You are on page 1of 28

CENTRUL ID TULCEA

FACULTATEA STIINTE ECONOMICE


SPECIALIZAREA : FINANTE BANCI
ANUL I, SEMESTRUL I, ian 2009.
PREZENTAREA VIERMILOR SI
VIRUSILOR DE CALCULATOR
REFERAT :
Bazele tehnologiei informatiei
VIRUSII SI VIERMII INFORMATICII
CUPRINS:
1. CE ESTE UN VIRUS DE
CALCULATOR?
2. ISTORIA VIRUSILOR
3. CLASIFICAREA VIRUSILOR
4. MODUL DE INFECTARE CU
VIRUSI
5. CE ESTE UN VIERME DE
CALCULATOR?
6. ISTORIA VIERMILOR
7. CLASIFICAREA VIERMILOR
8. MODUL DE INFECTARE CU
VIERMI
9. SIMPTOMELE UNUI SISTEM
VIRUSAT
10. MODALITATI DE PROTECTIE
PRO!RAMELE ANTIVIRUS
11. ACTUALII VIRUSI SI VIERMI
BIBLIOGRAFIE :
Primii Pasi in securitatea retelelor - Tom Thomas
Computer Viruses - Dr. Frederick B. Cohen
http://ro.wikipedia.org/wiki/Virus_informatic
www.computerworld.ro
arhiva.wall-street.ro
Am al! "#$n%a %ma "n%#& a in'a%a (&m imi ")% "#)%*a
(al(&la%)#&l + 'i#&!i !i 'i#mi.
A")#%&l m& la #ali$a#a a(!%&i !%&+i& ! ,a$a$a +)a# "#in
(&l-#a + in.)#ma%ii +in !&#!l mn%i)na% mai !&! !i im,ina#a
a(!%)#a in%#/&n m)+ (a% mai ()n(i! 0!"#1.
S"# !a n& 'a +#an*$ l&n-ima #.#a%&l&i, in!a %)a% +a%l
#.#i%)a# la !&,i(% mi !/a& "a#&% 2%#m + im")#%an% "n%#&
#la%a#a !&,i(%&l&i al!.
Ce este un virus de calculator ?
Virus (Virus) - este un program care are funcii de infectare, distructive si de
incorporare a copiilor sale n interiorul altor programe. Noiunea mai general se refer adesea
cu termenul de "virus informatic". Este de fapt un program care are proprietatea de a se
autocopia, astfel nct poate infecta pri din sistemul de operare i!sau programe e"ecuta#ile.
$ro#a#il c principala caracteristic pentru identificarea unui virus este aceea c se duplic fr
acordul utili%atorului. &a cum sugerea% i numele, analogia #iologic este relativ #un pentru
a descrie aciunea unui virus informatic n lumea real.
'imensiunile mici ale programului-virus repre%int o caracteristic important, ntruct autorii
in foarte mult ca produsul lor cu intenii agresive s nu fie o#servat cu uurin.
Efectele distructive nu pot fi sesi%ate imediat, ci dup un anumit timp. &tunci cnd apar,
efectele sunt diferite, variind de la mesa(e glumee, la erori n funcionarea programelor de
sistem sau tergeri catastrofice a tuturor informaiilor de pe un )ard dis*. 'e aceea nu este
indicat s se plece de la ipote%a c un virus nu nseamn ceva mai mult dect o glum.
+n general, cei care construiesc virui sunt programatori autentici, cu e"perien #ogat
si cu cunotine avansate n lim#a(ul de programare pe care l folosesc. Ela#orarea de virui este
uneori si o activitate de grup, n care sunt selectai, antrenai si pltii cu sume uriae specialitii
de nalt clas.
E"ist programatori care susin c pot construi virui ce nu pot fi detectai si distrui. Este ca%ul
unui grup de programatori polone%i care au anunat pe ,nternet, n urm cu civa ani, c pot
construi astfel de "arme" im#ata#ile. $rogramul lor, #ine pus la punct, coninea cteva idei
interesante care, dac ar fi fost duse la capt, pro#a#il c ar fi dat mult #taie de cap
utili%atorilor de servicii ,nternet. -uprai de faptul c lumea a e"agerat att de mult cu costurile
pe care le-a provocat virusul cunoscut su# numele de ", .ove /ou", aceti programatori
intenionau s demonstre%e ntregii lumi c nu acest mult prea mediat virus este cel mai "tare".
Virusul este caracteri%at de urmtoarele proprieti0
- poate modifica fiiere si programe ale utili%atorilor, prin inserarea n acestea a ntregului cod
sau numai a unei pri speciale din codul su
- modificrile pot fi provocate nu numai programelor, ci si unor grupuri de programe
- are nevoie si poate s recunoasc dac un program a fost de(a infectat pentru a putea inter%ice
o nou modificare a acestuia.
Istoria virusilor
,storia viruilor de calculatoare este lung i interesant. 'ar ea a devenit cu adevrat
palpitant a#ia din momentul n care a nceput s se de%volte industria $1-urilor. $e msur ce
de%voltarea acestor calculatoare noi progresa, a devenit posi#il si accesarea a mai mult de un
program ntr-un singur computer. +n acelai timp, s-a manifestat i o reacie mpotriva a tot ceea
ce nsemna computerul. &ceast tendin are rdcini mai vec)i, dar impactul computerelor de
tip $1 a fost aa de mare, nct si reaciile mpotriva acestora au nceput s se fac mai evidente.

,at o scurt dar spectaculoas evoluie a fa#ricrii n serie n toate colturile lumii si lansrii
pe pia a viruilor0
1949
-unt puse pentru prima oara #a%ele teoriilor legate de programele care se autoreproduc.
1981
Virusii &pple 2, 3, si 4 sunt printre primii virusi "in t)e 5ild". 'escoperiti in sistemul de
operare &pple ,,, virusii se raspandesc in 6e"as &78 prin intermediul (ocurilor piratate.
1983
,n te%a sa de doctorat, 9red 1o)en defineste pentru prima oara formal un virus de
calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le intr-
un mod care presupune a#ordarea unor copii evoluate ale lor."
1986
'oi programatori :asit si &m(ad(frati pa*istane%i) au descoperit c un anumit sector
dintr-un flopp; dis* conine un cod e"ecuta#il care funciona de cte ori porneau computerul cu
disc)eta montat n unitate. &cestora le-a venit ideea nlocuirii acestui cod e"ecuta#il cu un
program propriu.9lopp;-urile infectate aveau "< :rain" ca etic)eta de disc (volume la#el).
&cest program putea #eneficia de memorie si putea fi astfel copiat n orice disc)et si lansat de
pe orice calculator de tip $1. Ei au numit acest program virus, ocupnd doar 4=> ?: dintr-un
flopp; disc.
6ot in acelasi an, un programator pe nume @alf :urger a a(uns la conclu%ia ca un fisier
putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier
. El a scris o demonstratie a acestui efect, pe care a numit-o V,@'E8 (Virus 'emonstration) si
a distri#uit-o la conferinta pe tema virusilor 1)aos 1omputer 1lu#, in luna decem#rie a acelui
an . V,@'E8 ar fi infestat orice fisier 1A8 . 'in nou pagu#ele erau destul de nesemnificative .
&cest fapt a atras totusi atata interes, incat @alf :urger a fost rugat sa scrie o carte .
,n aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . 9ran% -5o#oda
a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit 1)arlie
si s-a facut multa pu#licitate in (urul acestei descoperiri . @alf :urger a o#tinut o copie a acestui
virus si i-a dat-o unui prieten, :erdt 9i", care l-a de%ansam#lat (a fost pentru prima oara cand
cineva a de%ansam#lat un virus) . :urger a inclus aceasta de%ansam#lare in cartea sa, dupa ce a
scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagu#ele pe care
le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa
re#oote%e calculatorul (virusul copia%a primi cinci octeti de cod) B :urger (poate 9i") a inlocuit
acest cod de re#ootare cu cinci spatii . Efectul era ca fisierele copiate #loca calculatorul, in loc
sa-l re#oote%e .
1987
$rogramatorii de la Cniversitatea din 'ela5are au constatat ca au virusul lansat de cei
doi programatori :asit si &m(ad cand au va%ut etic)eta "< :rain" pe o disc)eta . 6ot ce facea el
era sa se autocopie si punea o etic)eta de volum pe disc)eta.
6ot in 2DEF, la Cniversitatea din .e)ig), ?en van G;* a reali%at un virus cunoscut su#
numele de .e)ig) . &cesta a fost un model e"trem de nereusit - nu era preva%ut sa se
raspandeasca in afara universitatii, pentru ca infecta doar 1A88&N'.1A8 si crea multe
pagu#e ga%dei, dupa numai patru reproduceri .
,n aceasta perioada, la 6el &viv, un alt programator facea e"periente . $rimul sau virus a
fost numit -uriv->2(cuvantul virus scris invers) . Era un virus re%ident in memorie , ce putea sa
infecte%e orice fisier 1A8 - o strategie de infectare mult mai #una decat strategiile utili%ate de
virusul viene%, caci ducea la infectarea tuturor fisierelor de pe toate H drive-urileI si din toate
directoarele . 1el de-al doilea virus al sau -uriv->3 infecta doar fisierele EJE, dar a fost primul
de acest fel din lume . 1ea de-a treia incercare -uriv->4, un virus ce ataca atat fisierele EJE, cat
si cele 1A8 .
6ot in acea vreme, un student de la Cniversitatea din Gellington, Noua Keelanda, a
gasit o cale foarte simpla de a crea un virus foarte eficient . A singura data din opt, cand se
#ootea%a de pe o disc)eta infectata, virusul se declansea%a si pe monitor aparea mesa(ul H$1-ul
tau este acum impietritI de unde si numele virusului (-6@ANE'). Virusul in sine avea
dimensiuni de cateva sute de octeti, dar din cau%a reproducerii re%idente in memorie a devenit
cel mai raspandit virus din lumea intreaga. Virusul original se numeste scum -toned.-tandard.&
, fiind si asta%i in topul celor mai raspanditi virusi .
,n ,talia, la Cniversitatea din 6orino, un programator a scris si el un virus de sector
#oot . 'aca discul era accesat, din (umatate in (umatate de ora virusul iti afisa o minge
miscatoare pe ecran (#ouncing #all) . Virusul avea un defect ma(or - nu putea sa rule%e doar pe
calculatoarele E>E= sau E>EE, pentru ca folosea o instructiune care nu functiona pe c)ipuri mai
comple"e .
Cn alt programator german a scris un virus foarte destept numit - 1ascade (dupa literele
ca%atoare pe care le afisa ) . 1ea mai mare parte a virusului era encriptata, lasand doar o mica
parte necodata, curata, pentru a putea decoda restul cu ea . @ostul acestui mecanism nu a fost
destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea o#tiunile de
alegere a sirului de cautare doar la primi cativa octeti . 1ascade tre#uia sa verifice si :ios-ul, si
daca ar fi gasit un cop;rig)t ,:8 ar fi stopat procesul de infectare . &ceasta parte a codului nu a
functionat . &utorul a emis la putin timp dupa aceea o noua versiune a virusului, de 2>FL octeti
in loc de 2F>2, cu scopul de a corecta aceasta greseala . 'ar si noua versiune avea o scapare 0 nu
era in stare sa detecte%e :ios-urile ,:8 .
'intre acesti virusi timpurii doar Stoned , Cascade si Jerusalem au re%istat pana in
%ilele noastre .
1988
Este anul in care au aparut primii comercianti de antivirus, pe care le vindeau la preturi
foarte reduse (M-2> C-') . Cnele firme au incercat, oca%ional, sa se propulse%e, dar nimeni nu
platea #ani seriosi pentru o potentiala pro#lema . &stfel, s-a dat o sansa virusilor -toned,
1ascade si Nerusalem de a se raspandi, fara a fi descoperiti .
6otusi, compania ,:8 a decis ca tre#uie sa ia in serios virusii, dupa ce a avut parte de o
epidemie de virusi de tip 1ascade la .e)ulpe si s-a gasit in situatia neplacuta de a-si anunta
clientii ca s-ar putea sa fi fost infectati . 'e fapt, nu a fost o pro#lema foarte serioasa dar, din
acel moment, ,:8 a luat pro#lema in seros si, drept re%ultat, la Oig) ,ntegrit; 1omputing
.a#orator; din /or*to5n s-a decis sa se inceapa cercetarile in acest domeniu .
.a sfarsitul lui 2DEE au avut loc aproape simultan mai multe evenimente 0 o epidemie
mare de Nerusalem(-uriv->L) intr-o institutie financiara, virusul afectea%a fisierele .e"e si .com
si sterge toate programele rulate in cursul acelei %ileB al doilea - o firma #ritanica numita -7- a
tinut primul seminar pe tema virusilor, seminar care a e"plicat in premiera ce este un virus si
cum lucrea%a el B al treilea - a avut loc epidemia de HVineri 24I . Cn lucru era clar pentru toti 0
instituti financiare, grupurile academice si persoanele fi%ice ar putea cu usurinta sa faca fata
unei epidemii, daca ar avea uneltele necesare . 6ot ce tre#uia era un detector eficient de virusi,
care nu era insa disponi#il .
1a atare, a fost crea primul Anti Virus Toolint !
1989
Cn scotian a contactat cercetatori din &nglia si le-a comunicat ca a gasit un virus in )ard
dis*-ul sau . El a mentionat ca se numeste 'atacrime si ca era ingri(orat ca se va declansa din
nou pe data de 24 luna viitoare . 1and virusul a fost de%ansam#lat, s-a constataca ca in orice %i
dupa octom#rie el declansa o formatare lo5 level a cilindrului %ero de pe )ard dis*, care
determina pe cele mai multe )ard dis*uri eliminarea ta#elei de alocare a fisierelor si lasa
utili%atorl fara date . ,n acelasi timp, afisa numele virusului 'atacrime. & fost pu#licata o
anali%a a efectelor virusului dar s-a constataca ca era vor#a, de fapt, de un alt virus, nere%ident
in memorie . ,n &merica oameni au inceput sa-l numeasca H1olum#us 'a; Virus H (23
octom#rie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel
@osu a adescoperit &merica, ci 1olum#. -ingurul leac pentru a elimina 'atacrime era de a rula
un detector .
,n luna iulie, companiile scotiene au inceput sa intre#e ,:8 daca virusii sunt o amenintare
serioasa . 'atacrime nu e"ista poate, dar e"ista posi#ilitatea ca o firma sa se infecte%a cu
Nerusalem, 1ascade sau -toned . H1e face ,:8-ul impotriva acestei amenintari PI , au intre#at ei
.,:8 detinea un program antivirus, insa era folosit doar pentru u% intern . ,:8 avea o dilema
0daca nu oferea acest soft5are clientilor si daca pe 24 octom#rie o serie de calculatoare ar fi
ca%ut, reputatia sa avea de suferit . ,n septem#rie 2DED, ,:8 a scos pe piata impreuna cu o
scrisoare prin care ei e"plicau clientilor despre ce era vor#a . 24 octom#rie a ca%ut intr-o vineri,
asa ca a fost un eveniment du# - Nerusalem si 'atacrime . ,n -C&, 'atacrime a fost e"agerat si
confundat cu unul care nu este atat de periculos ca acesta . ,n .ondra, @o;al National ,nstitute
for t)e :lind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de
cercetare, repre%entand luni intregi de munca . &cest eveniment a fost investigat si se
inregistrase intradevar o mica eruptie de Nerusalem si cateva fisiere usor de inlocuit au fost
sterse .
199"
8ar* Gas)#urn a anali%at virusul Viena si a creat pe #a%a lui primul virus polimorf .
,deea virusilor sai (numiti 23=>, V3$2,V3$3,V3$=) era ca intreg virusul era criptat si ca e"ista
un descriptor la inceputul sau . 'ar descriptorul putea sa ai#a o gama larga de forme si, in primi
virusi, cel mai lung sir de cautare posi#il era doar de doi octeti (V3$= a ca#orat acest prag pana
la octet ) . $entru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat
teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posi#ilii descriptori
.
&u aparut virusii 'ar* &venger care au introdus doua idei noi . $rima idee era acea de Hinfector
rapidI . ,n ca%ul acestora daca virusul era in memorie, atunci simpla desc)idere a unui fisier
pentru citire ducea la infectare . Oard dis*-ul este infectat foarte repede . 1ea de-a doua idee
noua in acest virus a fost cea a efectelor sale su#ite 0 'ar*&venger . 2E>> suprascrie oca%ional
un sector de pe )ard dis* . 'aca nu se o#serva acest lucru intr-o anumita perioanda de timp, se
face un #ac*-up al fisierelor corupte si, cand este refacut #ac*-up-ul, datele sunt de nefolosit .
.a sfarsitul anului 2DD>, cercetatorii antivirus au a(uns la conclu%ia ca tre#uie sa fie
mult mai organi%ati, asadar a luat nastere in Oam#urg E,1&@ (European ,nstitute for 1omputer
&ntivirus @esearc)), in decem#rie 2DD> . .a vremea cand a fost creat E,1&@ e"istau
apro"imativ 2M> de virusi , iar pana la sfarsitul anului au fost cunoscuti si catalogati 4>> de
virusi.
,n luna decem#rie a aceluias an -;mantec lansea%a pe piata Norton &ntiVirus, unul
dintre primele programe antivirus de%voltate de catre una dintre marile companii.
1991
.a sfarsitul anului e"istau peste 2>>> de virusi.
,n luna aprilie 1entral $oint a lansat 1$&V. &cesta a fost repede urmat de J6ree, 9ift)
Qeneration si altii .
6eRuila este primul virus polimorf cu raspandire pe scara larga gasit "in t)e 5ild".
Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin sc)im#area
modul de actiune cu fiecare noua infectie.
199#
E"ista 24>> de virusi, cu aproape L3>S mai multi decat in decem#rie 2DD>. $revi%iunile
sum#re ale virusului 8ic)elangelo ameninta colapsul a circa M milioane de calculatoare pe data
de = martie. ,nsa doar M,>>>-2>,>>> de calculatoare se intampla sa "dea coltul".
1994
Erau inregistrati peste L>>> de virusi.
9arsa de proportii din partea email-ului )oa" (alarma falsa) Qood 6imes. 9arsa se
#a%ea%a pe amenintarea unui virus sofisticat care e capa#il sa stearga un intreg )ard prin simpla
desc)idere a emailului al carui su#iect este "Qood 6imes". 'esi se stie despre ce e vor#a, )oasul
revine la un interval de =-23 luni.
199$
&nul 2DDM este cunoscut ca fiind si anul n care a nceput s apar conceptul de
macrovirus, devenind n scurt timp o adevrat ameninare, deoarece erau mult mai uor de
fa#ricat dect prinii lor viruii. &cetia nu erau adresai numai anumitor platforme specifice,
precum 8icrosoft Gord pentru Gindo5s 4."!DM!N6 si 8acintos), astfel nct ei puteau fi
folosii pentru orice program, uurndu-se calea de apariie a cunoscuilor microvirusi care au
infestat fiierele la acea vreme produsul .otus &mi$ro. $rimul dintre macrovirui a fost cel
folosit n Gord si Gord :asic.
Gord 1oncept, virus de 8icrosoft Gord, devine unul dintre cei mai raspanditi virusi din
anii TD>.
1996
,n luna iulie a acestui an a aparut si primul microvirus cunoscut su# numele K8..arou"
care era destinat distrugerii produsului 8icrosoft E"cel.
1998
-trange:re5, actualmente inofensiv si totusi raportat, este primul virus care infectea%a
fisierele Nava. Virusul modifica fisierele 1.&-- adaugand la mi(locul acestora o copie a sa si
incepand e"ecutarea programului din interiorul sectiunii virusate.
Virusul 1erno#al se raspandeste rapid prin intermediul fisierelor ".e"e". 'upa cum o
sugerea%a si notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un
anumit cip din interiorul computerelor infectate.
1999
Virusul 8elissa, GDF8!8elissa, e"ecuta un macro dintr-un document atasat emailului,
care transmite mai departe documentul la M> de adrese e"istente in Autloo* address #oo*.
Virusul infectea%a si documente Gord pe care le trimite ca atasamente. 8elissa se imprastie
mult mai rapid decat alti virusi anteriori infectand cam 2 milion de calculatoare.
:u##le :o; este primul virus care nu mai depinde de desc)iderea atasamentului pentru a
se e"ecuta. 'e indata ce userul desc)ide email-ul, :u##le :o; se si pune pe trea#a.
#"""
.ove :ug, cunoscut si su# numele de ,.AVE/AC se raspandeste via Autloo*,
asemanator modului de raspandire al 8elissei. &cest virus e primit ca un atasament .V:-,
sterge fisiere, inclusiv 8$4, 8$3 si N$Q si trimite username-uri si parole gasite in sistem
autorului virusului.
GDF8.@esume.&, o noua varianta a 8elissei, este "in t)e 5ild". Virusul se comporta
cam ca 8elissa, folosindu-se de un macro Gord pentru a infecta Autloo*-ul si pentru a se
raspandi.
Virusul -tages deg)i%at intr-un email gluma despre etapele vietii, se raspandeste prin
,nternet. 'eloc specific celorlalti virusi anteriori, -tages este ascuns intr-un atasament cu
e"tensie falsa .t"t, momind utili%atorii sa-l desc)ida. $ana la aparitia sa, fisierele te"t erau
considerate fisiere sigure.
,n %ilele noastre apar %ilnic apro"imativ 2>> de virusi, deci milioane pe an . 'in 3-4
milioane pe an doar 3-4 virusi pot face pro#leme serioase in lume . 'e cand au aparut virusii,
companiile au pierdut miliarde de dolari . ,n 3>>2 pierderi de 23 miliarde , in 3>>3 pierderi de
3M de miliarde iar in 3>>4 - MM miliarde . $e 3>>L 2>> miliarde si cifrele cresc in continuare an
de an.
Clasificarea virusilor
Viruii informatici nu afectea% numai #una funcionare a calculatoarelor. $rintr-o
proiectare corespun%toare a prii distructive, cu ei pot fi reali%ate si delicte de spiona( sau
fapte ilegale de anta( si constrngere. ,n septem#rie 2DED e"istau cam dou du%ini de virui.
9iecare dintre acetia avea variante0 mici modificri n codul viral sau sc)im#area mesa(elor
afiate. 'e e"emplu, virusul 2F/L difer de virusul 2F>L doar cu un octet. +n mai 2DDE e"istau
apro"imativ 3>.>>> de virui (%ilnic apar 4 noi virui.
A clasificare riguroasa nu e"ista inca, dar se poate face tinand seama de anumite
criterii0 modul de aciune, tipul de ameninare, grade de distrugere, tipul de instalare, modul de
declanare etc. E"ist unele clasificri mai vec)i care, desigur, nu mai corespund ast%i.
,n forma cea mai generala virusii se impart in0
Virusi )ard5are
Virusi soft5are
Virusii )ard5are sunt mai rar intalniti, acestia fiind de regula, livrati o data cu
ec)ipamentul, ei fiind virusi care afectea%a )ard-discul, flopp;-discul si memoria.
8a(oritatea sunt virusi soft5are, creati de specialisti in informatica foarte a#ili si #uni
cunoscatoari ai sistemelor de calcul, in special al modului cum lucrea%a soft5are-ul de #a%a si
cel aplicativ.
1ateva dintre efectele pe care le generea%a virusii soft5are0
a) distrugerea unor fiiereB
#) modificarea dimensiunii fiierelorB
c) tergerea totala a informailor de pe disc, inclusiv formatarea acestuiaB
d) distrugerea ta#elei de alocare a fiierelor, care duce la imposi#ilitatea citirii informaiei de pe
discB
e) diverse efecte grafice!sonore inofensiveB
f) ncetinirea vite%ei de lucru a calculatorului pana la #loc.
Virusii se mai pot imparti in doua mari categorii0
Virusi de :AA6
Virusi de fisiere
E"ist i virui cu caracteristicile am#elor categorii (i de :AA6 i de fiiere), dar
acetia sunt n numr foarte mic.
Viru%ii de &''T au diferite reacii. Ei se ncarc n memorie naintea sistemului de
operare, transfer coninutul de :AA6 n alt sector, amestec datele. ,nfectea% orice disc logic
al )ard discului i orice disc)et care se introduce n unitatea de disc)ete. 6ot n aceast
categorie intra i viruii care infectea% ta#ela de partiii a )ard discului. Qsindu-se n ta#ela de
partiii, ei se ncarc n memorie naintea sectorului de :AA6.
Viru%ii de fi%iere se fi"ea% de regul pe fiierele cu e"tensia EJE sau 1A8. 1nd
programul infectat este rulat, virusul se activea% rmnnd de cele mai multe ori re%ident n
memorie pentru a infecta orice program se va lansa n e"ecuie. 'ac ar fi numai att, ar fi
simplu U 'in pcate viruii de fiiere sunt de mai multe tipuri. $n acum am descris tipul
"clasic".
1ei mai muli dintre viruii de fiiere actuali sunt poliformi (se mai numesc mutani sau
evolutivi). Ei sunt codificai, coninnd doar o mic parte - modulul de decodificare -
necodificat. +n momentul activrii virusului, modulul de decodificare intr n aciune i
decodific restul virusului. 1orpul virusului mai conine - evident, vei %ice - i un modul de
codificare. 9olosind un generator de numere pseudoaleatoare acest modul i sc)im#
algoritmul de codificare la fiecare infectare a unui fiier, modificnd modulul de decodificare.
1a urmare, nu e"ist o secven comun mai mare de civa octei ntre dou contaminri
succesive.
'ia#olicul #ulgar care-i %ice 'ar* &venger (@%#oinicul +ntunecat) a reali%at un
program numit 8uta6ion Engine (8tE) care poate transforma orice virus "clasic" ntr-un virus
poliform.
Cn tip aparte de virui de fiiere l constituie viruii -tealt) (de furi%are). &cetia sunt
capa#ili s pcleasc programele antivirus, simulnd toate apelurile de sistem 'A- care ar
duce la detectarea lor i fcndu-le s ntoarc acele informaii care s-ar o#ine n lipsa atacului.
'ac un virus -tealt) este re%ident n memorie, el va pcli un program antivirus care citete un
fiier infectat cu acest tip de virus, deoarece virusul i ascunde propriul cod, artnd numai
codul fiierului. 6ermenul -tealt) provine de la aviaia "clandestin" a -C& care a reuit s
evite detectarea prin radar n @a%#oiul din Qolf. &ceast te)nic are o analogie #iologic.
Viru%ii mai pot fi clasifica(i dup) urm)toarele criterii*
' up modul de infectare0
virui care infectea% fiierele cnd un program infectat este rulatB
virui care rmn re%ideni n memorie cnd un program infectat este rulat i infectea% apoi
toate programele lansate n e"ecuie
'in punct de vedere al capacitatii de multiplicare0
Virusi care se reproduc, infectea%a si distrugB
Virusi care nu se reproduc, dar se infiltrea%a in sistem si provoaca distrugeri lente,fara sa lase
urme(Gorms).
,n functie de tipul distrugerilor in sistem0
Virusi care provoaca distrugerea programului in care sunt inclusiB
Virusi care nu provoaca distrugeri,dar incomedea%a lucrul cu sistemul de calcul se manifesta
prin incetinirea vite%ei de lucru, #locarea tastaturii, reinitiali%area aleatorie a sistemului, afisarea
unor mesa(e sau imagini ne(ustificateB
Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi0
distrugerea ta#elei de alocare a fisierelor de pe )ard dis*, modificarea continutului directorului
radacina, alterarea integrala si irecupera#ila a informatiei e"istente.
'upa po%itia in cadrul fisierului infectat0
virui care suprascriu fiierul, nemodificndu-i lungimea (anumii virui suprascriu numai
%onele re%ervate datelor pentru a nu mpiedica funcionarea programului - acetia se numesc
virui de cavitate)B
virui care i adaug codul la sfritul programuluiB
virui care i adaug codul la nceputul programului
+up) vite,a de infectare*
virui rapi%i (fast infector), care infectea% toate fiierele care sunt descrise (c)iar prin scanare
fiierele pot fi infectate)B
virui leni, care infectea% numai programele care sunt lansate n e"ecuie.
E"ist virui "-linda(i", a cror de%asam#lare este foarte dificil, ca urmare sunt
aproape imposi#il de studiat
$rimii virusi atacau programele ga%da. 'e e"emplu, V:rainW inlocuia numele volumului
disc)etei cu al sauB VVendredi 24W crestea dimensiunea programelor cu M23 octetil V'ata crimeW
si VViennaW se semnau prin respectiv 22=E si =LE octeti.
$rimele programe antivirus puteau repera usor acesti invadatori. 1reatorii de virusi au
reactionat insa prin adoptarea unor strategii mai performante si au de%voltat proceduri capa#ile
sa infecte%e un program, fara ca alterarea sa fie prea ostentativa.
Adata introdus pe disc, a doua fa%a a vietii unui virus este autoprogramarea. Virusii
incearca sa infecte%e cat mai multe programe, inainte de a ataca propriu-%is. $entru a opera cat
mai eficient, virusii isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca
o data. $e acest principiu lucrea%a si antivirusii, adica pe reperarea unei intru%iuni. Ei anali%ea%a
unitatiile de disc pentru a cauta semnaturile cunoscute. &ceasta te)nica pre%inta insa un defect
ma(or0 virusul tre#uie indentificat, deci ta#ela de semnaturi tre#uie permanent reactuali%ata.
Virusii au forme de manifestare cat se poate de diverse.Cnii se multumesc sa afise%e
mesa(e de pace sau sa cante o melodie. &ltii pertur#a lucrul utili%atorului,insa fara consecinte
prea dramatice.
'e e"emplu0
Virusul W ?e;$ressW duce la aparitia pe ecran a sirului V&&&&&W, daca se apasa tasta
V&W.
Virusul .Te Iu-esc.* acesta a lovit internetul in 3>>> infectand po%ele si fisierele de
mu%ica din computere. -e putea identifica prin su#iectul mail-ului care era ", .ove /ou" sau
"No*e0 Ver; 9unn;" virusul a devenit treptat tot mai periculos infectand fisiere importante
tre#uind in final sa-ti restarte%i computerul. &lte mesa(e erau date de %iua mamei sau cu
su#iectul "Oai sa ne intalnim la o cafea". 8ai rau, altele pretindeau ca sunt mail-uri de la
companii anti-virus si te puneau sa instale%i o aplicatie care cica te-ar fi scapat de virusi insa, de
fapt, ti-i dadea.
Virusul /0S* primul din aceasta serie a fost creat pentru Gindo5s DE si si-a luat numele
dupa o #oala care este transmisa de catre so#olani. O$- il face pe cel infectat sa ai#a pro#leme
respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul O$- a
fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. ,nteresant
este ca acest virus a fost creat pentru Gindo5s DE inainte ca acesta sa fie lansat pe piata.
+ro1atul sau Virusul 2ari3uana0 a fost unele dintre primele virusuri, infectand primele
sisteme 'A- prin disc)ete. $rima data a afectat Noua Keelanda in 2DEE si nu facea altceva
decat sa afise%e pe ecran mesa(ul "1omputerul tau este drogat. .egali%ati 8ari(uana". ,nsa
unele dintre cele D> de variante ale acestui virus (cu nume ca 'onald 'uc*, Oa5aii, @ostov,
-mit)sonian, -toned8utation) reuseau pana la urma sa-ti #loc)e%e computerul.
Virusul 0ol40oster0 acesta c)iar reusea sa te faca de ras. $ol;$oster nu numai ca iti
infecta fisierele 8- Gord dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu
atragatorul mesa( ",nformatii picante despre 8onica .e5ins*;". Virusul se infiltra in
computerele tuturor curiosilor care desc)ideau aceste fisiere.
Virusul Creier0 creat de doi frati din $a*istan in 2DE= acest virus nu s-a vrut virus la
inceput. 9ratii au creat programul cu scopul de a prote(a un soft5are medical de a fi piratat. 'ar
s-a dovedit a fi primul virus care sa infecte%e calculatorul. 1unoscut su# diferite nume ca
.a)ore, $a*istani, $a*istani :rain, :rain-&, C,C1, &s)ar sau gripa pa*istane%a acest virus
infecta .ocal 'is*-ul, ii sc)im#a numele in :rain si afisa te"tul in fisierele infectate. 8ai manca
si F ?: din memoria computerului facandu-l sa meraga foarte greu. -e pare ca cei doi frati nu
mintisera cand au %is ca a fost totul o greseala, pentru ca si-au facut pu#lice numele, adresele,
numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i contacte%e
pentru vaccin.
Craniul* acum este vor#a despre un virus de mo#il. ,n 3>>L acest troian a infectat cele
mai noi modele de telefoane No*ia care foloseau sistemul de operare -;m#ian. 1ei care erau
infectati de 1raniu isi gaseau iconitele de pe ecranul mo#ilului transformate in mici cranii si
oase. -ingurul lucru pe care il puteau face cu sofisticatele mo#ile era sa dea sau sa primeasca
telefoane, celelalte functii inteligente fiind neopera#ile.
Tantarul0 ,ntr-o incercare de a stopa pirateria, sistemul -;m#ian A- a infectat in 3>>L
pe toti cei care incercau sa descarce ilegal versiuni ale (ocului 8osRuito (6antarul), (oc creat
special pentru mo#ilele inteligente. Adata instalat in mo#il, troianul trimitea mesa(e te"t cu
preturi e"or#itante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul lucru
era sa de%instale%i (ocul. ,nsa nu-ti dadeai seama ca este ceva in neregula cu mo#ilul pana nu-ti
venea prima factura e"or#itanta.
1ei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor0
stergeri, formatari de disc, #ruia( de informatii, modificari in #a%ele de date,etc.Cneori, virusii
atacau dupa o lunga perioada de somnolenta. 'e e"emplu,W Qolden QateW nu devine agresiv
decat dupa ce a infectat M>> de programe, V1;#er 6ec):W nu a actionat, in sc)im#, decat pana
la 42 decem#rie 2DD4.
8orala0 utili%atorul avi%at(si patit) tre#uie sa ai#a gri(a ca periodic sa rule%e programe
antivitus.
,n manualul de utili%are al 8--'A-, 8icrosoft imparte virusii in trei categorii0
Virusi care infectea%a sistemul de #oot
Virusi care infectea%a fisierele
Virusi 1al 6roian
Cltimii sunt acele programe care aparent au o anumita intre#uintare, dar sunt in%estrati
cu proceduri secundare distructive. 6otusi, o clasificare mai amanuntita a virusilor ar arata
astfel0
Armati - o forma mai recenta de virusi, care contin proceduri ce impiedica de%asam#larea si
anali%a de catre un antivirus, editorii fiind nevoiti sa-si du#le%e eforturile pentru a de%volta
antidotul (e"0W G)aleW).
Autoencriptori - inglo#ea%a in corpul lor metode de criptare sofisticate facand detectia destul
de dificila. 'in fericire, pot fi descoperiti prin faptul ca incorporea%a o rutina de decriptare( e"0
V1ascadeW)
&acteria - este programul care se nmulete rapid si se locali%ea% n sistemul ga%d, ocupnd
procesorul si memoria central a calculatorului, provocnd parali%ia complet a acestuia.
&om-a (:om#) - este un mecanism, nu neaprat de tip viral, care poate provoca n mod
intenionat distrugerea datelor. Este de fapt ceea ce face faima viruilor. $entru utili%ator
efectele pot varia de la unele amu%ante, distractive, pn la adevrate catastrofe, cum ar fi
tergerea tuturor fiierelor de pe )ard dis*.
&om-a cu ceas (6imer #om#) - este un virus de tip #om#, numit si #om# cu ntr%iere,
programat special pentru a aciona la un anumit moment de timp. Este de fapt, o secven de
program introdus n sistem, care intr n funciune numai condiionat de o anumit dat si or.
&ceast caracteristic foarte important face ca procesul de detectare s fie foarte dificil,
sistemul putnd s funcione%e corect o #un perioad de timp. &ciunea lui distructiv este
deose#it, putnd terge fiiere, #loca sistemul, formata )ard dis*-ul si distruge toate fiierele
sistem.
&om-a lo1ic) (.ogic #om#) - este un virus de tip #om#, care provoac stricciuni atunci cnd
este ndeplinit o anumit condiie, precum pre%enta ori a#senta unui nume de fiier pe disc. 'e
fapt, repre%int un program care poate avea acces n %one de memorie n care utili%atorul nu are
acces, caracteri%ndu-se prin efect distructiv puternic si necontrolat. A astfel de secven de
program introdus n sistem, intr n funciune numai condiionat de reali%area unor condiii
preala#ile.
Camara,i - sunt avanta(ati de o particularitate a 'A--ului, care e"ecuta programele .com
inaintea celor .e"e. &cesti virusi se atasea%a de fisierele .e"e, apoi le copia%a sc)im#and
e"tensia in .com. 9isierul original nu se modifica si poate trece de testul antivirusilor avansati.
Adata lansat in e"ecutie fisierul respectiv, ceea ce se e"ecuta nu este fisierul .com, ci fisierul
.e"e infectat. &cest lucru determina propagarea virusilor si la alte aplicatii
Calul troian (6ro(an )orse) - repre%int programul care, aparent este folositor, dar are scopul de
distrugere. Este un program virus a crui e"ecuie produce efecte secundare nedorite, n general
neanticipate de ctre utili%ator. $rintre altele, acest tip de virus poate da pentru sistem o aparent
de funcionare normal.
1alul troian este un program pe calculator care apare pentru a e"ecuta funcii valide, dar conine
ascunse n codul su instruciuni ce pot provoca daune sistemelor pe care se instalea% i
rulea%, deseori foarte severe.
Cn e"emplu foarte cunoscut ast%i de un astfel de program este cel numit &ids ,nformation
?it 6ro(an.
$e un model de tip "cal troian" s-a #a%at marea pcleal care a strnit mult vlv la
sfritul anului 2DED. $este 2>.>>> de copii ale unui disc de calculator, care preau s conin
informaii despre -,'&, au fost e"pediate de la o adres #ine cunoscut din .ondra, ctre
corporaii, firme de asigurri si profesioniti din domeniul sntii, din Europa si &merica de
Nord. 'estinatarii care au ncrcat discurile pe calculatoarele lor, au avut surpri%a s descopere
destul de repede c acolo se aflau programe de tip "cal troian", toate e"trem de periculoase.
&ceste programe au reuit s tearg complet datele de pe )ard dis*-urile pe care au fost
copiate.
$rogramele de tip "cal-troian" mai conin o caracteristic important. -pre deose#ire de viruii
o#inuii de calculator, acetia nu se pot nmuli n mod automat. &cest fapt nu constituie ns o
consolare semnificativ pentru cineva care tocmai a pierdut %ile si luni de munc pe un
calculator.
&lte e"emple de cai troieni0
2. @emote &ccess 6ro(ans (@&6Ts)
&cest tip de troian este cel mai folosit in ultimul timp. 8ulta lume vrea sa detina un astfel de
troian pentru a putea avea acces la )arddis*-ul victimei. 9olosirea unui astfel de troian nu
necesita e"perienta, fiind foarte usor de utili%at. 6re#uie doar sa convingeti pe cineva sa rule%e
serverul pe computerul lor dupa care ve-ti afla ,$-ul victimei avand astfel acces deplin asupra
sistemului pe care a fost rulat serverul. ,n functie de tipul de "@&6" pe care il folositi ve-ti
putea efectua anumite operatii asupra sistemelor infectate. 8a(oritatea troienilor de acest tip
pre%inta urmatoarele functi0
- *e;loggerB
- upload si do5nloadB
- reali%area unui screens)otB
- controlul asupra anumitor componente ale sistemului infectat (1'-@A8, Ge#cam)B
8etoda de conectare la sitemul infectat folosita de @&6Ts (@emote &ccess 6ro(ans) o repre%inta
desc)iderea unui port in computerul infectat, prin care se poate conecta orice )ac*er. $entru a
putea opri alte persoane sa se conecte%e la computerul infectat e"ista posi#ilitatea de a-l parola
sau de a-i sc)im#a portul. -c)im#area portului desc)is este un proces foarte important deoarece
nu cred ca este #ine ca victima sa constate ca de e"emplu portul 23L4 este desc)is.
&proape saptamanal apar noi astfel de programe ce vin cu noi posi#ilitati dar care au si
a#ilitatea de a nu fi detectate de anti-virusi. 'e aceea este recomandat sa folositi in general
ultimile versiuni de @&6Ts aparute, pentru a avea un randament cat mai mare.
9olosirea acestor programe presupune o atentie marita deoarece daca nu aveti gri(a va puteti
infecta foarte usor devenind din pradator prada.
3. $ass5ord -ending 6ro(ans
-copul acestor troieni este de a afla parolele unui computer iar apoi de a le trimite la o adresa de
e-mail specificata fara sa-si dea seama victima.
8area ma(oritate a acestor troieni nu repornesc de fiecare data cand Gindo5s-ul se incarca si in
general folosesc pentru a trimite mail-urile portul 3M.
E"ista cativa astfel de troieni ce trimit mail-uri si cu alte informatii folositoare.
4. 96$ 6ro(ans
&ceasta categorie de troieni desc)id portul 32 pe computerul infectat lasand orice )ac*er, ce are
un client de 96$, sa se conecte% la sistemul infectat pentru a putea reali%a atat do5nload cat si
upload.
L. ?e;loggers
?e;loggers tro(ans sunt cei mai simpli troieni. -ingura operatie pe care o reali%ea%a este aceea
de a inregistra fiecare tasta apasata de victima. ,n ma(oritatea ca%urilor acesti troieni repornesc
de fiecare data cand se incarca Gindo5s-ul. $re%inta posi#ilitatea de a lucra atat in mod online
cat si in mod offline. ,n modul online ei inregistrea%a si trimit in mod direct informatia. 8odul
offline este activat in momentul in care victima nu mai este conectata la retea (internet),
informatia inregistrata fiind salvata pe )arddis*-ul victimei asteptand sa fie transferata.
M. 'esctructive
-ingura functie pe care o reali%ea%a acesti troieni este de a distruge si sterge fisierele. -unt cei
mai simpli si usor de folosit deoarece pot sterge automat toate fisierele cu e"tensiile .dll .ini
sau .e"e din computerul infectat. -unt foarte periculosi si de indata ce ati fost infectat daca nu
va de%infectati computerul intr-un timp cat mai scurt toata informatia stocata pe )arddis* nu va
mai e"ista.
&cestea sunt cele mai folosite categori de 6roieni. 6oti sunt periculosi si ar tre#ui sa aveti gri(a
cum lucrati cu ei.
5urisati6stealt78 - acesti virusi isi masc)ea%a pre%enta prin deturnarea intreruperilor 'A-.
&stfel, comanda dir nu permite o#servarea faptului ca dimensiunea unui fisier e"ecuta#il a
crescut, deci este infectat . E"emplu0VM23W,W&t)eusW,W:rainW, W'amageW,
WQremlinW,WOolocaustW,W6elecomW
Virus al sectorului de -oot (:oot sector virus) - este un tip de virus care distruge starea iniial
a procesului de ncrcare. El suprascrie sectorul de #oot al sistemului de operare. Cn virus al
sectorului de #oot (ncrcare) atac fie sectorul de ncrcare principal, fie sectorul de ncrcare
'A- de pe disc. 6oi viruii sectorului de ncrcare modific ntr-un anume fel coninutul
sectorului de #oot. 8odificrile sectorului de #oot nu tre#uie s fie prea e"tinse0 unii virui mai
noi din aceast categorie sunt capa#ili s infecte%e discul fi", modificnd doar %ece octei din
acest sector. E"emplu0 W&lamedaW,W&s)arW,W:loodieW,W1anna#isW,W1)aosW.
Virus ata%at (&ppending virus) - este un virus care i ataea% codul la codul e"istent al
fiierului, nedistrugnd codul original. $rimul care se e"ecut atunci cnd se lansea% fiierul
infectat este virusul. &poi, acesta se multiplic, face sau nu ceva stricciuni, dup care red
controlul codului original si permite programului s se e"ecute normal n continuare. &cesta
este modul de aciune al unui "virus clasic".
Virus companion (1ompanion virus) - este un virus care infectea% fiiere de tip .EJE prin
crearea unui fiier 1A8 avnd acelai nume si coninnd codul viral. El speculea% o anumit
caracteristic a sistemului 'A- prin care, dac dou programe, unul de tip .EJE si cellalt de
tip .1A8, au acelai nume, atunci se e"ecut mai nti fiierul de tip .1A8.
Virus cripto1rafic (1r;pto virus)- un virus care se infiltrea% n memoria sistemului si permite
folosirea a#solut normal a intrrilor si transmiterilor de date, avnd proprietatea c, la o
anumit dat, se autodistruge, distrugnd n acelai timp toate datele din sistem si fcndu-l
a#solut inutili%a#il. Cn astfel de atac poate fi, pur si simplu, activat sau ani)ilat, c)iar de ctre
emitor aflat la distan, prin transmiterea unei comen%i corespun%toare.
Virus critic (1ritical virus) - este un virus care pur si simplu se nscrie peste codul unui fiier
e"ecuta#il fr a ncerca s pstre%e codul original al fiierului infectat. +n cele mai multe
ca%uri, fiierul infectat devine neutili%a#il. 1ei mai muli virui de acest fel sunt virui vec)i,
primitivi, e"istnd ns i e"cepii.
Virus cu infec(ie multipl) (multi-partite virus) - este un virus care infectea% att sectorul de
#oot, ct si fiierele e"ecuta#ile, avnd caracteristicile specifice att ale viruilor sectorului de
ncrcare, ct si ale celor para%ii. &cest tip de virus se ataea% la fiierele e"ecuta#ile, dar i
plasea% codul si n sistemul de operare, de o#icei n 8:@ sau n sectoarele ascunse. &stfel, un
virus cu infecie multipl devine activ dac un fiier infectat este e"ecutat sau dac $1-ul este
ncrcat de pe un disc infectat. E"emplu0 W&ut)a"W,W 1ra%; EddieW,W,nvaderW,W 8alagaW,etc
Virus de atac -inar - este un virus care operea% n sistemul de "cal troian", coninnd doar
civa #ii pentru a se putea lega de sistem, restul fiind de regul mascat ca un Vprogram
nee"ecuta#ilW
Virus de le1)tur) (.in* virus) - este un virus care modific intrrile din ta#ela de directoare
pentru a conduce la corpul virusului. 1a si viruii ataai, viruii de legtur nu modific
coninutul nsui al fiierelor e"ecuta#ile, ns alterea% structura de directoare, legnd primul
pointer de cluster al intrrii de directoare corespun%toare fiierelor e"ecuta#ile la un singur
cluster coninnd codul virusului. Adat ce s-a e"ecutat codul virusului, el ncarc fiierul
e"ecuta#il, citind corect valoarea cluster-ului de start care este stocat n alt parte.
Virusii de macro fac parte dintr-o nou generaie de virui de fiiere. Viruii macro infectea%
documente, nu programe. Ei pot infecta numai documentele create cu programe care folosesc
lim#a(e macro (Gord, E"cel). Cn e"emplu de lim#a( macro este Gord:asic, care este inclus Xn
8icrosoft Gord F.>.
$ac)etul 8icrosoft Affice DF folosete ca lim#a( macro pentru programele componente
(Gord DF, E"cel DF, &ccess DF) o versiune restransa de Visual :asic numit Visual :asic for
&pplications. &cesta este un lim#a( puternic (permite c)iar i apeluri de sistem) care a
determinat apariia viruilor macro ce infectea% i #a%ele de date &ccess DF (.8':).
'eci acest tip de virui utili%ea% lim#a(ul de programare macro al unei aplicaii, pentru
a se distri#ui pe ei nii. 'e o#icei fiierele document au ataate macro-uri care sunt e"ecutate
automat la desc)iderea lor. Cnele dintre acestea pot fi de fapt secvene virale.
Cn virus macro odat activat poate redefini comen%i ale programului care a desc)is
documentul, cum ar fi salvarea sau tiprirea la imprimant. 1el mai des acesta modific
comanda de salvare a fiierelor (-ave &s din meniul 9ile), astfel nct fiierele vor fi salvate
numai ca a#loane (template-uri - de e"emplu .'A6 pentru Gord), dar cu e"tensia specific
documentelor (n e"emplul nostru .'A1). +n final virusul infectea% fiierul sa#lon glo#al (de
e"emplu template-ul NA@8&..'A6 n ca%ul programului 8icrosoft Gord), virusand apoi prin
intermediul acestuia orice document care se va desc)ide.
,nfeciile cu un virus macro se rspndesc mult mai rapid dect infeciile cu virui
o#inuii, deoarece documentele sunt des folosite i circul mai mult dect alte tipuri de fiiere.
$rogramele 8icrosoft Gord8ail, saul Gord ,nternet &ssistant nu permit transmiterea
virusului. Cn document infectat ataat la un mesa( Gord8ail, poate fi ns transmis prim E-
mail. 'eci atenie la cutia potal (electronic) U
'eoarece se scriu uor, numrul viruilor macro a crescut de la L> n ianuarie 2DDF, la peste
3>>> n vara anului 2DDE. 8uli virui macro sunt variante ale altora (de e"emplu e"ist E= de
variante ale virusului macro Ga%%u).
Kilnic apar peste 2> virui macro.
Virus deta%a-il (9ile (umper virus) - este un virus care se de%lipete el nsui de fiierul infectat
e"act naintea desc)iderii sau e"ecuiei acestuia i i se reataea% atunci cnd programul este
nc)is sau se termin. &ceast te)nic este foarte eficient mpotriva multor programe de
scanare si sc)eme de validare, deoarece programul de scanare va vedea un fiier "curat" si va
considera c totul este n regul. &ceasta este o te)nic de ascundere (stealt)).
Virus invi,i-il (-tealt) virus) - este un virus care i ascunde pre%enta sa, att fa de utili%atori,
ct si fa de programele antivirus, de o#icei, prin interceptarea serviciilor de ntreruperi.
Virus morfic (8orp)ic virus) - un virus care i sc)im# constant codul de programare si
configurarea n scopul evitrii unei structuri sta#ile care ar putea fi uor identificat i eliminat.
Virus nere,ident (@untime virus) - este opusul virusului re%ident. Viruii nere%ideni n
memorie nu rmn activi dup ce programul infectat a fost e"ecutat. El operea% dup un
mecanism simplu si infectea% doar e"ecuta#ilele atunci cnd un program infectat se e"ecut.
1omportarea tipic a unui astfel de virus este de a cuta un fiier ga%d potrivit atunci cnd
fiierul infectat se e"ecut, s-l infecte%e si apoi s redea controlul programului ga%d.
Virus para,it ($arasitic virus) - este un virus informatic, care se ataea% de alt program si se
activea% atunci cnd programul este e"ecutat. El poate s se atae%e fie la nceputul
programului, fie la sfritul su, ori poate c)iar s suprascrie o parte din codul programului.
,nfecia se rspndete, de o#icei, atunci cnd fiierul infectat este e"ecutat. 1lasa viruilor
para%ii poate fi separat n dou0 viruii care devin re%ideni n memorie dup e"ecuie i cei
nere%ideni. Viruii re%ideni n memorie tind s infecte%e alte fiiere, pe msur ce acestea sunt
accesate, desc)ise sau e"ecutate.
Virus polimorf ($ol;morp)ic virus) - este un virus care se poate reconfigura n mod automat,
pentru a ocoli sistemele de protecie acolo unde se instalea%. El este criptat si automodifica#il.
Cn virus polimorfic adaug aleator octei de tip "gar#age" (gunoi) la codul de decriptare si!sau
folosete metode de criptare!decriptare pentru a preveni e"istenta unor secvene constante de
octei. @e%ultatul net este un virus care poate avea o nfiare diferit n fiecare fiier infectat,
fcnd astfel mult mai dificil detectarea lui cu un scaner. E"emplu0 W&ndreW,W 1)ee#aW,W'ar*
&vengerW,W$)oeni" 3>>>W,W 8altese 9is)W,etc
Virus re,ident (@e%ident virus) - este un virus care se autoinstalea% n memorie, astfel nct,
c)iar mult timp dup ce un program infectat a fost e"ecutat, el poate nc s infecte%e un fiier,
s invoce o rutin "trigger" (de declanare a unei anumite aciuni) sau s monitori%e%e
activitatea sistemului. &proape toi viruii care infectea% 8:@-ul sunt virui re%ideni. +n
general, viruii re%ideni "aga" codul sistemului de operare.
8area ma(oritate a viruilor actuali folosesc te)nici de ascundere. E"ist si un termen des
folosit n acest domeniuB el se numete stealt) (ascundere) si desemnea% te)nicile folosite de
anumii virui care ncearc s scape de detecie. 'e e"emplu, un lucru pe care-l pot face viruii
re%ideni, este s intercepte%e comen%ile (funciile) 'A- de tip ',@ si s raporte%e dimensiunile
originale ale fiierelor, si nu cele modificate datorit atarii virusului. 6e)nicile -pa5ning si
9ile Numper repre%int metode de ascundere, fiind ns cu mult mai avansate.
Viru%ii spioni 9 $e lng numeroii virui, cunoscui la aceast or n lumea calculatoarelor,
e"ist o categorie aparte de astfel de "intrui", care au un rol special0 acela de a inspecta, n
calculatoarele sau reelele n care ptrund, tot ceea ce se petrece, si de a trimite napoi la
proprietar, la o anumit dat i n anumite condiii, un raport complet privind "corespondenta"
pe ,nternet si alte "aciuni" efectuate de ctre cel spionat prin intermediul calculatorului.
$ractic, un astfel de virus nu infectea% calculatorul si, mai ales, nu distruge nimic din ceea ce
ar putea s distrug. El se instalea%, de regul, prin intermediul unui mesa( de pot electronic
i ateapt cuminte pn apar condiiile unui rspuns la aceeai adres. 1t timp se afl n reea,
acesta culege informaiile care l interesea%, le codific ntr-un anumit mod, depunndu-le ntr-
o list a sa si apoi le transmite la proprietar.
Cn virus de acest gen poate ptrunde i se poate ascunde, de e"emplu, ntr-un fiier tip "doc"
primit printr-un e-mail. El i ncepe activitatea odat cu nc)iderea unui document activ, atunci
cnd verific dac acesta a fost infectat cu o anumit parte din codul su special.
Cnii virui din aceast categorie i i-au msuri ca s nu fie depistai si distrui de programele de
de%infectare.
+ntr-o secven de cod, dup o verificare si un control al liniilor, intrusul ncepe s nregistre%e
diferite mesa(e si aciuni, le adaug la lista sa secret i ateapt condiiile ca s le transmit la
destinatar, nimeni altul dect cel care l-a e"pediat.
+n unele variante ale sale de pe ,nternet acest tip de virus poate face singur o cone"iune la o
adres pe care o identific singur. 'up aceasta, totul devine foarte simplu. E ca i cum n casa
noastr se afl permanent cineva care asist din um#r la toate convor#irile noastre secrete i
nesecrete i, atunci cnd are prile(ul, le transmite prin telefon unui "#eneficiar" care ateapt.
'in pcate, viruii spioni sunt de multe ori negli(ai. Nici c)iar programele de de%infectare nu
sunt prea preocupate s-i ia n seam si s-i trate%e, motivul principal fiind acela c ei nu au o
aciune distructiv direct.
6otui, pagu#ele pot fi uneori nsemnate, nemaipunnd la socoteal i faptul c nimeni pe lumea
aceasta nu si-ar dori s fie "controlat" n intimitatea sa. Cn astfel de spion poate sta mult si #ine
ntr-un calculator, dac nu este depistat la timp si nlturat de un program serios de devirusare.
Este, desigur, un adevrat semnal de alarm, pentru simplul motiv c asemenea "intrui" e"ist
i pot ptrunde n viaa noastr i pe aceast cale.
Cn astfel de virus spion a fost descoperit de un student n primvara anului 2DDD, n reeaua de
calculatoare a de%volttorilor de soft5are ai 'ireciei ,nformatic din 1- -ide" -&, de catre un
student.
Cn program care acionea% n acest mod este cunoscut n literatura de specialitate cu numele de
sp;5are (spion).
A serie de virui de e-mail, precum cele#rul 8elissa, ncearc s trimit documente
confideniale - personale sau ale companiei la care lucrai. ,ar dac cele#rul cal troian numit
":ac* Arifice" si-a gsit o cale ctre sistemul dvs., el va oferi control deplin asupra ntregului
$1 oricui va solicita acest lucru.
1)iar si n condiiile n care sistemul este #ine prote(at mpotriva atacurilor din e"terior, este
posi#il ca o trdare s se petreac din interior. 1u alte cuvinte, atunci cnd v conectai la
,nternet este posi#il s fie parta(at cone"iunea cu un para%it, adic un program spion care are
propria sa activitate si care se conectea% la momente presta#ilite la site-ul su de Ge#.
Cnele programe sp;5are sunt instalate n mod automat atunci cnd vi%itai un anumit site de
Ge# ce face apel la ele. &ltele sunt instalate mpreun cu aplicaii de tip s)are5are sau
free5are. ,nstalarea se produce uneori fr a fi contieni de ea sau c)iar accepta#il prin
apsarea #utonului /es fr citirea te"tului licenei de utili%are.
$rogramele sp;5are nu sunt denumite astfel pentru c ele "fur" informaii private ci pentru
modul secret n care acionea%, fr a fi cunoscute sau fr a cere vreo permisiune din partea
utili%atorului.
-copul lor declarat pare destul de inofensiv. Cnele dintre ele, denumite ad#ots, programe de
recepionat mesa(e pu#licitare, afiea% aceste informaii n programele asociate si ncearc s
a(uste%e mesa(ul pu#licitar preferinelor si o#iceiurilor utili%atorilor. &ltele colectea%
informaii statistice pentru clienii lor. 6oate aceste programe pretind c v prote(ea%
informaiile private si la o anali% atent se dovedete c au dreptate. ,nformaiile nepersonale
ce sunt adunate de aceste programe ar putea fi totui folosite ntr-un mod neadecvat, iar
pre%enta lor pe sistemul dvs. i-ar putea compromite securitatea.
Ce este un vierme de calculator?
Viermele (Gorm) - este un program care, inserat ntr-o reea de calculatoare, devine activ ntr-o
staie de lucru n care nu se rulea% nici un program. El nu infectea% alte fiiere, aa cum fac
adevraii virui. -e multiplic ns n mai multe copii pe sistem si, mai ales, ntr-un sistem
distri#uit de calcul. +n acest fel "mnnc" din resursele sistemului (@&8, disc, 1$C etc.).
Cn vierme este un tip de virus care poate sa infecte%e un sistem fara sa fie nevoie sa rule%e un
codB acesta poate sa e"ploate%e vulnera#ilitatile aplicatiilor soft5are si sa se instale%e automat
in computer. -i acest tip de virus se va raspandi in retea si va incerca sa foloseasca
vulnera#ilitatile descoperite pentru multiplicarea cat mai multor sisteme.
Cn vierme este asemanator unui virus prin faptul ca se auto-copia%a, diferenta constnd n
faptul ca un vierme nu are nevoie sa se atase%e la anumite fisiere pentru a se multiplica.
Istoria viermilor
Aparitia*
$e 3 noiem#rie 2DEE unele din calculatoarele cuplate la reteaua numita ,nternet, care lega o
parte dintre marile universitati si centre de cercetare americane, au nceput sa e")i#e simptome
ciudate. 1alculatoarele e"ecutau tot felul de programe, compilau surse si comunicau cu alte
calculatoare din retea, fara ca cineva sa fi initiat aceste activitati. $rima alarma a fost pornita la
universitatea -tanford, la ora D seara (ora coastei de est a -tatelor Cnite), care afirma ca
ma(oritatea masinilor Cni" din campus (n numar de vreo 3M>>) erau infectate de un virus care
pornise de la 8,6. .a ora 2> seara programatorii de la 8,6 au descoperit si ei o activitate
suspicioasa si au ncercat sa re#oot-e%e calculatoarele, cre%nd ca e vor#a de un program care a
luat-o ra%na. 1nd au o#servat nsa ca, nu mult timp dupa repornire, calculatoarele re-ncepeau
acelasi lant de activitati #i%are, au reali%at ca ceva mai serios se afla la mi(loc.
+n curnd mesa(e de e-mail sc)im#ate cu colegi de la alte universitati le-au revelat ca atacul era
universal0 calculatoare din toata &merica sufereau deaceleasi simptome. &u urmat apoi doua
nopti al#e si munca n foc continuu n care )ac*er-ii ncercau sa nteleaga n ce fel functionea%a
noul virus care le ataca calculatoarele. .a fel ca si cei #iologici, virusii de o#icei calatoresc n
spinarea altor programe, care fortea%a celulele organismului ga%da sa-, multiplice. $rogramul
cel nou era nsa autonomB ca atare a fost #ote%at ::vierme;;0 era un organism de sine-statator,
capa#il sa se multiplice si sa atace de la sine alte calculatoare.
1ercetatorii au atacat viermele prin mai multe metode0
Y au nceput sa-l de%asam#le%e si sa descifre%e instructiunile din care era compusB
Y au creat masini-capcana pe care sa le infecte%e, care nregistrau o multime de detalii despre
ceea ce se petrecea cu ele nsele (creau ZZlog-uriTT)B
Y au creat masini-mutant pe care le parali%au partial, pentru a descoperi care sunt serviciile de
care viermele are nevoie pentru a se putea multiplicaB
Viermele acesta era deose#it de virulent si complicat, atacnd statii de lucru -unsi V&J care
rulau sistemul de operare Cni" de la :er*ele;. Viermele folosea mai multe metode de
propagare, e"ploatnd mai multe sla#iciuni n configurarea calculatoarelor si implementarea
programelor0
Y +nti ncerca sa se transfere ntre calculatoare pe care acelasi utili%atoravea conturi diferite si
ntre care utili%atorul si configurase acces faraparole (folosind fisierele .r)osts)B
Y 'aca nu reusea folosind acest mecanism, ncerca sa foloseasca o sla#iciune din programul
send mail, care si la ora actuala este cel mai folosit program pentru procesarea postei
electronice. $e multe calculatoare send mail era instalat compilat cu o configuratie de depanare,
care permitea e"ecutarea unor comen%i de la distantaB
Y +n fine, viermele e"ploata un #ug din implementarea programului finger, care este folosit n
mod normal pentru a vedea cine lucrea%a pe un calculator la distanta. Viermele e"ploata pentru
prima oara un tip de #ug care este la ora actuala e"trem de folosit de alte animale de acelasi
gen0#uffer overflo5. Viermele trimitea programului fingerd, care primeste ntre#ari despre
utili%atori prin retea, un nume de utili%ator foarte lung,care depasea memoria alocata pentru
receptia mesa(ului. Numele era att de lung nct scria gunoi peste stiva programului si modifica
valoarea salvata a registrului $1. &ceasta cau%a un salt la o adresa dinainte sta#ilita, aflata n
numele foarte lung, unde viermele continea codul care prelua controlul.
Y Adata instalat pe un calculator, viermele ncerca sa decripte%e unele din parolele utili%atorilor
folosind un dictionar de parole o#isnuite, pentru a pune mna pe noi conturi din care sa re-atace
folosind prima metoda.
Y Viermele se propaga n doua etape pe un nou calculator pe care-l infecta0 nti trimitea un scurt
program scris n 1, care era compilat pe masinalocala, care apoi aducea si restul viermelui, care
consta n module pre-compilate pentru -un si V&J.
Y +n plus, n interiorul viermelui toate sirurile de caractere (inclusiv comen%ilepe care viermele
le lansea%a n e"ecutie si dictionarul de parole inclus) erau VascunseW (fiecare caracter este
suprapus cu un sau e"clusiv cuvaloarea E2).
Viermele nu efectua actiuni distructive, cum ar fi stergerea de fisiere sau instalarea de conturi
ascunse0 singurul efect negativ provenea din faptul ca masinile erau infectate n mod repetat, si
repede nu faceau altceva dect sa e"ecute copii ale viermelui.
1ercetari ulterioare au relevat faptul ca viermele fusese creat si lansat de un student la doctorat
al universitatii 1ornell, pe nume @o#ert 6appan 8orris. +n mod oarecum ironic, 8orris este fiul
unui alt @o#ert 8orris, care era pe vremea aceea era cercetator la National -ecurit; &genc;, o
organi%atie guvernamentala americana nsarcinata cu criptologia.
@o#ert 8orris a fost condamnat la trei ani de nc)isoare cu suspendare pentru fapta sa, 2>>>> de
dolari amenda si L>> de ore de munca n serviciul comunitatii.
'upa terminarea sentintei @o#ert 8orris a terminat doctoratul la universitatea Oarvard si
ncepnd din 2DDD este profesor la universitatea 8,6, lucrnd n domeniul retelelor de
calculatoare.8orris nu a avut aceste succese ulterioare datorita pataniei cu viermele0 el a reusit
sa-si VrepareW cariera n pofida istoriei cu viermele, pentru ca este foarte capa#il si inteligent. +n
pre%ent refu%a sa vor#easca despre vierme sau sa faca cercetare n securitatea calculatoarelor.
A multime de rapoarte au descris aceste evenimente n detaliu si au discutat pro#lema securitatii
n ,nternet imediat dupa aceste evenimente. 1u toate acestea, nimic nu s-a sc)im#at...
Clasificari ale viermilor
Viermii care se transmit prin e9mail
E-mailul este una din cele mai folosite metode de imprastiere a viermilor. 'e o#icei, este su#
forma unui e-mail cu atasament (o po%a sau un fisier te"t), iar cand utili%atorul rulea%a acest
atasament, viermele va infecta calculatorul. 'upa ce calculatorul este infectat, viermele va
incerca sa gaseasca alte adrese de e-mail pe calculator (de o#icei in fisierele de configurare ale
clientilor de e-mail) si se va trimite automat la toate adresele pe care le gaseste, pornind astfel
un nou ciclu.
Viermii care se transmit prin I2 6Internet 2essa1in18
Viermii care se transmit prin ,8 se vor imprastia folosind clienti de ,8 (/a)oo,8-N, &A...).
Ei actionea%a trimitind tuturor celor din lista celui infectat un lin* spre un fisier infectat sau spre
un site. 1and este dat clic* pe lin*ul respectiv, viermele este do5nloadat si rulat. &stfel se va
infecta calculatorul respectiv.
Viermele va incepe sa scane%e lista de contacte a calculatorului respectiv, trimitand acelasi lin*
la toti cei din lista, pornind astfel un nou ciclu.
Viermii care se transmit prin Internet
E"ista posi#ilitatea sa te infecte%i cu un vierme doar fiind conectat la ,nternet.
Cnii viermi cauta ,nternetul pentru a gasi calculatoare vulnera#ile (fara update-uri
de securitate, fara fire5all). Adata gasit un calculator vulnera#il, va incerca sa se copie%e si sa
se instale%e pe acesta.
Viermii care se transmit prin retea
-unt viermi care se copia%a automat intr-un director care este vi%i#il in reteaua locala (s)are), si
se redenumeste automat astfel incat sa atraga atentia, fiind apoi do5nloadat de catre utili%atorii
din retea. Ctili%atorii care cred ca do5nloadea%a o oarecare aplicatie, vor a(unge infectati cu
acel vierme.
Viermele Caric9A* aparut tot in perioada scandalului cu :ill 1linton, acest program malitios se
activa dupa ce desc)ideai un atasament de mail cu o caricatura a lui 1linton cantand la sa"ofon
din care iesea un sutien.
Viermele <urmar0 a aparut in 3>>M si era ascuns intr-o po%a cu un #atranel )aios. 'upa ce
descarcai po%a in computer, viermele instala un troian care le permitea )ac*er-ilor sa preia
controlul partilor infectate din calculator. Nu numai ca si tu transmiteai fara sa vrei mai departe
virusul, mai mult, iti si stergea la intamplare fisiere din computer sau le trimitea la contactele din
lista de mail.
Viermele Cue-ot9=0 acesta a facut multa valva. -istemul antipiraterie creat de Gindo5s,
Gindo5s Qenuine &dvantage (GQ&), era acu%at de catre utili%atori ca fiind de fapt o forma de
sp;5are. 8icrosoft a incercat sa re%olve pro#lema creand o versiune noua a programului, lucru de
care au profitat programatorii de virusuri creand viermele 1ue#ot-?. &cest program din 3>>= a
aparut pe net pretin%and ca este noua versiune 8icrosoft. -e lansa singur cand desc)ideai
computerul si afisa mesa(e cum ca de%instalarea lui va face computerul sa se #loc)e%e. 'ar ce
facea cel mai rau, era sa desc)ida o usa din spate prin care )ac*erii puteau sa-ti intre in computer.
Care sunt simptomele unui sistem virusat>
1ei care sunt iniiai n domeniul viruilor de calculatoare nu vor avea pro#a#il
dificultti n a spune dac un calculator este suspect de a fi infectat cu un virus nou. Viruii se
pot rspndi nesting)erii doar atta timp ct rmn nedetectai. 'in acest motiv, ma(oritatea
viruilor nu i manifest pre%ena n sistem. Numai programele antivirus pot detecta pre%enta
unei asemenea infecii. E"ist, totui, mai multi virui, ce si fac simit pre%ena n sistem prin
efectele secundare generate.
1teva "simptome" specifice calculatoarelor virusate (lista este orientativ[, ca%urile
reale fiind mult mai numeroase si diverse)0
fiierele sistem cresc n lungime (de e"emplu n 'A- =.3> fiierul command.com are
ML=2D octei, iar pe un calculator virusat el poate avea, s %icem cu 23>> de octei mai mult,
respectiv MME2D)B
#locri frecvente - ma(oritatea viruilor sunt e"trem de prost scrii si #loc)ea% calculatorul
e"trem de des. Viruii sunt de altfel cunoscui ca cele mai incompati#ile programe (e"ceptnd
viruii multiplatform[, ca de e"emplu clasa "1oncept" - viruii de .doc Gord)B
mesa(e ciudate, melodii sau sunete suspecte n difu%or. 8uli virui i fac anunat[ pre%ena
prin astfel de efecteB
distrugerile de date sunt alt efect al viruilor. 'ispariia su#it a unui fiier sau erori ale
sistemului de fiiere sunt clasiceB
ncetinirea accesului la disc este produs de unii virui stealt) care se interpun ntre
programe i sistemul de acces la discuriB
la apsarea tastelor 16@.\&.6\'E. calculatorul #oot-ea% instantaneu fr a mai trece
prin ecranul de $A-6 (po5er on, self test)B
la comanda c)*ds* ma(oritatea programelor e"ecuta#ile sunt raportate ca avnd o lungime
incorect0 efect al unor virui stealt)B
dimensiunea memoriei afiat de programele speciali%ate este mai mic dect =L>?#.
Cneori acest efect este generat de unele managere de memorie fr a fi vor#a de un virus, dar de
o#icei indic pre%ena unui virusB
programele de tip self-c)ec* raportea% c[ au fost modificateB
nu mai pornete Gindo5s sau se raportea% c accesul la disc se face prin :,A-B
sc)im#ri ale marca(ului de timp al fiierelorB
ncrcarea mai grea a programelorB
operarea nceat a calculatoruluiB
sectoare defecte pe disc)ete.
2odalitati de protectie! 0ro1rame antivirus
Adata a(uns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actionea%a
in doua etape. ,n prima fa%a de multiplicare, virusul se reproduce doar, marind astfel
considera#il potentialul pentru infectari ulterioare. 'in e"terior nu se o#serva nici o activitate
evidenta. A parte a codului de virus testea%a constant daca au fost indeplinite conditiile de
declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre
ceasul sistemului vineri 24 sau 2 aprilie sunt alegeri o#isnuite, etc). Crmatoarea fa%a este cea
activa,usor de recunoscut dupa actiunile sale tipice0 modificarea imaginii de pe ecran,stergerea
unor fisiere sau c)iar reformatatrea )ard dis*-ului.
$e langa fisierele e"ecuta#ile sunt atacate si datele de #a%a. 'esii virusii au nevoie de o
ga%da pentru a putea supravietui,modul de coe"istenta cu ea este diferit de la un virus la altul.
E"ista virusi para%iti care nu alterea%a codul ga%dei,ci doar se atasa%a. &tasarea se poate face la
inceputul, la sfarsitul sau la mi(locul codului ga%da, ca o su#rutina proprie.
,n contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul ga%dei. &cestia
sunt deose#it de periculosi, deoarece fisierul ga%da este imposi#il de recuperat.
$entru ca virusul sa se e"tinda, codul sau tre#uie e"ecutat fie ca urmare indirecta a
invocarii de catre utili%ator a unui program infectat, fie direct, ca facand parte din secventa de
initiali%are.
A speranta in diminuarea pericolului virusilor o constituie reali%area noilor tipuri de
programe cu protectii incluse. Cna dintre acestea consta in includerea in program a unei sume
de control care verifica la lansare si #loc)ea%a sistemul daca este infectat. ,n perspectiva,se pot
folosi sisteme de operare mai putin vulnera#ile. Cn astfel de sistem de oprerare este CN,J,in
care programul utili%ator care poate fi infectat nu are acces la toate resursele sistemului.
Virusii care se inmultesc din ce in ce mai mult, poliferea%a datorita urmatorilor factori0
$unerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi, pe
#a%a carora s-au scris mai multe variante de noi virusi
&paritia si punerea in circulatie, cu documentatie sursa completa, a unor pac)ete de programe
speciali%ate pentru generarea de virusi. 'oua dintre acestea sunt 8anIs V1. (Nu*e) si $1-
8$1 de la $)alcon!-*imB am#ele au fost puse in circulatie in 2DD3.
'istri#uirea in 2DD3, via ::--ului #ulgar, a programului 86E - V masina de produs mutatiiW-
conceput de 'ar* &venger din -ofia. &cest program este insotit de o documentatie de utili%are
suficient de detaliata si de un virus simplu, didactic.
.in*-editarea unui virus e"istent cu 86E si un generator de numere aleatoare duce la
transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si sc)im#a
secventa de instructiuni la fiecare multiplicare, functia de #a%a ramanand nealterata,dar
devenind practic de nedectat prin scanare
@aspandirea ::--urilor (:ulletin :oard -;stem), care permit oricarui utili%ator $c dotat cu un
modem sa transmita programe spre si dinspre un calculator. Cn sitem este lipsit de virusi, daca
in memorie nu este re%ident sau ascuns nici un virus,iar programele care se rulea%a sunt curate.
,n aceasta conceptie, programul antivirus vi%ea%a atat memoria calculatoarelor, cat si
programele e"ecuta#ile. 1um in practica nu poate fi evitata importarea de fisiere virusate,
metode antivirus cauta sa asigure protectie in anumite ca%uri perticulare, si anume0
la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste
scanarea. &ceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi
caracateristice virusilor din #i#lioteca programului de scanareB
daca programele sunt de(a cunoscute, nefiind la primul contact, se folosesc sume de control.
&ceste sume constituie o semnatura a programului si orice modificare a lui va duce la o
modificare a sumei sale de controlB
in calculator e"ista o serie de programe care nu se modifica, repre%entand %estrea se soft a
calculatorului, care se prote(ea%a pur si simplu la scriere.
-canarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in fa%a
primara de raspandire a virusilor. Ea poate fi salvatoare, c)iar daca se aplica ulterior (de pe o
disc)eta sistem curata), in fa%a activa,deoarece in numeroase ca%uri poate recupera fisierele
infectate.
1onclu%ii0
aria de actiuneB memoria si fisierele de interesB
protectia se mnifesta la primul contact cu orice fisierB
permite de%infectareaB
nu detectea%a virusi noi. Arice virus nou tre#uie introdus in lista de virusi a programului de
scanareB
timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere
prote(ateB
e"ista alarme false, daca semnatura virusului este prea scurtaB
foloseste ca resursa memoria calculatoruluiB
operea%a automat (ca un 6-@).
-umele de control sunt calculate cu polinoame 1@1 si pot detecta orice sc)im#are in
program,c)iar daca aceasta consta numai in sc)im#area ordinii octetilor. &ceasta permite
#locarea lansarii in e"ecutie a programelor infectate,c)iar de virusi necunoscuti, dar nu permite
recuperarea acestora. 8etoda este deose#it de utila in fa%a de raspandire a virusilor,orice fisier
infectat putand fi detectat. ,n fa%a activa,insa metoda este neputicioasa.
$rogramele de protectie-programe antivirus- au rolul de a reali%a simultan urmatoarele
activitati0
prevenirea contaminariiB
detectarea virusuluiB
eliminarea virusului, cu refacerea conte"tului initialB
,n general, e"ista doua categorii de programe antivirus0
programe care verifica fisierele pentru a descoperi te"te neadecvate sau sematuri de virusi
recunoscutiB
programe re%idente in memoria interna, care interceptea%a instructiunile speciale sau cele care
par du#ioase.
,n categoria programelor de vierificare se include cele de tip -1&N""",unde prin """ s-a
specificat numarul asociat unei versiuni, de e"emplu0 -1&NE=, -1&N2>3, -1&N2>E,
-1&N3>>.
&ceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe
monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. 'upa aceasta verificare,
utili%atorul va incerca aliminarea virusului depistat,prin intermediul programelor 1.E&@""",
prin specificarea numelui virusuluiB de remarcat ca, folosind acest program, nu e"ista
certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a locali%arii acestora in
locuri care nu pot fi intotdeauna reperate.
+n finalul acestui capitol pre%entm alte cteva sfaturi care ar putea fi foarte utile pentru a v
prote(a sistemul mpotriva viruilor calculatoarelor 0
- nu ncercai programe e"ecuta#ile de pe sistemele de #uletine informative dac nu suntei
sigur c ele sunt fr virui (eventual ai v%ut pe altcineva folosind programul fr pro#leme).
- nu preluai programe e"ecuta#ile vndute prin pot i care in de domeniul pu#lic sau n
regim s)are5are, dac nu se preci%ea% c se verific fiecare program vndut.
- nu ncrcai niciodat un program transmis de curnd pe un sistem de #uletine informative,
pn cnd el nu a fost verificat de operatorul de sistem. 1nd ncrcai programul, facei-o pe un
sistem cu dou uniti de disc)et, astfel nct el s nu se apropie de )ard dis*.
- nu copiai disc)ete pirat ale programelor comerciali%ate, deoarece ele pot conine virui.
- cumprai i folosii programe recunoscute de detectare a viruilor
- instalai un program de detectare a viruilor, re%ident n memorie, care s e"amine%e fiierele
pe care le copiai n calculator.
- instalati un fire5all.
- asigurati-va ca sistemul dumneavoastra este la %i continand toate update-urile e"istente.
- pastrati setarile referitoare la securitatea #ro5serului la nivel mediu sau ridicat.
- niciodata nu dati T/esT cand #ro5serul va intrea#a daca vreti sa instalati!rulati continut provenit
de la o organi%atie pe care nu o cunoasteti sau in care nu aveti incredere.
- instalati un program anti-sp;5are pentru a spori protectia antivirus.
- nu instalati nici o #ara de cautare a(utatoare pentru #ro5ser decat daca provine de la o sursa de
incredere.
- verificati in care certificate ale companiilor soft5are puteti avea incredere.
- folositi o carte de credit numai pentru cumparaturi on-line.
- nu e"ecutati attac)ement-urile de la email-uri c)iar daca aparent au fost trimise de prieteni.
.

Actualii virusi si viermi
&menintarile informatice din prima (umatate a anului 3>>E au urmat si in @omania
aceleasi tendinte de intensificare si diversificare inregistrate la nivel glo#al, clasamentul celor
mai periculoase 2> tipuri de mal5are fiind dominat in proportie de F>S de troieni.
1ercetatorii .a#oratorului &ntimal5are :it'efender au remarcat ca autorii de mal5are
prefera sa profite in continuare de vulnera#ilitatile sistemelor informatice prin intermediul
virusilor camuflati su# aparenta unor aplicatii legitime. 6otodata, se mentine preferinta pentru
e"ploatarea vulnera#ilitatilor soft5are.
0rima po,itie este ocupata de 6ro(an.1lic*er.18, detinator al unui procent de L,3> din
numarul de sisteme infectate in @omania, in semestrul intai al anului 3>>E. 6roianul alterea%a
resursele sistemului, limitand latimea de #anda prin desc)iderea in #ro5ser a unui numar sporit
de ferestre pop-up cu continut comercial, astfel incat sa-l determine pe utili%ator sa accese%e
site-urile care isi fac reclama in acest mod.
?ocul al doilea, cu L,2DS din cifra totala a sistemelor infectate, ii revine lui
6ro(an.'o5nloader.N-.,st#ar.:, o amenintare Nava-cript care, e"ploatand vulnera#ilitati de
sistem, descarca si instalea%a mal5are su# forma de module &ctiveJ.
$e po,itia a treia il regasim, la distanta de aproape un procent fata de ocupantul po%itiei
secunde, pe 6ro(an.,9rame.&-, un mal5are ce e"ploatea%a o vulnera#ilitate O68. a
aplicatiilor Ge# #ro5ser prin intermediul careia unui sistem i se poate solicita accesarea de
continut on-line fara acordul utili%atorului. -i acest troian, asemeni celui plasat pe po%itia
precedenta, este folosit ca instrument pentru distri#utia altor tipuri de mal5are.
Gin43.Neefo.& se afla pe locul al patrulea, detinand 3,DF procente. &cest agent viral
para%itea%a directorul sistemului de operare printr-o copie a fisierului -V1OA-6.EJE ce
rulea%a ca serviciu pe sistemele unde este instalat 8icrosoft Gindo5s.
Neefo este responsa#il de infectarea tuturor fisierelor e"ecuta#ile din sistem, carora le alterea%a
continutul prin adaugarea de cod (ce le mareste dimensiunea cu apro"imativ 4= ?#), in unele
ca%uri deteriorandu-le iremedia#il.
?ocul al cincilea este detinut, cu 3,LDS, de 6ro(an.V:.&,&. &cest troian scris in Visual :asic
de%activea%a prin suprascriere elementele de siguranta pasiva din Norton &ntivirus si
para%itea%a toate fisierele cu e"tensia .mpg, .avi, .(pg, .mp4, carora le creea%a duplicate
denumite identic in care se inoculea%a, adaugandu-le e"tensia .e"e. Este foarte raspandit, fiind
intalnit cu precadere in mediul e"trem de favora#il al sistemelor care parta(ea%a fisiere in
retelele $eer-3-$eer.
6ro(an.Ns.Gon*a.C], posesor al unui procenta( de 2,D=, se plasea%a pe po,itia a sasea!
$re%enta constanta pe podiumul clasamentelor mal5are din @omania in ultimele doua luni,
aceasta amenintare Nava-cript pertur#a sistemele gratie unei vulnera#ilitati &ctiveJ din
#ro5ser-ul ,nternet E"plorer. 6roianul este responsa#il de descarcarea si raspandirea altor tipuri
de mal5are.
?ocul sapte, la diferenta de numai patru sutimi, este ocupat de Gin43.Gorm.Vi*ing.:C. &gent
viral cu predilectie pentru e"ecuta#ile, Vi*ing infectea%a nu doar discurile locale, ci si pe cele
parta(ate in retea, ani)iland totodata mai multe solutii de securitate pasiva, precum ?aspers*i.
Vi*ing in(ectea%a o componenta .'.. in e"ecuta#ilele ,nternet E"plorer sau Gindo5s
E"plorer, descarcand simultan alte fisiere stocate pe Ge#, pe care, ulterior, incearca sa le
e"ecute pe sistemul compromis.
Gin43.9idcop.Qen se clasea,a al optulea, la numai doua sutimi distanta de ocupantul po%itiei
precedente. -i aceasta tulpina virala vi%ea%a atat fisierele e"ecuta#ile locale, cat si pe cele
stocate in retea, evitandu-le insa pe cele din directoare ale caror nume contin elemente precum
^GinW, ^$rogram 9ilesW, ^8usicW sau ^'ocuments andW. $rin intermediul unui fisier numit
^ole2=.dllW pe care-l introduce in directorul -;stem43 din 8icrosoft Gindo5s, 9idcop
infectea%a sistemul si identifica procesele din spatele ferestrelor active de pe des*top care au o
anumita dimensiune. &poi, colectea%a si criptea%a toate sirurile alfanumerice introduse de
utili%ator de la tastatura (precum nume de utili%ator, parole de acces etc.) in aceste ferestre si le
postea%a pe un forum al carui domeniu este inregistrat in 9ederatia @usa.
0e locul noua, il intalnim pe 6ro(an.1lic*er.O68..,9rame.&@, care acumulea%a un procenta(
de 2,F3. 6roianul poate fi contractat atunci cand sunt incarcate pagini Ge# cu potential
infectios, precum cele care promovea%a soft5are piratat, pornografie sau care sunt folosite ca
instrumente in actiuni de tip p)is)ing. ,n momentul accesarii, acestea descarca automat un script
Nava care afectea%a comportamentul #ro5ser-ului, prin redirectionarea catre o sursa de mal5are
al carei domeniu este inregistrat, de asemenea, in 9ederatia @usa.
@ltima po,itie ii revine lui 6ro(an.$eed.Qen, cu 2,M=S. Cna dintre cele mai spectaculoase si
longevive specii de mal5are, $eed creea%a copii infectate ale tuturor e"ecuta#ilelor pe care le
depistea%a, atri#uindu-le noi nume aleatoare. -imultan, la fiecare L secunde scanea%a sistemul si
inc)ide automat orice fereastra care apartine unui produs antimal5are. ,n plus, generea%a trafic
prin trimiterea de mesa(e carora le ane"ea%a fisiere e"ecuta#ile infectate catre toate adresele de
e-mail pe care le gaseste in sistem.
Numarul total de virusi si infectari 6ro(an a depasit 2 milion la sfarsitul lui 3>>E, potrivit
lui Nari Oeinomen, vicepresedintele 9--ecure.
&nul 3>>D se arata a fi mult mai agitat din perspectiva amenintarilor informatice decat
3>>E. ,nca din primele %ile ale anului au aparut incidente de tip p)is)ing locali%ate, avand ca
tinta #anci romanesti, iar realitatea ultimelor %ile arata ca 4 din 2> calculatoare sunt predispuse
la infectarea cu viermele 'o5nadup, din cau%a insuficientelor masuri de securitate luate de
companii dar si de utili%atorii individuali.

You might also like