusul lansat de cei doi programatori :asit si &m(ad cand au va%ut etic)eta "< :rain" pe o disc)eta . 6ot ce facea el era sa se autocopie si punea o etic)eta de volum pe disc)eta. 6ot in 2DEF, la Cniversitatea din .e)ig), ?en van G;* a reali%at un virus cunoscut su# numele de .e)ig) . &cesta a fost un model e"trem de nereusit - nu era preva%ut sa se raspandeasca in afara universitatii, pentru ca infecta doar 1A88&N'.1A8 si crea multe pagu#e ga%dei, dupa numai patru reproduceri . ,n aceasta perioada, la 6el &viv, un alt programator facea e"periente . $rimul sau virus a fost numit -uriv->2(cuvantul virus scris invers) . Era un virus re%ident in memorie , ce putea sa infecte%e orice fisier 1A8 - o strategie de infectare mult mai #una decat strategiile utili%ate de virusul viene%, caci ducea la infectarea tuturor fisierelor de pe toate H drive-urileI si din toate directoarele . 1el de-al doilea virus al sau -uriv->3 infecta doar fisierele EJE, dar a fost primul de acest fel din lume . 1ea de-a treia incercare -uriv->4, un virus ce ataca atat fisierele EJE, cat si cele 1A8 . 6ot in acea vreme, un student de la Cniversitatea din Gellington, Noua Keelanda, a gasit o cale foarte simpla de a crea un virus foarte eficient . A singura data din opt, cand se #ootea%a de pe o disc)eta infectata, virusul se declansea%a si pe monitor aparea mesa(ul H$1-ul tau este acum impietritI de unde si numele virusului (-6@ANE'). Virusul in sine avea dimensiuni de cateva sute de octeti, dar din cau%a reproducerii re%idente in memorie a devenit cel mai raspandit virus din lumea intreaga. Virusul original se numeste scum -toned.-tandard.& , fiind si asta%i in topul celor mai raspanditi virusi . ,n ,talia, la Cniversitatea din 6orino, un programator a scris si el un virus de sector #oot . 'aca discul era accesat, din (umatate in (umatate de ora virusul iti afisa o minge miscatoare pe ecran (#ouncing #all) . Virusul avea un defect ma(or - nu putea sa rule%e doar pe calculatoarele E>E= sau E>EE, pentru ca folosea o instructiune care nu functiona pe c)ipuri mai comple"e . Cn alt programator german a scris un virus foarte destept numit - 1ascade (dupa literele ca%atoare pe care le afisa ) . 1ea mai mare parte a virusului era encriptata, lasand doar o mica parte necodata, curata, pentru a putea decoda restul cu ea . @ostul acestui mecanism nu a fost destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea o#tiunile de alegere a sirului de cautare doar la primi cativa octeti . 1ascade tre#uia sa verifice si :ios-ul, si daca ar fi gasit un cop;rig)t ,:8 ar fi stopat procesul de infectare . &ceasta parte a codului nu a functionat . &utorul a emis la putin timp dupa aceea o noua versiune a virusului, de 2>FL octeti in loc de 2F>2, cu scopul de a corecta aceasta greseala . 'ar si noua versiune avea o scapare 0 nu era in stare sa detecte%e :ios-urile ,:8 . 'intre acesti virusi timpurii doar Stoned , Cascade si Jerusalem au re%istat pana in %ilele noastre . 1988 Este anul in care au aparut primii comercianti de antivirus, pe care le vindeau la preturi foarte reduse (M-2> C-') . Cnele firme au incercat, oca%ional, sa se propulse%e, dar nimeni nu platea #ani seriosi pentru o potentiala pro#lema . &stfel, s-a dat o sansa virusilor -toned, 1ascade si Nerusalem de a se raspandi, fara a fi descoperiti . 6otusi, compania ,:8 a decis ca tre#uie sa ia in serios virusii, dupa ce a avut parte de o epidemie de virusi de tip 1ascade la .e)ulpe si s-a gasit in situatia neplacuta de a-si anunta clientii ca s-ar putea sa fi fost infectati . 'e fapt, nu a fost o pro#lema foarte serioasa dar, din acel moment, ,:8 a luat pro#lema in seros si, drept re%ultat, la Oig) ,ntegrit; 1omputing .a#orator; din /or*to5n s-a decis sa se inceapa cercetarile in acest domeniu . .a sfarsitul lui 2DEE au avut loc aproape simultan mai multe evenimente 0 o epidemie mare de Nerusalem(-uriv->L) intr-o institutie financiara, virusul afectea%a fisierele .e"e si .com si sterge toate programele rulate in cursul acelei %ileB al doilea - o firma #ritanica numita -7- a tinut primul seminar pe tema virusilor, seminar care a e"plicat in premiera ce este un virus si cum lucrea%a el B al treilea - a avut loc epidemia de HVineri 24I . Cn lucru era clar pentru toti 0 instituti financiare, grupurile academice si persoanele fi%ice ar putea cu usurinta sa faca fata unei epidemii, daca ar avea uneltele necesare . 6ot ce tre#uia era un detector eficient de virusi, care nu era insa disponi#il . 1a atare, a fost crea primul Anti Virus Toolint ! 1989 Cn scotian a contactat cercetatori din &nglia si le-a comunicat ca a gasit un virus in )ard dis*-ul sau . El a mentionat ca se numeste 'atacrime si ca era ingri(orat ca se va declansa din nou pe data de 24 luna viitoare . 1and virusul a fost de%ansam#lat, s-a constataca ca in orice %i dupa octom#rie el declansa o formatare lo5 level a cilindrului %ero de pe )ard dis*, care determina pe cele mai multe )ard dis*uri eliminarea ta#elei de alocare a fisierelor si lasa utili%atorl fara date . ,n acelasi timp, afisa numele virusului 'atacrime. & fost pu#licata o anali%a a efectelor virusului dar s-a constataca ca era vor#a, de fapt, de un alt virus, nere%ident in memorie . ,n &merica oameni au inceput sa-l numeasca H1olum#us 'a; Virus H (23 octom#rie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel @osu a adescoperit &merica, ci 1olum#. -ingurul leac pentru a elimina 'atacrime era de a rula un detector . ,n luna iulie, companiile scotiene au inceput sa intre#e ,:8 daca virusii sunt o amenintare serioasa . 'atacrime nu e"ista poate, dar e"ista posi#ilitatea ca o firma sa se infecte%a cu Nerusalem, 1ascade sau -toned . H1e face ,:8-ul impotriva acestei amenintari PI , au intre#at ei .,:8 detinea un program antivirus, insa era folosit doar pentru u% intern . ,:8 avea o dilema 0daca nu oferea acest soft5are clientilor si daca pe 24 octom#rie o serie de calculatoare ar fi ca%ut, reputatia sa avea de suferit . ,n septem#rie 2DED, ,:8 a scos pe piata impreuna cu o scrisoare prin care ei e"plicau clientilor despre ce era vor#a . 24 octom#rie a ca%ut intr-o vineri, asa ca a fost un eveniment du# - Nerusalem si 'atacrime . ,n -C&, 'atacrime a fost e"agerat si confundat cu unul care nu este atat de periculos ca acesta . ,n .ondra, @o;al National ,nstitute for t)e :lind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de cercetare, repre%entand luni intregi de munca . &cest eveniment a fost investigat si se inregistrase intradevar o mica eruptie de Nerusalem si cateva fisiere usor de inlocuit au fost sterse . 199" 8ar* Gas)#urn a anali%at virusul Viena si a creat pe #a%a lui primul virus polimorf . ,deea virusilor sai (numiti 23=>, V3$2,V3$3,V3$=) era ca intreg virusul era criptat si ca e"ista un descriptor la inceputul sau . 'ar descriptorul putea sa ai#a o gama larga de forme si, in primi virusi, cel mai lung sir de cautare posi#il era doar de doi octeti (V3$= a ca#orat acest prag pana la octet ) . $entru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posi#ilii descriptori . &u aparut virusii 'ar* &venger care au introdus doua idei noi . $rima idee era acea de Hinfector rapidI . ,n ca%ul acestora daca virusul era in memorie, atunci simpla desc)idere a unui fisier pentru citire ducea la infectare . Oard dis*-ul este infectat foarte repede . 1ea de-a doua idee noua in acest virus a fost cea a efectelor sale su#ite 0 'ar*&venger . 2E>> suprascrie oca%ional un sector de pe )ard dis* . 'aca nu se o#serva acest lucru intr-o anumita perioanda de timp, se face un #ac*-up al fisierelor corupte si, cand este refacut #ac*-up-ul, datele sunt de nefolosit . .a sfarsitul anului 2DD>, cercetatorii antivirus au a(uns la conclu%ia ca tre#uie sa fie mult mai organi%ati, asadar a luat nastere in Oam#urg E,1&@ (European ,nstitute for 1omputer &ntivirus @esearc)), in decem#rie 2DD> . .a vremea cand a fost creat E,1&@ e"istau apro"imativ 2M> de virusi , iar pana la sfarsitul anului au fost cunoscuti si catalogati 4>> de virusi. ,n luna decem#rie a aceluias an -;mantec lansea%a pe piata Norton &ntiVirus, unul dintre primele programe antivirus de%voltate de catre una dintre marile companii. 1991 .a sfarsitul anului e"istau peste 2>>> de virusi. ,n luna aprilie 1entral $oint a lansat 1$&V. &cesta a fost repede urmat de J6ree, 9ift) Qeneration si altii . 6eRuila este primul virus polimorf cu raspandire pe scara larga gasit "in t)e 5ild". Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin sc)im#area modul de actiune cu fiecare noua infectie. 199# E"ista 24>> de virusi, cu aproape L3>S mai multi decat in decem#rie 2DD>. $revi%iunile sum#re ale virusului 8ic)elangelo ameninta colapsul a circa M milioane de calculatoare pe data de = martie. ,nsa doar M,>>>-2>,>>> de calculatoare se intampla sa "dea coltul". 1994 Erau inregistrati peste L>>> de virusi. 9arsa de proportii din partea email-ului )oa" (alarma falsa) Qood 6imes. 9arsa se #a%ea%a pe amenintarea unui virus sofisticat care e capa#il sa stearga un intreg )ard prin simpla desc)idere a emailului al carui su#iect este "Qood 6imes". 'esi se stie despre ce e vor#a, )oasul revine la un interval de =-23 luni. 199$ &nul 2DDM este cunoscut ca fiind si anul n care a nceput s apar conceptul de macrovirus, devenind n scurt timp o adevrat ameninare, deoarece erau mult mai uor de fa#ricat dect prinii lor viruii. &cetia nu erau adresai numai anumitor platforme specifice, precum 8icrosoft Gord pentru Gindo5s 4."!DM!N6 si 8acintos), astfel nct ei puteau fi folosii pentru orice program, uurndu-se calea de apariie a cunoscuilor microvirusi care au infestat fiierele la acea vreme produsul .otus &mi$ro. $rimul dintre macrovirui a fost cel folosit n Gord si Gord :asic. Gord 1oncept, virus de 8icrosoft Gord, devine unul dintre cei mai raspanditi virusi din anii TD>. 1996 ,n luna iulie a acestui an a aparut si primul microvirus cunoscut su# numele K8..arou" care era destinat distrugerii produsului 8icrosoft E"cel. 1998 -trange:re5, actualmente inofensiv si totusi raportat, este primul virus care infectea%a fisierele Nava. Virusul modifica fisierele 1.&-- adaugand la mi(locul acestora o copie a sa si incepand e"ecutarea programului din interiorul sectiunii virusate. Virusul 1erno#al se raspandeste rapid prin intermediul fisierelor ".e"e". 'upa cum o sugerea%a si notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un anumit cip din interiorul computerelor infectate. 1999 Virusul 8elissa, GDF8!8elissa, e"ecuta un macro dintr-un document atasat emailului, care transmite mai departe documentul la M> de adrese e"istente in Autloo* address #oo*. Virusul infectea%a si documente Gord pe care le trimite ca atasamente. 8elissa se imprastie mult mai rapid decat alti virusi anteriori infectand cam 2 milion de calculatoare. :u##le :o; este primul virus care nu mai depinde de desc)iderea atasamentului pentru a se e"ecuta. 'e indata ce userul desc)ide email-ul, :u##le :o; se si pune pe trea#a. #""" .ove :ug, cunoscut si su# numele de ,.AVE/AC se raspandeste via Autloo*, asemanator modului de raspandire al 8elissei. &cest virus e primit ca un atasament .V:-, sterge fisiere, inclusiv 8$4, 8$3 si N$Q si trimite username-uri si parole gasite in sistem autorului virusului. GDF8.@esume.&, o noua varianta a 8elissei, este "in t)e 5ild". Virusul se comporta cam ca 8elissa, folosindu-se de un macro Gord pentru a infecta Autloo*-ul si pentru a se raspandi. Virusul -tages deg)i%at intr-un email gluma despre etapele vietii, se raspandeste prin ,nternet. 'eloc specific celorlalti virusi anteriori, -tages este ascuns intr-un atasament cu e"tensie falsa .t"t, momind utili%atorii sa-l desc)ida. $ana la aparitia sa, fisierele te"t erau considerate fisiere sigure. ,n %ilele noastre apar %ilnic apro"imativ 2>> de virusi, deci milioane pe an . 'in 3-4 milioane pe an doar 3-4 virusi pot face pro#leme serioase in lume . 'e cand au aparut virusii, companiile au pierdut miliarde de dolari . ,n 3>>2 pierderi de 23 miliarde , in 3>>3 pierderi de 3M de miliarde iar in 3>>4 - MM miliarde . $e 3>>L 2>> miliarde si cifrele cresc in continuare an de an. Clasificarea virusilor Viruii informatici nu afectea% numai #una funcionare a calculatoarelor. $rintr-o proiectare corespun%toare a prii distructive, cu ei pot fi reali%ate si delicte de spiona( sau fapte ilegale de anta( si constrngere. ,n septem#rie 2DED e"istau cam dou du%ini de virui. 9iecare dintre acetia avea variante0 mici modificri n codul viral sau sc)im#area mesa(elor afiate. 'e e"emplu, virusul 2F/L difer de virusul 2F>L doar cu un octet. +n mai 2DDE e"istau apro"imativ 3>.>>> de virui (%ilnic apar 4 noi virui. A clasificare riguroasa nu e"ista inca, dar se poate face tinand seama de anumite criterii0 modul de aciune, tipul de ameninare, grade de distrugere, tipul de instalare, modul de declanare etc. E"ist unele clasificri mai vec)i care, desigur, nu mai corespund ast%i. ,n forma cea mai generala virusii se impart in0 Virusi )ard5are Virusi soft5are Virusii )ard5are sunt mai rar intalniti, acestia fiind de regula, livrati o data cu ec)ipamentul, ei fiind virusi care afectea%a )ard-discul, flopp;-discul si memoria. 8a(oritatea sunt virusi soft5are, creati de specialisti in informatica foarte a#ili si #uni cunoscatoari ai sistemelor de calcul, in special al modului cum lucrea%a soft5are-ul de #a%a si cel aplicativ. 1ateva dintre efectele pe care le generea%a virusii soft5are0 a) distrugerea unor fiiereB #) modificarea dimensiunii fiierelorB c) tergerea totala a informailor de pe disc, inclusiv formatarea acestuiaB d) distrugerea ta#elei de alocare a fiierelor, care duce la imposi#ilitatea citirii informaiei de pe discB e) diverse efecte grafice!sonore inofensiveB f) ncetinirea vite%ei de lucru a calculatorului pana la #loc. Virusii se mai pot imparti in doua mari categorii0 Virusi de :AA6 Virusi de fisiere E"ist i virui cu caracteristicile am#elor categorii (i de :AA6 i de fiiere), dar acetia sunt n numr foarte mic. Viru%ii de &''T au diferite reacii. Ei se ncarc n memorie naintea sistemului de operare, transfer coninutul de :AA6 n alt sector, amestec datele. ,nfectea% orice disc logic al )ard discului i orice disc)et care se introduce n unitatea de disc)ete. 6ot n aceast categorie intra i viruii care infectea% ta#ela de partiii a )ard discului. Qsindu-se n ta#ela de partiii, ei se ncarc n memorie naintea sectorului de :AA6. Viru%ii de fi%iere se fi"ea% de regul pe fiierele cu e"tensia EJE sau 1A8. 1nd programul infectat este rulat, virusul se activea% rmnnd de cele mai multe ori re%ident n memorie pentru a infecta orice program se va lansa n e"ecuie. 'ac ar fi numai att, ar fi simplu U 'in pcate viruii de fiiere sunt de mai multe tipuri. $n acum am descris tipul "clasic". 1ei mai muli dintre viruii de fiiere actuali sunt poliformi (se mai numesc mutani sau evolutivi). Ei sunt codificai, coninnd doar o mic parte - modulul de decodificare - necodificat. +n momentul activrii virusului, modulul de decodificare intr n aciune i decodific restul virusului. 1orpul virusului mai conine - evident, vei %ice - i un modul de codificare. 9olosind un generator de numere pseudoaleatoare acest modul i sc)im# algoritmul de codificare la fiecare infectare a unui fiier, modificnd modulul de decodificare. 1a urmare, nu e"ist o secven comun mai mare de civa octei ntre dou contaminri succesive. 'ia#olicul #ulgar care-i %ice 'ar* &venger (@%#oinicul +ntunecat) a reali%at un program numit 8uta6ion Engine (8tE) care poate transforma orice virus "clasic" ntr-un virus poliform. Cn tip aparte de virui de fiiere l constituie viruii -tealt) (de furi%are). &cetia sunt capa#ili s pcleasc programele antivirus, simulnd toate apelurile de sistem 'A- care ar duce la detectarea lor i fcndu-le s ntoarc acele informaii care s-ar o#ine n lipsa atacului. 'ac un virus -tealt) este re%ident n memorie, el va pcli un program antivirus care citete un fiier infectat cu acest tip de virus, deoarece virusul i ascunde propriul cod, artnd numai codul fiierului. 6ermenul -tealt) provine de la aviaia "clandestin" a -C& care a reuit s evite detectarea prin radar n @a%#oiul din Qolf. &ceast te)nic are o analogie #iologic. Viru%ii mai pot fi clasifica(i dup) urm)toarele criterii* ' up modul de infectare0 virui care infectea% fiierele cnd un program infectat este rulatB virui care rmn re%ideni n memorie cnd un program infectat este rulat i infectea% apoi toate programele lansate n e"ecuie 'in punct de vedere al capacitatii de multiplicare0 Virusi care se reproduc, infectea%a si distrugB Virusi care nu se reproduc, dar se infiltrea%a in sistem si provoaca distrugeri lente,fara sa lase urme(Gorms). ,n functie de tipul distrugerilor in sistem0 Virusi care provoaca distrugerea programului in care sunt inclusiB Virusi care nu provoaca distrugeri,dar incomedea%a lucrul cu sistemul de calcul se manifesta prin incetinirea vite%ei de lucru, #locarea tastaturii, reinitiali%area aleatorie a sistemului, afisarea unor mesa(e sau imagini ne(ustificateB Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi0 distrugerea ta#elei de alocare a fisierelor de pe )ard dis*, modificarea continutului directorului radacina, alterarea integrala si irecupera#ila a informatiei e"istente. 'upa po%itia in cadrul fisierului infectat0 virui care suprascriu fiierul, nemodificndu-i lungimea (anumii virui suprascriu numai %onele re%ervate datelor pentru a nu mpiedica funcionarea programului - acetia se numesc virui de cavitate)B virui care i adaug codul la sfritul programuluiB virui care i adaug codul la nceputul programului +up) vite,a de infectare* virui rapi%i (fast infector), care infectea% toate fiierele care sunt descrise (c)iar prin scanare fiierele pot fi infectate)B virui leni, care infectea% numai programele care sunt lansate n e"ecuie. E"ist virui "-linda(i", a cror de%asam#lare este foarte dificil, ca urmare sunt aproape imposi#il de studiat $rimii virusi atacau programele ga%da. 'e e"emplu, V:rainW inlocuia numele volumului disc)etei cu al sauB VVendredi 24W crestea dimensiunea programelor cu M23 octetil V'ata crimeW si VViennaW se semnau prin respectiv 22=E si =LE octeti. $rimele programe antivirus puteau repera usor acesti invadatori. 1reatorii de virusi au reactionat insa prin adoptarea unor strategii mai performante si au de%voltat proceduri capa#ile sa infecte%e un program, fara ca alterarea sa fie prea ostentativa. Adata introdus pe disc, a doua fa%a a vietii unui virus este autoprogramarea. Virusii incearca sa infecte%e cat mai multe programe, inainte de a ataca propriu-%is. $entru a opera cat mai eficient, virusii isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca o data. $e acest principiu lucrea%a si antivirusii, adica pe reperarea unei intru%iuni. Ei anali%ea%a unitatiile de disc pentru a cauta semnaturile cunoscute. &ceasta te)nica pre%inta insa un defect ma(or0 virusul tre#uie indentificat, deci ta#ela de semnaturi tre#uie permanent reactuali%ata. Virusii au forme de manifestare cat se poate de diverse.Cnii se multumesc sa afise%e mesa(e de pace sau sa cante o melodie. <ii pertur#a lucrul utili%atorului,insa fara consecinte prea dramatice. 'e e"emplu0 Virusul W ?e;$ressW duce la aparitia pe ecran a sirului V&&&&&W, daca se apasa tasta V&W. Virusul .Te Iu-esc.* acesta a lovit internetul in 3>>> infectand po%ele si fisierele de mu%ica din computere. -e putea identifica prin su#iectul mail-ului care era ", .ove /ou" sau "No*e0 Ver; 9unn;" virusul a devenit treptat tot mai periculos infectand fisiere importante tre#uind in final sa-ti restarte%i computerul. <e mesa(e erau date de %iua mamei sau cu su#iectul "Oai sa ne intalnim la o cafea". 8ai rau, altele pretindeau ca sunt mail-uri de la companii anti-virus si te puneau sa instale%i o aplicatie care cica te-ar fi scapat de virusi insa, de fapt, ti-i dadea. Virusul /0S* primul din aceasta serie a fost creat pentru Gindo5s DE si si-a luat numele dupa o #oala care este transmisa de catre so#olani. O$- il face pe cel infectat sa ai#a pro#leme respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul O$- a fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. ,nteresant este ca acest virus a fost creat pentru Gindo5s DE inainte ca acesta sa fie lansat pe piata. +ro1atul sau Virusul 2ari3uana0 a fost unele dintre primele virusuri, infectand primele sisteme 'A- prin disc)ete. $rima data a afectat Noua Keelanda in 2DEE si nu facea altceva decat sa afise%e pe ecran mesa(ul "1omputerul tau este drogat. .egali%ati 8ari(uana". ,nsa unele dintre cele D> de variante ale acestui virus (cu nume ca 'onald 'uc*, Oa5aii, @ostov, -mit)sonian, -toned8utation) reuseau pana la urma sa-ti #loc)e%e computerul. Virusul 0ol40oster0 acesta c)iar reusea sa te faca de ras. $ol;$oster nu numai ca iti infecta fisierele 8- Gord dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu atragatorul mesa( ",nformatii picante despre 8onica .e5ins*;". Virusul se infiltra in computerele tuturor curiosilor care desc)ideau aceste fisiere. Virusul Creier0 creat de doi frati din $a*istan in 2DE= acest virus nu s-a vrut virus la inceput. 9ratii au creat programul cu scopul de a prote(a un soft5are medical de a fi piratat. 'ar s-a dovedit a fi primul virus care sa infecte%e calculatorul. 1unoscut su# diferite nume ca .a)ore, $a*istani, $a*istani :rain, :rain-&, C,C1, &s)ar sau gripa pa*istane%a acest virus infecta .ocal 'is*-ul, ii sc)im#a numele in :rain si afisa te"tul in fisierele infectate. 8ai manca si F ?: din memoria computerului facandu-l sa meraga foarte greu. -e pare ca cei doi frati nu mintisera cand au %is ca a fost totul o greseala, pentru ca si-au facut pu#lice numele, adresele, numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i contacte%e pentru vaccin. Craniul* acum este vor#a despre un virus de mo#il. ,n 3>>L acest troian a infectat cele mai noi modele de telefoane No*ia care foloseau sistemul de operare -;m#ian. 1ei care erau infectati de 1raniu isi gaseau iconitele de pe ecranul mo#ilului transformate in mici cranii si oase. -ingurul lucru pe care il puteau face cu sofisticatele mo#ile era sa dea sau sa primeasca telefoane, celelalte functii inteligente fiind neopera#ile. Tantarul0 ,ntr-o incercare de a stopa pirateria, sistemul -;m#ian A- a infectat in 3>>L pe toti cei care incercau sa descarce ilegal versiuni ale (ocului 8osRuito (6antarul), (oc creat special pentru mo#ilele inteligente. Adata instalat in mo#il, troianul trimitea mesa(e te"t cu preturi e"or#itante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul lucru era sa de%instale%i (ocul. ,nsa nu-ti dadeai seama ca este ceva in neregula cu mo#ilul pana nu-ti venea prima factura e"or#itanta. 1ei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor0 stergeri, formatari de disc, #ruia( de informatii, modificari in #a%ele de date,etc.Cneori, virusii atacau dupa o lunga perioada de somnolenta. 'e e"emplu,W Qolden QateW nu devine agresiv decat dupa ce a infectat M>> de programe, V1;#er 6ec):W nu a actionat, in sc)im#, decat pana la 42 decem#rie 2DD4. 8orala0 utili%atorul avi%at(si patit) tre#uie sa ai#a gri(a ca periodic sa rule%e programe antivitus. ,n manualul de utili%are al 8--'A-, 8icrosoft imparte virusii in trei categorii0 Virusi care infectea%a sistemul de #oot Virusi care infectea%a fisierele Virusi 1al 6roian Cltimii sunt acele programe care aparent au o anumita intre#uintare, dar sunt in%estrati cu proceduri secundare distructive. 6otusi, o clasificare mai amanuntita a virusilor ar arata astfel0 Armati - o forma mai recenta de virusi, care contin proceduri ce impiedica de%asam#larea si anali%a de catre un antivirus, editorii fiind nevoiti sa-si du#le%e eforturile pentru a de%volta antidotul (e"0W G)aleW). Autoencriptori - inglo#ea%a in corpul lor metode de criptare sofisticate facand detectia destul de dificila. 'in fericire, pot fi descoperiti prin faptul ca incorporea%a o rutina de decriptare( e"0 V1ascadeW) &acteria - este programul care se nmulete rapid si se locali%ea% n sistemul ga%d, ocupnd procesorul si memoria central a calculatorului, provocnd parali%ia complet a acestuia. &om-a (:om#) - este un mecanism, nu neaprat de tip viral, care poate provoca n mod intenionat distrugerea datelor. Este de fapt ceea ce face faima viruilor. $entru utili%ator efectele pot varia de la unele amu%ante, distractive, pn la adevrate catastrofe, cum ar fi tergerea tuturor fiierelor de pe )ard dis*. &om-a cu ceas (6imer #om#) - este un virus de tip #om#, numit si #om# cu ntr%iere, programat special pentru a aciona la un anumit moment de timp. Este de fapt, o secven de program introdus n sistem, care intr n funciune numai condiionat de o anumit dat si or. &ceast caracteristic foarte important face ca procesul de detectare s fie foarte dificil, sistemul putnd s funcione%e corect o #un perioad de timp. &ciunea lui distructiv este deose#it, putnd terge fiiere, #loca sistemul, formata )ard dis*-ul si distruge toate fiierele sistem. &om-a lo1ic) (.ogic #om#) - este un virus de tip #om#, care provoac stricciuni atunci cnd este ndeplinit o anumit condiie, precum pre%enta ori a#senta unui nume de fiier pe disc. 'e fapt, repre%int un program care poate avea acces n %one de memorie n care utili%atorul nu are acces, caracteri%ndu-se prin efect distructiv puternic si necontrolat. A astfel de secven de program introdus n sistem, intr n funciune numai condiionat de reali%area unor condiii preala#ile. Camara,i - sunt avanta(ati de o particularitate a 'A--ului, care e"ecuta programele .com inaintea celor .e"e. &cesti virusi se atasea%a de fisierele .e"e, apoi le copia%a sc)im#and e"tensia in .com. 9isierul original nu se modifica si poate trece de testul antivirusilor avansati. Adata lansat in e"ecutie fisierul respectiv, ceea ce se e"ecuta nu este fisierul .com, ci fisierul .e"e infectat. &cest lucru determina propagarea virusilor si la alte aplicatii Calul troian (6ro(an )orse) - repre%int programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a crui e"ecuie produce efecte secundare nedorite, n general neanticipate de ctre utili%ator. $rintre altele, acest tip de virus poate da pentru sistem o aparent de funcionare normal. 1alul troian este un program pe calculator care apare pentru a e"ecuta funcii valide, dar conine ascunse n codul su instruciuni ce pot provoca daune sistemelor pe care se instalea% i rulea%, deseori foarte severe. Cn e"emplu foarte cunoscut ast%i de un astfel de program este cel numit &ids ,nformation ?it 6ro(an. $e un model de tip "cal troian" s-a #a%at marea pcleal care a strnit mult vlv la sfritul anului 2DED. $este 2>.>>> de copii ale unui disc de calculator, care preau s conin informaii despre -,'&, au fost e"pediate de la o adres #ine cunoscut din .ondra, ctre corporaii, firme de asigurri si profesioniti din domeniul sntii, din Europa si &merica de Nord. 'estinatarii care au ncrcat discurile pe calculatoarele lor, au avut surpri%a s descopere destul de repede c acolo se aflau programe de tip "cal troian", toate e"trem de periculoase. &ceste programe au reuit s tearg complet datele de pe )ard dis*-urile pe care au fost copiate. $rogramele de tip "cal-troian" mai conin o caracteristic important. -pre deose#ire de viruii o#inuii de calculator, acetia nu se pot nmuli n mod automat. &cest fapt nu constituie ns o consolare semnificativ pentru cineva care tocmai a pierdut %ile si luni de munc pe un calculator. <e e"emple de cai troieni0 2. @emote &ccess 6ro(ans (@&6Ts) &cest tip de troian este cel mai folosit in ultimul timp. 8ulta lume vrea sa detina un astfel de troian pentru a putea avea acces la )arddis*-ul victimei. 9olosirea unui astfel de troian nu necesita e"perienta, fiind foarte usor de utili%at. 6re#uie doar sa convingeti pe cineva sa rule%e serverul pe computerul lor dupa care ve-ti afla ,$-ul victimei avand astfel acces deplin asupra sistemului pe care a fost rulat serverul. ,n functie de tipul de "@&6" pe care il folositi ve-ti putea efectua anumite operatii asupra sistemelor infectate. 8a(oritatea troienilor de acest tip pre%inta urmatoarele functi0 - *e;loggerB - upload si do5nloadB - reali%area unui screens)otB - controlul asupra anumitor componente ale sistemului infectat (1'-@A8, Ge#cam)B 8etoda de conectare la sitemul infectat folosita de @&6Ts (@emote &ccess 6ro(ans) o repre%inta desc)iderea unui port in computerul infectat, prin care se poate conecta orice )ac*er. $entru a putea opri alte persoane sa se conecte%e la computerul infectat e"ista posi#ilitatea de a-l parola sau de a-i sc)im#a portul. -c)im#area portului desc)is este un proces foarte important deoarece nu cred ca este #ine ca victima sa constate ca de e"emplu portul 23L4 este desc)is. &proape saptamanal apar noi astfel de programe ce vin cu noi posi#ilitati dar care au si a#ilitatea de a nu fi detectate de anti-virusi. 'e aceea este recomandat sa folositi in general ultimile versiuni de @&6Ts aparute, pentru a avea un randament cat mai mare. 9olosirea acestor programe presupune o atentie marita deoarece daca nu aveti gri(a va puteti infecta foarte usor devenind din pradator prada. 3. $ass5ord -ending 6ro(ans -copul acestor troieni este de a afla parolele unui computer iar apoi de a le trimite la o adresa de e-mail specificata fara sa-si dea seama victima. 8area ma(oritate a acestor troieni nu repornesc de fiecare data cand Gindo5s-ul se incarca si in general folosesc pentru a trimite mail-urile portul 3M. E"ista cativa astfel de troieni ce trimit mail-uri si cu alte informatii folositoare. 4. 96$ 6ro(ans &ceasta categorie de troieni desc)id portul 32 pe computerul infectat lasand orice )ac*er, ce are un client de 96$, sa se conecte% la sistemul infectat pentru a putea reali%a atat do5nload cat si upload. L. ?e;loggers ?e;loggers tro(ans sunt cei mai simpli troieni. -ingura operatie pe care o reali%ea%a este aceea de a inregistra fiecare tasta apasata de victima. ,n ma(oritatea ca%urilor acesti troieni repornesc de fiecare data cand se incarca Gindo5s-ul. $re%inta posi#ilitatea de a lucra atat in mod online cat si in mod offline. ,n modul online ei inregistrea%a si trimit in mod direct informatia. 8odul offline este activat in momentul in care victima nu mai este conectata la retea (internet), informatia inregistrata fiind salvata pe )arddis*-ul victimei asteptand sa fie transferata. M. 'esctructive -ingura functie pe care o reali%ea%a acesti troieni este de a distruge si sterge fisierele. -unt cei mai simpli si usor de folosit deoarece pot sterge automat toate fisierele cu e"tensiile .dll .ini sau .e"e din computerul infectat. -unt foarte periculosi si de indata ce ati fost infectat daca nu va de%infectati computerul intr-un timp cat mai scurt toata informatia stocata pe )arddis* nu va mai e"ista. &cestea sunt cele mai folosite categori de 6roieni. 6oti sunt periculosi si ar tre#ui sa aveti gri(a cum lucrati cu ei. 5urisati6stealt78 - acesti virusi isi masc)ea%a pre%enta prin deturnarea intreruperilor 'A-. &stfel, comanda dir nu permite o#servarea faptului ca dimensiunea unui fisier e"ecuta#il a crescut, deci este infectat . E"emplu0VM23W,W&t)eusW,W:rainW, W'amageW, WQremlinW,WOolocaustW,W6elecomW Virus al sectorului de -oot (:oot sector virus) - este un tip de virus care distruge starea iniial a procesului de ncrcare. El suprascrie sectorul de #oot al sistemului de operare. Cn virus al sectorului de #oot (ncrcare) atac fie sectorul de ncrcare principal, fie sectorul de ncrcare 'A- de pe disc. 6oi viruii sectorului de ncrcare modific ntr-un anume fel coninutul sectorului de #oot. 8odificrile sectorului de #oot nu tre#uie s fie prea e"tinse0 unii virui mai noi din aceast categorie sunt capa#ili s infecte%e discul fi", modificnd doar %ece octei din acest sector. E"emplu0 W&lamedaW,W&s)arW,W:loodieW,W1anna#isW,W1)aosW. Virus ata%at (&ppending virus) - este un virus care i ataea% codul la codul e"istent al fiierului, nedistrugnd codul original. $rimul care se e"ecut atunci cnd se lansea% fiierul infectat este virusul. &poi, acesta se multiplic, face sau nu ceva stricciuni, dup care red controlul codului original si permite programului s se e"ecute normal n continuare. &cesta este modul de aciune al unui "virus clasic". Virus companion (1ompanion virus) - este un virus care infectea% fiiere de tip .EJE prin crearea unui fiier 1A8 avnd acelai nume si coninnd codul viral. El speculea% o anumit caracteristic a sistemului 'A- prin care, dac dou programe, unul de tip .EJE si cellalt de tip .1A8, au acelai nume, atunci se e"ecut mai nti fiierul de tip .1A8. Virus cripto1rafic (1r;pto virus)- un virus care se infiltrea% n memoria sistemului si permite folosirea a#solut normal a intrrilor si transmiterilor de date, avnd proprietatea c, la o anumit dat, se autodistruge, distrugnd n acelai timp toate datele din sistem si fcndu-l a#solut inutili%a#il. Cn astfel de atac poate fi, pur si simplu, activat sau ani)ilat, c)iar de ctre emitor aflat la distan, prin transmiterea unei comen%i corespun%toare. Virus critic (1ritical virus) - este un virus care pur si simplu se nscrie peste codul unui fiier e"ecuta#il fr a ncerca s pstre%e codul original al fiierului infectat. +n cele mai multe ca%uri, fiierul infectat devine neutili%a#il. 1ei mai muli virui de acest fel sunt virui vec)i, primitivi, e"istnd ns i e"cepii. Virus cu infec(ie multipl) (multi-partite virus) - este un virus care infectea% att sectorul de #oot, ct si fiierele e"ecuta#ile, avnd caracteristicile specifice att ale viruilor sectorului de ncrcare, ct si ale celor para%ii. &cest tip de virus se ataea% la fiierele e"ecuta#ile, dar i plasea% codul si n sistemul de operare, de o#icei n 8:@ sau n sectoarele ascunse. &stfel, un virus cu infecie multipl devine activ dac un fiier infectat este e"ecutat sau dac $1-ul este ncrcat de pe un disc infectat. E"emplu0 W&ut)a"W,W 1ra%; EddieW,W,nvaderW,W 8alagaW,etc Virus de atac -inar - este un virus care operea% n sistemul de "cal troian", coninnd doar civa #ii pentru a se putea lega de sistem, restul fiind de regul mascat ca un Vprogram nee"ecuta#ilW Virus de le1)tur) (.in* virus) - este un virus care modific intrrile din ta#ela de directoare pentru a conduce la corpul virusului. 1a si viruii ataai, viruii de legtur nu modific coninutul nsui al fiierelor e"ecuta#ile, ns alterea% structura de directoare, legnd primul pointer de cluster al intrrii de directoare corespun%toare fiierelor e"ecuta#ile la un singur cluster coninnd codul virusului. Adat ce s-a e"ecutat codul virusului, el ncarc fiierul e"ecuta#il, citind corect valoarea cluster-ului de start care este stocat n alt parte. Virusii de macro fac parte dintr-o nou generaie de virui de fiiere. Viruii macro infectea% documente, nu programe. Ei pot infecta numai documentele create cu programe care folosesc lim#a(e macro (Gord, E"cel). Cn e"emplu de lim#a( macro este Gord:asic, care este inclus Xn 8icrosoft Gord F.>. $ac)etul 8icrosoft Affice DF folosete ca lim#a( macro pentru programele componente (Gord DF, E"cel DF, &ccess DF) o versiune restransa de Visual :asic numit Visual :asic for &pplications. &cesta este un lim#a( puternic (permite c)iar i apeluri de sistem) care a determinat apariia viruilor macro ce infectea% i #a%ele de date &ccess DF (.8':). 'eci acest tip de virui utili%ea% lim#a(ul de programare macro al unei aplicaii, pentru a se distri#ui pe ei nii. 'e o#icei fiierele document au ataate macro-uri care sunt e"ecutate automat la desc)iderea lor. Cnele dintre acestea pot fi de fapt secvene virale. Cn virus macro odat activat poate redefini comen%i ale programului care a desc)is documentul, cum ar fi salvarea sau tiprirea la imprimant. 1el mai des acesta modific comanda de salvare a fiierelor (-ave &s din meniul 9ile), astfel nct fiierele vor fi salvate numai ca a#loane (template-uri - de e"emplu .'A6 pentru Gord), dar cu e"tensia specific documentelor (n e"emplul nostru .'A1). +n final virusul infectea% fiierul sa#lon glo#al (de e"emplu template-ul NA@8&..'A6 n ca%ul programului 8icrosoft Gord), virusand apoi prin intermediul acestuia orice document care se va desc)ide. ,nfeciile cu un virus macro se rspndesc mult mai rapid dect infeciile cu virui o#inuii, deoarece documentele sunt des folosite i circul mai mult dect alte tipuri de fiiere. $rogramele 8icrosoft Gord8ail, saul Gord ,nternet &ssistant nu permit transmiterea virusului. Cn document infectat ataat la un mesa( Gord8ail, poate fi ns transmis prim E- mail. 'eci atenie la cutia potal (electronic) U 'eoarece se scriu uor, numrul viruilor macro a crescut de la L> n ianuarie 2DDF, la peste 3>>> n vara anului 2DDE. 8uli virui macro sunt variante ale altora (de e"emplu e"ist E= de variante ale virusului macro Ga%%u). Kilnic apar peste 2> virui macro. Virus deta%a-il (9ile (umper virus) - este un virus care se de%lipete el nsui de fiierul infectat e"act naintea desc)iderii sau e"ecuiei acestuia i i se reataea% atunci cnd programul este nc)is sau se termin. &ceast te)nic este foarte eficient mpotriva multor programe de scanare si sc)eme de validare, deoarece programul de scanare va vedea un fiier "curat" si va considera c totul este n regul. &ceasta este o te)nic de ascundere (stealt)). Virus invi,i-il (-tealt) virus) - este un virus care i ascunde pre%enta sa, att fa de utili%atori, ct si fa de programele antivirus, de o#icei, prin interceptarea serviciilor de ntreruperi. Virus morfic (8orp)ic virus) - un virus care i sc)im# constant codul de programare si configurarea n scopul evitrii unei structuri sta#ile care ar putea fi uor identificat i eliminat. Virus nere,ident (@untime virus) - este opusul virusului re%ident. Viruii nere%ideni n memorie nu rmn activi dup ce programul infectat a fost e"ecutat. El operea% dup un mecanism simplu si infectea% doar e"ecuta#ilele atunci cnd un program infectat se e"ecut. 1omportarea tipic a unui astfel de virus este de a cuta un fiier ga%d potrivit atunci cnd fiierul infectat se e"ecut, s-l infecte%e si apoi s redea controlul programului ga%d. Virus para,it ($arasitic virus) - este un virus informatic, care se ataea% de alt program si se activea% atunci cnd programul este e"ecutat. El poate s se atae%e fie la nceputul programului, fie la sfritul su, ori poate c)iar s suprascrie o parte din codul programului. ,nfecia se rspndete, de o#icei, atunci cnd fiierul infectat este e"ecutat. 1lasa viruilor para%ii poate fi separat n dou0 viruii care devin re%ideni n memorie dup e"ecuie i cei nere%ideni. Viruii re%ideni n memorie tind s infecte%e alte fiiere, pe msur ce acestea sunt accesate, desc)ise sau e"ecutate. Virus polimorf ($ol;morp)ic virus) - este un virus care se poate reconfigura n mod automat, pentru a ocoli sistemele de protecie acolo unde se instalea%. El este criptat si automodifica#il. Cn virus polimorfic adaug aleator octei de tip "gar#age" (gunoi) la codul de decriptare si!sau folosete metode de criptare!decriptare pentru a preveni e"istenta unor secvene constante de octei. @e%ultatul net este un virus care poate avea o nfiare diferit n fiecare fiier infectat, fcnd astfel mult mai dificil detectarea lui cu un scaner. E"emplu0 W&ndreW,W 1)ee#aW,W'ar* &vengerW,W$)oeni" 3>>>W,W 8altese 9is)W,etc Virus re,ident (@e%ident virus) - este un virus care se autoinstalea% n memorie, astfel nct, c)iar mult timp dup ce un program infectat a fost e"ecutat, el poate nc s infecte%e un fiier, s invoce o rutin "trigger" (de declanare a unei anumite aciuni) sau s monitori%e%e activitatea sistemului. &proape toi viruii care infectea% 8:@-ul sunt virui re%ideni. +n general, viruii re%ideni "aga" codul sistemului de operare. 8area ma(oritate a viruilor actuali folosesc te)nici de ascundere. E"ist si un termen des folosit n acest domeniuB el se numete stealt) (ascundere) si desemnea% te)nicile folosite de anumii virui care ncearc s scape de detecie. 'e e"emplu, un lucru pe care-l pot face viruii re%ideni, este s intercepte%e comen%ile (funciile) 'A- de tip ',@ si s raporte%e dimensiunile originale ale fiierelor, si nu cele modificate datorit atarii virusului. 6e)nicile -pa5ning si 9ile Numper repre%int metode de ascundere, fiind ns cu mult mai avansate. Viru%ii spioni 9 $e lng numeroii virui, cunoscui la aceast or n lumea calculatoarelor, e"ist o categorie aparte de astfel de "intrui", care au un rol special0 acela de a inspecta, n calculatoarele sau reelele n care ptrund, tot ceea ce se petrece, si de a trimite napoi la proprietar, la o anumit dat i n anumite condiii, un raport complet privind "corespondenta" pe ,nternet si alte "aciuni" efectuate de ctre cel spionat prin intermediul calculatorului. $ractic, un astfel de virus nu infectea% calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea s distrug. El se instalea%, de regul, prin intermediul unui mesa( de pot electronic i ateapt cuminte pn apar condiiile unui rspuns la aceeai adres. 1t timp se afl n reea, acesta culege informaiile care l interesea%, le codific ntr-un anumit mod, depunndu-le ntr- o list a sa si apoi le transmite la proprietar. Cn virus de acest gen poate ptrunde i se poate ascunde, de e"emplu, ntr-un fiier tip "doc" primit printr-un e-mail. El i ncepe activitatea odat cu nc)iderea unui document activ, atunci cnd verific dac acesta a fost infectat cu o anumit parte din codul su special. Cnii virui din aceast categorie i i-au msuri ca s nu fie depistai si distrui de programele de de%infectare. +ntr-o secven de cod, dup o verificare si un control al liniilor, intrusul ncepe s nregistre%e diferite mesa(e si aciuni, le adaug la lista sa secret i ateapt condiiile ca s le transmit la destinatar, nimeni altul dect cel care l-a e"pediat. +n unele variante ale sale de pe ,nternet acest tip de virus poate face singur o cone"iune la o adres pe care o identific singur. 'up aceasta, totul devine foarte simplu. E ca i cum n casa noastr se afl permanent cineva care asist din um#r la toate convor#irile noastre secrete i nesecrete i, atunci cnd are prile(ul, le transmite prin telefon unui "#eneficiar" care ateapt. 'in pcate, viruii spioni sunt de multe ori negli(ai. Nici c)iar programele de de%infectare nu sunt prea preocupate s-i ia n seam si s-i trate%e, motivul principal fiind acela c ei nu au o aciune distructiv direct. 6otui, pagu#ele pot fi uneori nsemnate, nemaipunnd la socoteal i faptul c nimeni pe lumea aceasta nu si-ar dori s fie "controlat" n intimitatea sa. Cn astfel de spion poate sta mult si #ine ntr-un calculator, dac nu este depistat la timp si nlturat de un program serios de devirusare. Este, desigur, un adevrat semnal de alarm, pentru simplul motiv c asemenea "intrui" e"ist i pot ptrunde n viaa noastr i pe aceast cale. Cn astfel de virus spion a fost descoperit de un student n primvara anului 2DDD, n reeaua de calculatoare a de%volttorilor de soft5are ai 'ireciei ,nformatic din 1- -ide" -&, de catre un student. Cn program care acionea% n acest mod este cunoscut n literatura de specialitate cu numele de sp;5are (spion). A serie de virui de e-mail, precum cele#rul 8elissa, ncearc s trimit documente confideniale - personale sau ale companiei la care lucrai. ,ar dac cele#rul cal troian numit ":ac* Arifice" si-a gsit o cale ctre sistemul dvs., el va oferi control deplin asupra ntregului $1 oricui va solicita acest lucru. 1)iar si n condiiile n care sistemul este #ine prote(at mpotriva atacurilor din e"terior, este posi#il ca o trdare s se petreac din interior. 1u alte cuvinte, atunci cnd v conectai la ,nternet este posi#il s fie parta(at cone"iunea cu un para%it, adic un program spion care are propria sa activitate si care se conectea% la momente presta#ilite la site-ul su de Ge#. Cnele programe sp;5are sunt instalate n mod automat atunci cnd vi%itai un anumit site de Ge# ce face apel la ele. <ele sunt instalate mpreun cu aplicaii de tip s)are5are sau free5are. ,nstalarea se produce uneori fr a fi contieni de ea sau c)iar accepta#il prin apsarea #utonului /es fr citirea te"tului licenei de utili%are. $rogramele sp;5are nu sunt denumite astfel pentru c ele "fur" informaii private ci pentru modul secret n care acionea%, fr a fi cunoscute sau fr a cere vreo permisiune din partea utili%atorului. -copul lor declarat pare destul de inofensiv. Cnele dintre ele, denumite ad#ots, programe de recepionat mesa(e pu#licitare, afiea% aceste informaii n programele asociate si ncearc s a(uste%e mesa(ul pu#licitar preferinelor si o#iceiurilor utili%atorilor. <ele colectea% informaii statistice pentru clienii lor. 6oate aceste programe pretind c v prote(ea% informaiile private si la o anali% atent se dovedete c au dreptate. ,nformaiile nepersonale ce sunt adunate de aceste programe ar putea fi totui folosite ntr-un mod neadecvat, iar pre%enta lor pe sistemul dvs. i-ar putea compromite securitatea. Ce este un vierme de calculator? Viermele (Gorm) - este un program care, inserat ntr-o reea de calculatoare, devine activ ntr-o staie de lucru n care nu se rulea% nici un program. El nu infectea% alte fiiere, aa cum fac adevraii virui. -e multiplic ns n mai multe copii pe sistem si, mai ales, ntr-un sistem distri#uit de calcul. +n acest fel "mnnc" din resursele sistemului (@&8, disc, 1$C etc.). Cn vierme este un tip de virus care poate sa infecte%e un sistem fara sa fie nevoie sa rule%e un codB acesta poate sa e"ploate%e vulnera#ilitatile aplicatiilor soft5are si sa se instale%e automat in computer. -i acest tip de virus se va raspandi in retea si va incerca sa foloseasca vulnera#ilitatile descoperite pentru multiplicarea cat mai multor sisteme. Cn vierme este asemanator unui virus prin faptul ca se auto-copia%a, diferenta constnd n faptul ca un vierme nu are nevoie sa se atase%e la anumite fisiere pentru a se multiplica. Istoria viermilor Aparitia* $e 3 noiem#rie 2DEE unele din calculatoarele cuplate la reteaua numita ,nternet, care lega o parte dintre marile universitati si centre de cercetare americane, au nceput sa e")i#e simptome ciudate. 1alculatoarele e"ecutau tot felul de programe, compilau surse si comunicau cu alte calculatoare din retea, fara ca cineva sa fi initiat aceste activitati. $rima alarma a fost pornita la universitatea -tanford, la ora D seara (ora coastei de est a -tatelor Cnite), care afirma ca ma(oritatea masinilor Cni" din campus (n numar de vreo 3M>>) erau infectate de un virus care pornise de la 8,6. .a ora 2> seara programatorii de la 8,6 au descoperit si ei o activitate suspicioasa si au ncercat sa re#oot-e%e calculatoarele, cre%nd ca e vor#a de un program care a luat-o ra%na. 1nd au o#servat nsa ca, nu mult timp dupa repornire, calculatoarele re-ncepeau acelasi lant de activitati #i%are, au reali%at ca ceva mai serios se afla la mi(loc. +n curnd mesa(e de e-mail sc)im#ate cu colegi de la alte universitati le-au revelat ca atacul era universal0 calculatoare din toata &merica sufereau deaceleasi simptome. &u urmat apoi doua nopti al#e si munca n foc continuu n care )ac*er-ii ncercau sa nteleaga n ce fel functionea%a noul virus care le ataca calculatoarele. .a fel ca si cei #iologici, virusii de o#icei calatoresc n spinarea altor programe, care fortea%a celulele organismului ga%da sa-, multiplice. $rogramul cel nou era nsa autonomB ca atare a fost #ote%at ::vierme;;0 era un organism de sine-statator, capa#il sa se multiplice si sa atace de la sine alte calculatoare. 1ercetatorii au atacat viermele prin mai multe metode0 Y au nceput sa-l de%asam#le%e si sa descifre%e instructiunile din care era compusB Y au creat masini-capcana pe care sa le infecte%e, care nregistrau o multime de detalii despre ceea ce se petrecea cu ele nsele (creau ZZlog-uriTT)B Y au creat masini-mutant pe care le parali%au partial, pentru a descoperi care sunt serviciile de care viermele are nevoie pentru a se putea multiplicaB Viermele acesta era deose#it de virulent si complicat, atacnd statii de lucru -unsi V&J care rulau sistemul de operare Cni" de la :er*ele;. Viermele folosea mai multe metode de propagare, e"ploatnd mai multe sla#iciuni n configurarea calculatoarelor si implementarea programelor0 Y +nti ncerca sa se transfere ntre calculatoare pe care acelasi utili%atoravea conturi diferite si ntre care utili%atorul si configurase acces faraparole (folosind fisierele .r)osts)B Y 'aca nu reusea folosind acest mecanism, ncerca sa foloseasca o sla#iciune din programul send mail, care si la ora actuala este cel mai folosit program pentru procesarea postei electronice. $e multe calculatoare send mail era instalat compilat cu o configuratie de depanare, care permitea e"ecutarea unor comen%i de la distantaB Y +n fine, viermele e"ploata un #ug din implementarea programului finger, care este folosit n mod normal pentru a vedea cine lucrea%a pe un calculator la distanta. Viermele e"ploata pentru prima oara un tip de #ug care este la ora actuala e"trem de folosit de alte animale de acelasi gen0#uffer overflo5. Viermele trimitea programului fingerd, care primeste ntre#ari despre utili%atori prin retea, un nume de utili%ator foarte lung,care depasea memoria alocata pentru receptia mesa(ului. Numele era att de lung nct scria gunoi peste stiva programului si modifica valoarea salvata a registrului $1. &ceasta cau%a un salt la o adresa dinainte sta#ilita, aflata n numele foarte lung, unde viermele continea codul care prelua controlul. Y Adata instalat pe un calculator, viermele ncerca sa decripte%e unele din parolele utili%atorilor folosind un dictionar de parole o#isnuite, pentru a pune mna pe noi conturi din care sa re-atace folosind prima metoda. Y Viermele se propaga n doua etape pe un nou calculator pe care-l infecta0 nti trimitea un scurt program scris n 1, care era compilat pe masinalocala, care apoi aducea si restul viermelui, care consta n module pre-compilate pentru -un si V&J. Y +n plus, n interiorul viermelui toate sirurile de caractere (inclusiv comen%ilepe care viermele le lansea%a n e"ecutie si dictionarul de parole inclus) erau VascunseW (fiecare caracter este suprapus cu un sau e"clusiv cuvaloarea E2). Viermele nu efectua actiuni distructive, cum ar fi stergerea de fisiere sau instalarea de conturi ascunse0 singurul efect negativ provenea din faptul ca masinile erau infectate n mod repetat, si repede nu faceau altceva dect sa e"ecute copii ale viermelui. 1ercetari ulterioare au relevat faptul ca viermele fusese creat si lansat de un student la doctorat al universitatii 1ornell, pe nume @o#ert 6appan 8orris. +n mod oarecum ironic, 8orris este fiul unui alt @o#ert 8orris, care era pe vremea aceea era cercetator la National -ecurit; &genc;, o organi%atie guvernamentala americana nsarcinata cu criptologia. @o#ert 8orris a fost condamnat la trei ani de nc)isoare cu suspendare pentru fapta sa, 2>>>> de dolari amenda si L>> de ore de munca n serviciul comunitatii. 'upa terminarea sentintei @o#ert 8orris a terminat doctoratul la universitatea Oarvard si ncepnd din 2DDD este profesor la universitatea 8,6, lucrnd n domeniul retelelor de calculatoare.8orris nu a avut aceste succese ulterioare datorita pataniei cu viermele0 el a reusit sa-si VrepareW cariera n pofida istoriei cu viermele, pentru ca este foarte capa#il si inteligent. +n pre%ent refu%a sa vor#easca despre vierme sau sa faca cercetare n securitatea calculatoarelor. A multime de rapoarte au descris aceste evenimente n detaliu si au discutat pro#lema securitatii n ,nternet imediat dupa aceste evenimente. 1u toate acestea, nimic nu s-a sc)im#at... Clasificari ale viermilor Viermii care se transmit prin e9mail E-mailul este una din cele mai folosite metode de imprastiere a viermilor. 'e o#icei, este su# forma unui e-mail cu atasament (o po%a sau un fisier te"t), iar cand utili%atorul rulea%a acest atasament, viermele va infecta calculatorul. 'upa ce calculatorul este infectat, viermele va incerca sa gaseasca alte adrese de e-mail pe calculator (de o#icei in fisierele de configurare ale clientilor de e-mail) si se va trimite automat la toate adresele pe care le gaseste, pornind astfel un nou ciclu. Viermii care se transmit prin I2 6Internet 2essa1in18 Viermii care se transmit prin ,8 se vor imprastia folosind clienti de ,8 (/a)oo,8-N, &A...). Ei actionea%a trimitind tuturor celor din lista celui infectat un lin* spre un fisier infectat sau spre un site. 1and este dat clic* pe lin*ul respectiv, viermele este do5nloadat si rulat. &stfel se va infecta calculatorul respectiv. Viermele va incepe sa scane%e lista de contacte a calculatorului respectiv, trimitand acelasi lin* la toti cei din lista, pornind astfel un nou ciclu. Viermii care se transmit prin Internet E"ista posi#ilitatea sa te infecte%i cu un vierme doar fiind conectat la ,nternet. Cnii viermi cauta ,nternetul pentru a gasi calculatoare vulnera#ile (fara update-uri de securitate, fara fire5all). Adata gasit un calculator vulnera#il, va incerca sa se copie%e si sa se instale%e pe acesta. Viermii care se transmit prin retea -unt viermi care se copia%a automat intr-un director care este vi%i#il in reteaua locala (s)are), si se redenumeste automat astfel incat sa atraga atentia, fiind apoi do5nloadat de catre utili%atorii din retea. Ctili%atorii care cred ca do5nloadea%a o oarecare aplicatie, vor a(unge infectati cu acel vierme. Viermele Caric9A* aparut tot in perioada scandalului cu :ill 1linton, acest program malitios se activa dupa ce desc)ideai un atasament de mail cu o caricatura a lui 1linton cantand la sa"ofon din care iesea un sutien. Viermele <urmar0 a aparut in 3>>M si era ascuns intr-o po%a cu un #atranel )aios. 'upa ce descarcai po%a in computer, viermele instala un troian care le permitea )ac*er-ilor sa preia controlul partilor infectate din calculator. Nu numai ca si tu transmiteai fara sa vrei mai departe virusul, mai mult, iti si stergea la intamplare fisiere din computer sau le trimitea la contactele din lista de mail. Viermele Cue-ot9=0 acesta a facut multa valva. -istemul antipiraterie creat de Gindo5s, Gindo5s Qenuine &dvantage (GQ&), era acu%at de catre utili%atori ca fiind de fapt o forma de sp;5are. 8icrosoft a incercat sa re%olve pro#lema creand o versiune noua a programului, lucru de care au profitat programatorii de virusuri creand viermele 1ue#ot-?. &cest program din 3>>= a aparut pe net pretin%and ca este noua versiune 8icrosoft. -e lansa singur cand desc)ideai computerul si afisa mesa(e cum ca de%instalarea lui va face computerul sa se #loc)e%e. 'ar ce facea cel mai rau, era sa desc)ida o usa din spate prin care )ac*erii puteau sa-ti intre in computer. Care sunt simptomele unui sistem virusat> 1ei care sunt iniiai n domeniul viruilor de calculatoare nu vor avea pro#a#il dificultti n a spune dac un calculator este suspect de a fi infectat cu un virus nou. Viruii se pot rspndi nesting)erii doar atta timp ct rmn nedetectai. 'in acest motiv, ma(oritatea viruilor nu i manifest pre%ena n sistem. Numai programele antivirus pot detecta pre%enta unei asemenea infecii. E"ist, totui, mai multi virui, ce si fac simit pre%ena n sistem prin efectele secundare generate. 1teva "simptome" specifice calculatoarelor virusate (lista este orientativ[, ca%urile reale fiind mult mai numeroase si diverse)0 fiierele sistem cresc n lungime (de e"emplu n 'A- =.3> fiierul command.com are ML=2D octei, iar pe un calculator virusat el poate avea, s %icem cu 23>> de octei mai mult, respectiv MME2D)B #locri frecvente - ma(oritatea viruilor sunt e"trem de prost scrii si #loc)ea% calculatorul e"trem de des. Viruii sunt de altfel cunoscui ca cele mai incompati#ile programe (e"ceptnd viruii multiplatform[, ca de e"emplu clasa "1oncept" - viruii de .doc Gord)B mesa(e ciudate, melodii sau sunete suspecte n difu%or. 8uli virui i fac anunat[ pre%ena prin astfel de efecteB distrugerile de date sunt alt efect al viruilor. 'ispariia su#it a unui fiier sau erori ale sistemului de fiiere sunt clasiceB ncetinirea accesului la disc este produs de unii virui stealt) care se interpun ntre programe i sistemul de acces la discuriB la apsarea tastelor 16@.\&.6\'E. calculatorul #oot-ea% instantaneu fr a mai trece prin ecranul de $A-6 (po5er on, self test)B la comanda c)*ds* ma(oritatea programelor e"ecuta#ile sunt raportate ca avnd o lungime incorect0 efect al unor virui stealt)B dimensiunea memoriei afiat de programele speciali%ate este mai mic dect =L>?#. Cneori acest efect este generat de unele managere de memorie fr a fi vor#a de un virus, dar de o#icei indic pre%ena unui virusB programele de tip self-c)ec* raportea% c[ au fost modificateB nu mai pornete Gindo5s sau se raportea% c accesul la disc se face prin :,A-B sc)im#ri ale marca(ului de timp al fiierelorB ncrcarea mai grea a programelorB operarea nceat a calculatoruluiB sectoare defecte pe disc)ete. 2odalitati de protectie! 0ro1rame antivirus Adata a(uns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actionea%a in doua etape. ,n prima fa%a de multiplicare, virusul se reproduce doar, marind astfel considera#il potentialul pentru infectari ulterioare. 'in e"terior nu se o#serva nici o activitate evidenta. A parte a codului de virus testea%a constant daca au fost indeplinite conditiile de declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre ceasul sistemului vineri 24 sau 2 aprilie sunt alegeri o#isnuite, etc). Crmatoarea fa%a este cea activa,usor de recunoscut dupa actiunile sale tipice0 modificarea imaginii de pe ecran,stergerea unor fisiere sau c)iar reformatatrea )ard dis*-ului. $e langa fisierele e"ecuta#ile sunt atacate si datele de #a%a. 'esii virusii au nevoie de o ga%da pentru a putea supravietui,modul de coe"istenta cu ea este diferit de la un virus la altul. E"ista virusi para%iti care nu alterea%a codul ga%dei,ci doar se atasa%a. &tasarea se poate face la inceputul, la sfarsitul sau la mi(locul codului ga%da, ca o su#rutina proprie. ,n contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul ga%dei. &cestia sunt deose#it de periculosi, deoarece fisierul ga%da este imposi#il de recuperat. $entru ca virusul sa se e"tinda, codul sau tre#uie e"ecutat fie ca urmare indirecta a invocarii de catre utili%ator a unui program infectat, fie direct, ca facand parte din secventa de initiali%are. A speranta in diminuarea pericolului virusilor o constituie reali%area noilor tipuri de programe cu protectii incluse. Cna dintre acestea consta in includerea in program a unei sume de control care verifica la lansare si #loc)ea%a sistemul daca este infectat. ,n perspectiva,se pot folosi sisteme de operare mai putin vulnera#ile. Cn astfel de sistem de oprerare este CN,J,in care programul utili%ator care poate fi infectat nu are acces la toate resursele sistemului. Virusii care se inmultesc din ce in ce mai mult, poliferea%a datorita urmatorilor factori0 $unerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi, pe #a%a carora s-au scris mai multe variante de noi virusi &paritia si punerea in circulatie, cu documentatie sursa completa, a unor pac)ete de programe speciali%ate pentru generarea de virusi. 'oua dintre acestea sunt 8anIs V1. (Nu*e) si $1- 8$1 de la $)alcon!-*imB am#ele au fost puse in circulatie in 2DD3. 'istri#uirea in 2DD3, via ::--ului #ulgar, a programului 86E - V masina de produs mutatiiW- conceput de 'ar* &venger din -ofia. &cest program este insotit de o documentatie de utili%are suficient de detaliata si de un virus simplu, didactic. .in*-editarea unui virus e"istent cu 86E si un generator de numere aleatoare duce la transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si sc)im#a secventa de instructiuni la fiecare multiplicare, functia de #a%a ramanand nealterata,dar devenind practic de nedectat prin scanare @aspandirea ::--urilor (:ulletin :oard -;stem), care permit oricarui utili%ator $c dotat cu un modem sa transmita programe spre si dinspre un calculator. Cn sitem este lipsit de virusi, daca in memorie nu este re%ident sau ascuns nici un virus,iar programele care se rulea%a sunt curate. ,n aceasta conceptie, programul antivirus vi%ea%a atat memoria calculatoarelor, cat si programele e"ecuta#ile. 1um in practica nu poate fi evitata importarea de fisiere virusate, metode antivirus cauta sa asigure protectie in anumite ca%uri perticulare, si anume0 la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste scanarea. &ceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi caracateristice virusilor din #i#lioteca programului de scanareB daca programele sunt de(a cunoscute, nefiind la primul contact, se folosesc sume de control. &ceste sume constituie o semnatura a programului si orice modificare a lui va duce la o modificare a sumei sale de controlB in calculator e"ista o serie de programe care nu se modifica, repre%entand %estrea se soft a calculatorului, care se prote(ea%a pur si simplu la scriere. -canarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in fa%a primara de raspandire a virusilor. Ea poate fi salvatoare, c)iar daca se aplica ulterior (de pe o disc)eta sistem curata), in fa%a activa,deoarece in numeroase ca%uri poate recupera fisierele infectate. 1onclu%ii0 aria de actiuneB memoria si fisierele de interesB protectia se mnifesta la primul contact cu orice fisierB permite de%infectareaB nu detectea%a virusi noi. Arice virus nou tre#uie introdus in lista de virusi a programului de scanareB timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere prote(ateB e"ista alarme false, daca semnatura virusului este prea scurtaB foloseste ca resursa memoria calculatoruluiB operea%a automat (ca un 6-@). -umele de control sunt calculate cu polinoame 1@1 si pot detecta orice sc)im#are in program,c)iar daca aceasta consta numai in sc)im#area ordinii octetilor. &ceasta permite #locarea lansarii in e"ecutie a programelor infectate,c)iar de virusi necunoscuti, dar nu permite recuperarea acestora. 8etoda este deose#it de utila in fa%a de raspandire a virusilor,orice fisier infectat putand fi detectat. ,n fa%a activa,insa metoda este neputicioasa. $rogramele de protectie-programe antivirus- au rolul de a reali%a simultan urmatoarele activitati0 prevenirea contaminariiB detectarea virusuluiB eliminarea virusului, cu refacerea conte"tului initialB ,n general, e"ista doua categorii de programe antivirus0 programe care verifica fisierele pentru a descoperi te"te neadecvate sau sematuri de virusi recunoscutiB programe re%idente in memoria interna, care interceptea%a instructiunile speciale sau cele care par du#ioase. ,n categoria programelor de vierificare se include cele de tip -1&N""",unde prin """ s-a specificat numarul asociat unei versiuni, de e"emplu0 -1&NE=, -1&N2>3, -1&N2>E, -1&N3>>. &ceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. 'upa aceasta verificare, utili%atorul va incerca aliminarea virusului depistat,prin intermediul programelor 1.E&@""", prin specificarea numelui virusuluiB de remarcat ca, folosind acest program, nu e"ista certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a locali%arii acestora in locuri care nu pot fi intotdeauna reperate. +n finalul acestui capitol pre%entm alte cteva sfaturi care ar putea fi foarte utile pentru a v prote(a sistemul mpotriva viruilor calculatoarelor 0 - nu ncercai programe e"ecuta#ile de pe sistemele de #uletine informative dac nu suntei sigur c ele sunt fr virui (eventual ai v%ut pe altcineva folosind programul fr pro#leme). - nu preluai programe e"ecuta#ile vndute prin pot i care in de domeniul pu#lic sau n regim s)are5are, dac nu se preci%ea% c se verific fiecare program vndut. - nu ncrcai niciodat un program transmis de curnd pe un sistem de #uletine informative, pn cnd el nu a fost verificat de operatorul de sistem. 1nd ncrcai programul, facei-o pe un sistem cu dou uniti de disc)et, astfel nct el s nu se apropie de )ard dis*. - nu copiai disc)ete pirat ale programelor comerciali%ate, deoarece ele pot conine virui. - cumprai i folosii programe recunoscute de detectare a viruilor - instalai un program de detectare a viruilor, re%ident n memorie, care s e"amine%e fiierele pe care le copiai n calculator. - instalati un fire5all. - asigurati-va ca sistemul dumneavoastra este la %i continand toate update-urile e"istente. - pastrati setarile referitoare la securitatea #ro5serului la nivel mediu sau ridicat. - niciodata nu dati T/esT cand #ro5serul va intrea#a daca vreti sa instalati!rulati continut provenit de la o organi%atie pe care nu o cunoasteti sau in care nu aveti incredere. - instalati un program anti-sp;5are pentru a spori protectia antivirus. - nu instalati nici o #ara de cautare a(utatoare pentru #ro5ser decat daca provine de la o sursa de incredere. - verificati in care certificate ale companiilor soft5are puteti avea incredere. - folositi o carte de credit numai pentru cumparaturi on-line. - nu e"ecutati attac)ement-urile de la email-uri c)iar daca aparent au fost trimise de prieteni. .
Actualii virusi si viermi &menintarile informatice din prima (umatate a anului 3>>E au urmat si in @omania aceleasi tendinte de intensificare si diversificare inregistrate la nivel glo#al, clasamentul celor mai periculoase 2> tipuri de mal5are fiind dominat in proportie de F>S de troieni. 1ercetatorii .a#oratorului &ntimal5are :it'efender au remarcat ca autorii de mal5are prefera sa profite in continuare de vulnera#ilitatile sistemelor informatice prin intermediul virusilor camuflati su# aparenta unor aplicatii legitime. 6otodata, se mentine preferinta pentru e"ploatarea vulnera#ilitatilor soft5are. 0rima po,itie este ocupata de 6ro(an.1lic*er.18, detinator al unui procent de L,3> din numarul de sisteme infectate in @omania, in semestrul intai al anului 3>>E. 6roianul alterea%a resursele sistemului, limitand latimea de #anda prin desc)iderea in #ro5ser a unui numar sporit de ferestre pop-up cu continut comercial, astfel incat sa-l determine pe utili%ator sa accese%e site-urile care isi fac reclama in acest mod. ?ocul al doilea, cu L,2DS din cifra totala a sistemelor infectate, ii revine lui 6ro(an.'o5nloader.N-.,st#ar.:, o amenintare Nava-cript care, e"ploatand vulnera#ilitati de sistem, descarca si instalea%a mal5are su# forma de module &ctiveJ. $e po,itia a treia il regasim, la distanta de aproape un procent fata de ocupantul po%itiei secunde, pe 6ro(an.,9rame.&-, un mal5are ce e"ploatea%a o vulnera#ilitate O68. a aplicatiilor Ge# #ro5ser prin intermediul careia unui sistem i se poate solicita accesarea de continut on-line fara acordul utili%atorului. -i acest troian, asemeni celui plasat pe po%itia precedenta, este folosit ca instrument pentru distri#utia altor tipuri de mal5are. Gin43.Neefo.& se afla pe locul al patrulea, detinand 3,DF procente. &cest agent viral para%itea%a directorul sistemului de operare printr-o copie a fisierului -V1OA-6.EJE ce rulea%a ca serviciu pe sistemele unde este instalat 8icrosoft Gindo5s. Neefo este responsa#il de infectarea tuturor fisierelor e"ecuta#ile din sistem, carora le alterea%a continutul prin adaugarea de cod (ce le mareste dimensiunea cu apro"imativ 4= ?#), in unele ca%uri deteriorandu-le iremedia#il. ?ocul al cincilea este detinut, cu 3,LDS, de 6ro(an.V:.&,&. &cest troian scris in Visual :asic de%activea%a prin suprascriere elementele de siguranta pasiva din Norton &ntivirus si para%itea%a toate fisierele cu e"tensia .mpg, .avi, .(pg, .mp4, carora le creea%a duplicate denumite identic in care se inoculea%a, adaugandu-le e"tensia .e"e. Este foarte raspandit, fiind intalnit cu precadere in mediul e"trem de favora#il al sistemelor care parta(ea%a fisiere in retelele $eer-3-$eer. 6ro(an.Ns.Gon*a.C], posesor al unui procenta( de 2,D=, se plasea%a pe po,itia a sasea! $re%enta constanta pe podiumul clasamentelor mal5are din @omania in ultimele doua luni, aceasta amenintare Nava-cript pertur#a sistemele gratie unei vulnera#ilitati &ctiveJ din #ro5ser-ul ,nternet E"plorer. 6roianul este responsa#il de descarcarea si raspandirea altor tipuri de mal5are. ?ocul sapte, la diferenta de numai patru sutimi, este ocupat de Gin43.Gorm.Vi*ing.:C. &gent viral cu predilectie pentru e"ecuta#ile, Vi*ing infectea%a nu doar discurile locale, ci si pe cele parta(ate in retea, ani)iland totodata mai multe solutii de securitate pasiva, precum ?aspers*i. Vi*ing in(ectea%a o componenta .'.. in e"ecuta#ilele ,nternet E"plorer sau Gindo5s E"plorer, descarcand simultan alte fisiere stocate pe Ge#, pe care, ulterior, incearca sa le e"ecute pe sistemul compromis. Gin43.9idcop.Qen se clasea,a al optulea, la numai doua sutimi distanta de ocupantul po%itiei precedente. -i aceasta tulpina virala vi%ea%a atat fisierele e"ecuta#ile locale, cat si pe cele stocate in retea, evitandu-le insa pe cele din directoare ale caror nume contin elemente precum ^GinW, ^$rogram 9ilesW, ^8usicW sau ^'ocuments andW. $rin intermediul unui fisier numit ^ole2=.dllW pe care-l introduce in directorul -;stem43 din 8icrosoft Gindo5s, 9idcop infectea%a sistemul si identifica procesele din spatele ferestrelor active de pe des*top care au o anumita dimensiune. &poi, colectea%a si criptea%a toate sirurile alfanumerice introduse de utili%ator de la tastatura (precum nume de utili%ator, parole de acces etc.) in aceste ferestre si le postea%a pe un forum al carui domeniu este inregistrat in 9ederatia @usa. 0e locul noua, il intalnim pe 6ro(an.1lic*er.O68..,9rame.&@, care acumulea%a un procenta( de 2,F3. 6roianul poate fi contractat atunci cand sunt incarcate pagini Ge# cu potential infectios, precum cele care promovea%a soft5are piratat, pornografie sau care sunt folosite ca instrumente in actiuni de tip p)is)ing. ,n momentul accesarii, acestea descarca automat un script Nava care afectea%a comportamentul #ro5ser-ului, prin redirectionarea catre o sursa de mal5are al carei domeniu este inregistrat, de asemenea, in 9ederatia @usa. @ltima po,itie ii revine lui 6ro(an.$eed.Qen, cu 2,M=S. Cna dintre cele mai spectaculoase si longevive specii de mal5are, $eed creea%a copii infectate ale tuturor e"ecuta#ilelor pe care le depistea%a, atri#uindu-le noi nume aleatoare. -imultan, la fiecare L secunde scanea%a sistemul si inc)ide automat orice fereastra care apartine unui produs antimal5are. ,n plus, generea%a trafic prin trimiterea de mesa(e carora le ane"ea%a fisiere e"ecuta#ile infectate catre toate adresele de e-mail pe care le gaseste in sistem. Numarul total de virusi si infectari 6ro(an a depasit 2 milion la sfarsitul lui 3>>E, potrivit lui Nari Oeinomen, vicepresedintele 9--ecure. &nul 3>>D se arata a fi mult mai agitat din perspectiva amenintarilor informatice decat 3>>E. ,nca din primele %ile ale anului au aparut incidente de tip p)is)ing locali%ate, avand ca tinta #anci romanesti, iar realitatea ultimelor %ile arata ca 4 din 2> calculatoare sunt predispuse la infectarea cu viermele 'o5nadup, din cau%a insuficientelor masuri de securitate luate de companii dar si de utili%atorii individuali.