\

Virus vs. Antivirus

\
CE ESTE UN VIRUS ?

Un virus de calculator este un program proiectat sa se replice si sa se imprastie, infectand
cat mai multe calculatoare, fara ca utilizatori sa realizeze acest lucru .
Virusi se imprastie atasandu-se de alte programe, fisiere de tipul EXE sau COM,
documente WO!, EXCE", c#iar si $"% sau care pot sa infecteze sectorul de &oot al
discului. Cand se lanseaza in e'ecutie un fisier infectat sau cand porneste calculatorul de
pe un disc sau o disc#eta virusata, se lanseaza si virusul in e'ecutie . (desea, virusul
ramane rezident in memoria calculatorului, pentru a putea infecta urmatorul program
lansat in e'ecutie sau urmatoarea disc#eta accesata .
Virusii periculosi au a&ilitatea de a e'ecuta actiuni in calculator . )n timp ce unele din
aceste actiuni sunt doar deran*ante +cum ar fi afisarea unui mesa* la o anumita data sau ca
raspuns la o anumita actiune a utilizatorului calculatorului,, e'ista virusi care pot distruge
fisiere de date, documnete sau c#iar calculatorul.
VIRUSI IN FAZA INCIPIENTA

-otul a inceput in ./01 ,atunci a avut loc prima atestare a unui virus . !oi frati
pa2istanezi, 3asit si (m*ad, au constatat ca sectorul &oot al unei disc#ete contine un cod
e'ecuta&il si ca acesta este rulat de fiecare data cand se porneste calculatorul utilizand o
disc#eta in drive-ul ( .
Ei au o&servat ca pot inlocui acest cod cu un program propriu, care poate fi un program
rezident in memorie si care poate instala o copie a lui pe orice disc#eta ce este accesata in
orice 4drive5.
(u numit acest program virus . )nceputul era modest, deoarece virusul infecta doar
disc#etele de 617 23 .
)n ./08, programatorii de la Universitatea din !ela9are au constatat ca au acest virus
cand au vazut etic#eta 4c 3rain5 pe o disc#eta . -ot ce facea el era sa se autocopie si punea
o etic#eta de volum pe disc#eta.
)n anul ./01, un programator pe nume alf 3urger a a*uns la concluzia ca un fisier
putea fi conceput astfel incat sa se copieze pe el insusi, prin atasarea unei copii a lui la un
alt fisier . El a scris o demonstratie a acestui efect, pe care a numit-o V)!EM +Virus
!emonstration, si a distri&uit-o la conferinta pe tema virusilor C#aos Computer Clu&, in
luna decem&rie a acelui an . V)!EM ar fi infestat orice fisier COM . !in nou pagu&ele
erau destul de nesemnificative . (cest fapt a atras totusi atata interes, incat alf 3urger a
fost rugat sa scrie o carte .
)n aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . :ranz
;9o&oda a fost primul care a remarcat faptul ca acest virus era raspandit printr-un
program numit C#arlie si s-a facut multa pu&licitate in *urul acestei descoperiri . alf
3urger a o&tinut o copie a acestui virus si i-a dat-o unui prieten, 3erdt :i', care l-a
dezasam&lat +a fost pentru prima oara cand cineva a dezasam&lat un virus, . 3urger a
\
inclus aceasta dezasam&lare in cartea sa, dupa ce a scos cateva parti, pentru a face virusul
mai putin periculos si pentru a diminua pagu&ele pe care le producea . Efectul unui virus
de tipul celui din Viena este de a determina un fisier din opt sa re&ooteze calculatorul
+virusul copiaza primi cinci octeti de cod, < 3urger +poate :i', a inlocuit acest cod de
re&ootare cu cinci spatii . Efectul era ca fisierele copiate &loca calculatorul, in loc sa-l
re&ooteze .
)n ./08, la Universitatea din "e#ig#, =en van W>2 a realizat un virus cunoscut su&
numele de "e#ig# . (cesta a fost un model e'trem de nereusit - nu era prevazut sa se
raspandeasca in afara universitatii, pentru ca infecta doar COMM(?!.COM si crea
multe pagu&e gazdei, dupa numai patru reproduceri .
)n aceasta perioada, la -el (viv, un alt programator facea e'periente . %rimul sau virus a
fost numit ;uriv-7.+cuvantul virus scris invers, . Era un virus rezident in memorie , ce
putea sa infecteze orice fisier COM @ o strategie de infectare mult mai &una decat
strategiile utilizate de virusul vienez, caci ducea la infectarea tuturor fisierelor de pe toate
4 drive-urile5 si din toate directoarele . Cel de-al doilea virus al sau ;uriv-7A infecta doar
fisierele EXE, dar a fost primul de acest fel din lume . Cea de-a treia incercare ;uriv-76,
un virus ce ataca atat fisierele EXE, cat si cele COM . ( patra incercare a sa s-a raspandit
in intreaga lume si s-a numit Berusalem . )n fiecare vineri .6, in loc sa infecteze fisierele
care rulau, acesta le stergea .
-ot in acea vreme, un student de la Universitatea din Wellington, ?oua Ceelanda, a
gasit o cale foarte simpla de a crea un virus foarte eficient . O singura data din opt, cand
se &ooteaza de pe o disc#eta infectata, virusul se declanseaza si pe monitor aparea
mesa*ul 4%C-ul tau este acum impietrit5 de unde si numele virusului +;-O?E!,. Virusul
in sine avea dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in
memorie a devenit cel mai raspandit virus din lumea intreaga . Virusul original se
numeste acum ;toned.;tandard.( , fiind si astazi in topul celor mai raspanditi virusi .
)n )talia, la Universitatea din -orino, un programator a scris si el un virus de sector
&oot . !aca discul era accesat, din *umatate in *umatate de ora virusul iti afisa o minge
miscatoare pe ecran +&ouncing &all, . Virusul avea un defect ma*or @ nu putea sa ruleze
doar pe calculatoarele 0701 sau 0700, pentru ca folosea o instructiune care nu functiona
pe c#ipuri mai comple'e .
-ot in anul ./08, un programator german a scris un virus foarte destept numit @
Cascade +dupa literele cazatoare pe care le afisa, . Cea mai mare parte a virusului era
necriptata, lasand doar o mica parte necodata, curata, pentru a putea decoda restul cu ea .
ostul acestui mecanism nu a fost destul de clar, dar in mod cert ingreuna recuperarea
fisierelor infectate si reducea o&tiunile de alegere a sirului de cautare doar la primi cativa
octeti . Cascade tre&uia sa verifice si 3ios-ul, si daca ar fi gasit un cop>rig#t )3M ar fi
stopat procesul de infectare . (ceasta parte a codului nu a functionat . (utorul a emis la
putin timp dupa aceea o noua versiune a virusului, de .78D octeti in loc de .87., cu
scopul de a corecta aceasta greseala . !ar si noua versiune avea o scapare E nu era in stare
sa detecteze 3ios-urile )3M .
\
!intre acesti virusi timpurii doar ;tonsd , Cascade si Berusalem au rezistat pana in
zilele noastre .

COMERT ANTIVIRUS
./00 este anul in care au aparut primi comercianti de antivirus, pe care le vindeau la
preturi foarte reduse +F-.7 U;!, . Unele firme au incercat, ocazional, sa se propulseze,
dar nimeni nu platea &ani seriosi pentru o potentiala pro&lema . (stfel, s-a dat o sansa
virusilor ;toned, Cascade si Berusalem de a se raspandi, fara a fi descoperiti .
-otusi, compania )3M a decis ca tre&uie sa ia in serios virusii, dupa ce a avut parte de o
epidemie de virusi de tip Cascade la "e#ulpe si s-a gasit in situatia neplacuta de a-si
anunta clientii ca s-ar putea sa fi fost infectati . !e fapt, nu a fost o pro&lema foarte
serioasa dar, din acel moment, )3M a luat pro&lema in serios si, drept rezultat, la $ig#
)ntegrit> Computing "a&orator> din Gor2to9n s-a decis sa se inceapa cercetarile in acest
domeniu .
"a sfarsitul lui ./00 au avut loc aproape simultan mai multe evenimente E o epidemie
mare de Berusalem intr-o institutie financiara < al doilea @ o firma &ritanica numita ;H; a
tinut primul seminar pe tema virusilor, seminar care a e'plicat in premiera ce este un
virus si cum lucreaza el < al treilea @ a avut loc epidemia de 4Vineri .65 . Un lucru era
clar pentru toti E instituti financiare, grupurile academice si persoanele fizice ar putea cu
usurinta sa faca fata unei epidemii, daca ar avea uneltele necesare . -ot ce tre&uia era un
detector eficient de virusi, care nu era insa disponi&il . Ca atare, a fost creat primul (nti
Virus -ool2int .
REVOLUTIA VIRUSILOR

)n ./0/, un scotian a contactat cercetatori din (nglia si le-a comunicat ca a gasit un
virus in #ard dis2-ul sau . El a mentionat ca se numeste !atacrime si ca era ingri*orat ca
se va declansa din nou pe data de .6 luna viitoare . Cand virusul a fost dezasam&lat, s-a
constatat ca in orice zi dupa octom&rie el declansa o formatare lo9 level a cilindrului
zero de pe #ard dis2, care determina pe cele mai multe #ard dis2uri eliminarea ta&elei de
alocare a fisierelor si lasa utilizatorul fara date .
)n acelasi timp, afisa numele virusului !atacrime. ( fost pu&licata o analiza a efectelor
virusului dar s-a constata ca era vor&a, de fapt, de un alt virus, nerezident in memorie .
)n (merica oameni au inceput sa-l numeasca 4Colum&us !a> Virus 4 +.A octom&rie, si
s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel osu
a descoperit (merica, ci Colum&. ;ingurul leac pentru a elimina !atacrime era de a rula
un detector .
)n luna iulie, companiile scotiene au inceput sa intre&e )3M daca virusii sut o
amenintare serioasa . !atacrime nu e'ista poate, dar e'ista posi&ilitatea ca o firma sa se
infecteza cu Berusalem, Cascade sau ;toned . 4Ce face )3M-ul impotriva acestei
\
amenintari I5 , au intre&at ei .)3M detinea un program antivirus, insa era folosit doar
pentru uz intern . )3M avea o dilema Edaca nu oferea acest soft9are clientilor si daca pe
.6 octom&rie o serie de calculatoare ar fi cazut, reputatia sa avea de suferit .
)n septem&rie ./0/, )3M a scos pe piata impreuna cu o scrisoare prin care ei e'plicau
clientilor despre ce era vor&a . .6 octom&rie a cazut intr-o vineri, asa ca a fost un
eveniment du& @ Berusalem si !atacrime . )n ;U(, !atacrime a fost e'agerat si confundat
cu unul care nu este atat de periculos ca acesta . )n "ondra, o>al ?ational )nstitute for
t#e 3lind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de
cercetare, reprezentand luni intregi de munca . (cest eveniment a fost investigat si se
inregistrase intr-adevar o mica eruptie de Berusalem si cateva fisiere usor de inlocuit au
fost sterse .
DUPA 1990
Mar2 Was#&urn a analizat in .//7 virusul Viena si a creat pe &aza lui primul virus
polimorf . )deea virusilor sai +numiti .A17, VA%.,VA%A,VA%1, era ca intreg virusul era
criptat si ca e'ista un descriptor la inceputul sau . !ar descriptorul putea sa ai&a o gama
larga de forme si, in primi virusi, cel mai lung sir de cautare posi&il era doar de doi octeti
+VA%1 a ca&orat acest prag pana la octet , . %entru a detecta acest virus, era nevoie de
scrierea unui algoritm care ar fi aplicat teste logice fisierului si ar fi decis daca octetii la
care se uita erau unii dintre posi&ilii descriptori .
(u aparut virusii !ar2 (venger care au introdus doua idei noi . %rima idee era acea
de 4infector rapid5 . )n cazul acestora daca virusul era in memorie, atunci simpla
desc#idere a unui fisier pentru citire ducea la infectare . $ard dis2-ul este infectat foarte
repede . Cea de-a doua idee noua in acest virus a fost cea a efectelor sale su&ite E
!ar2(venger . .077 suprascrie ocazional un sector de pe #ard dis2 . !aca nu se o&serva
acest lucru intr-o anumita perioanda de timp, se face un &ac2-up al fisierelor corupte si,
cand este refacut &ac2-up-ul, datele sunt de nefolosit .
"a sfarsitul anului .//7, cercetatorii antivirus au a*uns la concluzia ca tre&uie sa fie
mult mai organizati, asadar a luat nastere in $am&urg E)C( +European )nstitute for
Computer (ntivirus esearc#,, in decem&rie .//7 .
"a vremea cand a fost creat E)C( e'istau apro'imativ .F7 de virusi . )n .//. pro&lema
virusilor a atras marile companii E ;>mantec a lansat ?orton (nti Virus in decem&rie
.//7, iar Central %oint a lansat C%(V in aprilie .//. . (cesta a fost repede urmat de
X-ree, :ift# Jeneration si altii . )n decem&rie .//7 erau apro'imativ A77-677 de virusi,
in decem&rie .//. erau .777. )n zilele noastre apar zilnic apro'imativ .77 de virusi, deci
milioane pe an . din A-6 milioane pe an doar A-6 virusi pot face pro&leme serioase in lume
!e cand au aparut virusii companiile au pierdut miliarde de dolari . )n A77. pierderi de
.A miliarde , in A77A pierderi de AF de miliarde iar in A776 @ FF miliarde . %e A77D se
estimeaza o suma de .77 miliarde . )n prezent cel mai titrate si cele mai &une antivirusuri
sunt ?orton (ntivirus si 3it !efender .