Virui i antivirui

Viruii informatici sunt, n esen, microprograme greu de depistat, ascunse n alte programe, care ateapt un moment favorabil pentru a provoca defeciuni ale sistemului de calcul (blocarea acestuia, comenzi sau mesaje neateptate, alte aciuni distructive). Se poate aprecia c un virus informatic este un microprogram cu aciune distructiv localizat n principal n memoria intern, unde ateapt un semnal pentru a-i declana activitatea. O clasificare riguroas nu exist nc, dar se poate face innd seama de anumite criterii. n forma cea mai general viruii se mpart n: Virui hardware Virui software Viruii hardware sunt mai rar ntlnii, acetia fiind de regul, livrai odat cu echipamentul. Majoritatea sunt virui software, creai de specialiti n informatic foarte abili i buni cunosctori ai sistemelor de calcul, n special al modului cum lucreaz software-ul de baz i cel aplicativ. Din punct de vedere al capacitii de multiplicare, viruii se mpart n dou categorii: Virui care se reproduc, infecteaz i distrug. Virui care nu se reproduc, dar se infiltreaz n sistem i provoac distrugeri lente, fr s lase urme (Worms). n funcie de tipul distrugerilor n sistem se disting: Virui care provoac distrugerea programului n care sunt inclui . Virui care nu provoac distrugeri, dar incomodeaz lucrul cu sistemul de calcul; se manifest prin ncetinirea vitezei de lucru, blocarea tastaturii, reiniializarea aleatorie a sistemului, afiarea unor mesaje sau imagini nejustificate. Virui cu mare putere de distrugere, care provoac incidente pentru ntreg sistemul, cum ar fi: distrugerea tabelei de alocare a fiierelor de pe hard disk, modificarea coninutului directorului rdcin, alterarea integral i irecuperabil a informaiei existente. Primii virui atacau programele gazd. De exemplu, Brain nlocuia numele volumului dischetei cu al su; Vendredi 13 cretea dimensiunea programelor cu 512 octei Data crime i Vienna se semnau prin 1168 i respectiv 648 octei. Primele programe antivirus puteau repera uor aceti invadatori. Creatorii de virui au reacionat ns prin adoptarea unor strategii mai performante i au dezvoltat proceduri capabile s infecteze un program, fr ca alterarea s fie prea ostentativ. Odat introdus pe disc, a doua faz a vieii unui virus este autoprogramarea. Viruii ncearc s infecteze ct mai multe programe, nainte de a ataca propriu-zis. Pentru a opera ct mai eficient, viruii i las semnatura n fiecare program infectat, pentru a nu-l contamina nc o dat. Pe acest principiu lucreaz i antiviruii, adic pe reperarea unei intruziuni. Ei analizeaz unitile de disc pentru a cuta semnturile cunoscute. Aceast tehnic prezint ns un defect major: virusul trebuie indentificat,deci tabela de semnturi trebuie permanent reactualizat. Viruii au forme de manifestare ct se poate de diverse. Unii se mulumesc s afieze mesaje de pace sau s cnte o melodie. Alii perturb lucrul utilizatorului,ns fr consecine prea dramatice. De exemplu. KeyPress duce la apariia pe ecran a irului AAAAA, dac se apas tasta A. Cei mai neplcui virui sunt aceia care sunt programai pentru distrugerea datelor: tergeri, formatri de disc, bruiaj de informaii, modificri n bazele de date. Uneori, viruii atacau dup o lung perioad de somnolen. De exemplu, Golden Gate nu devine agresiv dect dup ce a infectat 500 de programe, Cyber TechB nu a acionat, n schimb, dect pn la 31 decembrie 1993. Morala: utilizatorul avizat(i pit) trebuie s aib grij ca periodic s ruleze programe antivirus. n manualul de utilizare al MS-DOS, Microsoft mparte viruii n trei categorii:

Virui care infecteaz sistemul de boot. Virui care infecteaz fiierele. Virui Cal Troian. Ultimii sunt acele programe care aparent au o numit ntrebuinare, dar sunt nzestrai cu proceduri secundare distructive. Totui, o clasificare mai amnunit a viruilor ar arta astfel: Armai o form mai recent de virui, care conin proceduri ce mpiedic dezasamblarea i analiza de ctre un antivirus, editorii fiind nevoii s-i dubleze eforturile pentru a dezvolta antidotul (ex: Whale) Autoencriptori nglobeaz n corpul lor metode de criptare sofisticate fcnd detecia destul de dificil. Din fericire, pot fi descoperii prin faptul c ncorporeaz o rutin de decriptare( ex: Cascade) Camarazi sunt avantajai de o particularitate a DOS-ului, care execut programele .com naintea celor .exe. Aceti virui se ataeaz de fiierele .exe,apoi le copiaz schimbnd extensia n .com. Fiierul original nu se modific i poate trece de testul antiviruilor avansai. Odat lansat n execuie fiierul respectiv,ceea ce se execut nu este fiierul .com, ci fiierul .exe infectat. Acest lucru determin propagarea viruilor i la alte aplicaii.Furiai(stealth) aceti virui i mascheaz prezena prin deturnarea ntreruperilor DOS. Astfel, comanda dir nu permite observarea faptului c dimensiunea unui fiier executabil a crescut, deci este infectat. Exemplu:512,Atheus,Brain, Damage, Gremlin,Holocaust,Telecom. Infecie multipl cu civa ani n urm viruii erau repartizai n dou grupuri bine separate: cei care infectau programele i cei care operau asupra sectorului de boot i a tebelelor de partiii. Viruii cu infecie multipl, mai receni, pot contamina ambele tipuri de elemente. Exemplu: Authax, Crazy Eddie,Invader, Malaga. Polimorfi sunt cei mai sofisticai dintre cei ntlnii pn acum. Un motor de mutaii permite transformarea lor n mii de variante de cod diferite. Exemplu: Andre,Cheeba,Dark Avenger,Phoenix 2000, Maltese Fish. Virui ai sectorului de boot i ai tabelelor de partiii ei infecteaz una i/sau cealalt dintre aceste zone critice ale dischetei sau hard disk-ului. Infectarea sectorului de boot este periculoas, deoarece la pornirea calculatorului codul special MBP(Master Boot Program) de pe dischet se execut nainte de DOS. Dac acolo este prezent un virus, s-ar putea s nu fie reperabil. Tabelele de partiii conin informaii despre organizarea structurii discului, ele neputnd fi contaminate, ci doar stricate. Majoritatea antiviruilor actuali pot detecta o infecie n MBP, propund, n general, suprimarea MBP-ului i nlocuirea lui cu o form sntoas(de exemplu cum procedeaz Norton Antivirus). Exemplu: Alameda,Ashar,Bloodie,Cannabis,Chaos. Modul de infectare Mecanismul de contaminare clasic const n rmnerea rezident n memoria intern a secvenei purttoare a virusului, ascuns ntr-un program care se execut. Programul modificat prin aciunea virusului, cu secvena de virus ncorporat, este salvat pe discul care a fost lansat, constituind la rndul su un nou purttor de virus. Virusarea este relativ rapid, avnd ca efect infectarea tuturor programelor lansate n execuie, atta timp ct virusul este rezident n memoria intern. O tehnic mai evoluat de contaminare const n introducerea secvenei de program ce conine virusul, n urma procesului de instalare a unui produs; n momentul instalrii produsului, acestuia i se adaug instruciuni ntr-o secven ce definete un cod de virus. Cele mai vulnerabile fiiere sunt fiierele executabile de tip .exe i .com, deoarece acestea conin programele n form executabil, care se ncarc n memoria intern pentru execuie, unde se localizeaz iniial virusul; de asemenea, pentru a ptrunde n zonele protejate ale sistemului, virusul are nevoie de drepturi de acces pe care nu la are, n timp ce programul pe care s-a implantat i mai gireaz aceste drepturi, fr ca utilizatorul s aib cunotin de acest lucru.

Modaliti de protecie. Programe antivirus Odat ajuns n calculator, pentru a-i ndeplini n mod eficient scopul, virusul acioneaz n dou etape. n prima faz de multiplicare, virusul se reproduce doar, mrind astfel considerabil potenialul pentru infectri ulterioare. Din exterior nu se observ nici o activitate evident. O parte a codului de virus testeaz constant dac au fost ndeplinite condiiile de declanare(rularea de un numr de ori a unui program, atingerea unei anumite date de ctre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obinuite). Urmtoarea faz este cea activ, uor de recunoscut dup aciunile sale tipice: modificarea imaginii de pe ecran, tergerea unor fiiere sau chiar reformatarea hard disk-ului. Pe lng fiierele executabile sunt atacate i datele de baz. Deii viruii au nevoie de o gazd pentru a putea supravieui, modul de coexisten cu ea este diferit de la un virus la altul. Exist virui parazii care nu altereaz codul gazdei, ci doar se ataeaz. Ataarea se poate face la nceputul, la sfritul sau la mijlocul codului gazd, ca o subrutin proprie. n contrast cu acetia, alii se nscriu pur i simplu pe o parte din codul gazdei. Acetia sunt deosebit de periculoi, deoarece fiierul gazd este imposibil de recuperat. Pentru ca virusul s se extind, codul su trebuie executat fie ca urmare indirect a invocrii de ctre utilizator a unui program infectat, fie direct, ca fcnd parte din secvena de iniializare. O speran n diminuarea pericolului viruilor o constituie realizarea noilor tipuri de programe cu protecii incluse. Una dintre acestea const n includerea n program a unei sume de control care verific la lansare i blocheaz sistemul dac este infectat. n perspectiv, se pot folosi sisteme de operare mai puin vulnerabile. Un astfel de sistem de oprerare este UNIX, n care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului. Viruii care se nmulesc din ce n ce mai mult, prolifereaz datorit urmtorilor factori: Punerea n circulaie prin reele internaionale a unei colecii de programe sursa de virui, pe baza crora s-au scris mai multe variante de noi virui. Apariia i punerea n circulaie, cu documentaie sursa complet, a unor pachete de programe specializate pentru generarea de virui. Dou dintre acestea sunt Mans VCL (Nuke) i PC-MPC de la Phalcon/Skim; ambele au fost puse n circulaie n 1992. Distribuirea n 1992, via BBS-ului bulgar, a programului MTE - main de produs mutaiiconceput de Dark Avenger din Sofia. Acest program este nsoit de o documentaie de utilizare suficient de detaliat i de un virus simplu, didactic. Link-editarea unui virus existent cu MTE i un generator de numere aleatoare duce la transformarea lui ntr-un virus polimorf. Virusul polimorf are capacitatea de a-i schimba secvena de instruciuni la fiecare multiplicare, funcia de baz rmnnd nealterat, dar devenind practic de nedectat prin scanare. Rspndirea BBS-urilor (Bulletin Board System), care permit oricrui utilizator PC dotat cu un modem s transmit programe spre i dinspre un calculator. Un sistem este lipsit de virui,dac n memorie nu este rezident sau ascuns nici un virus,iar programele care se ruleaz sunt curate. n aceast concepie, programul antivirus vizeaz att memoria calculatoarelor, ct i programele executabile. Cum n practic nu poate fi evitat importarea de fiiere virusate, metodele antivirus caut s asigure protecie n anumite cazuri perticulare,i anume: la un prim contact cu un program, n care se recunoate semntura virusului, se folosete scanarea. Aceasta const n cutarea n cadrul programelor a unor secvene sau semnturi caracateristice viruilor din biblioteca programului de scanare; dac programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de control. Aceste sume constituie o semntur a programului i orice modificare a lui va duce la o modificare a sumei sale de control; n calculator exist o serie de programe care nu se modific, reprezentnd zestrea de soft a calculatorului, care se protejeaz pur i simplu la scriere.

Scanarea se aplic preventiv la prelucrarea fiierelor din afara sistemului, deci este util n faza primar de rspndire a viruilor. Ea poate fi salvatoare, chiar dac se aplic ulterior (de pe o dischet sistem curat), n faza activ, deoarece n numeroase cazuri poate recupera fiierele infectate. Concluzii: aria de aciune; memoria i fiierele de interes; protecia se manifest la primul contact cu orice fiier; permite dezinfectarea; nu detecteaz virui noi. Orice virus nou trebuie introdus n lista de virui a programului de scanare; timpul de scanare crete odat cu creterea numrului de virui cutai i cu numrul de fiiere protejate; exist alarme false, dac semntura virusului este prea scurt; folosete c resurs memoria calculatorului; opereaz automat (ca un TSR). Sumele de control sunt calculate cu polinoame CRC i pot detecta orice schimbare n program, chiar dac aceasta const numai n schimbarea ordinii octeilor. Aceasta permite blocarea lansrii n execuie a programelor infectate, chiar de virui necunoscui, dar nu permite recuperarea acestora. Metoda este deosebit de util n faza de rspndire a viruilor, orice fiier infectat putnd fi detectat. n faza activ, ns metoda este neputicioas. Programele de protecie programe antivirus- au rolul de a realiza simultan urmtoarele activiti: prevenirea contaminrii; detectarea virusului; eliminarea virusului, cu refacerea contextului iniial; n general, exist dou categorii de programe antivirus: programe care verific fiierele pentru a descoperi texte neadecvate sau semnturi de virui recunoscui; programe rezidente n memoria intern, care intercepteaz instruciunile speciale sau cele care par dubioase. n categoria programelor de verificare se include cele de tip SCANxxx, unde prin xxx s-a specificat numrul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108, SCAN200. Aceste programe verific nti memoria intern i apoi unitatea de disc specific, afind pe monitor eventuali virui depistai i recunoscui n versiunea respectiv. Dup aceast verificare, utilizatorul va ncerca eliminarea virusului depistat, prin intermediul programelor CLEARxxx, prin specificarea numelui virusului; de remarcat c, folosind acest program, nu exist certitudinea curirii viruilor, datorit fie a nerecunoaterii acestora, fie a localizrii acestora n locuri care nu pot fi ntotdeauna reperate.

Diana Mihic