ANTIVIRUS

VIRUSI:
Sunt microprograme greu de depistat,ascunse in alte
programe,care asteapta un moment favorabil pentru a provoca defectiuni ale
sistemului de calcul(blocarea acestuia,comenzi sau mesaje neasteptate,alte
actiuni distructive). Se poate aprecia ca un virus informatic este un
microprogram cu actiune distructiva localizat in principal in memoria interna.
CLASIFICARE:
1. In forma cea mai generala virusii se impart in:
- Virusi hardware: mai rar intalniti,acestia fiind de regula, livrati o data
cu echipamentul.
- Virusi software
2. Din punct de vedere al capacitatii de multiplicare,virusii se impart in
doua categorii:
- Virusi care se reproduc,infecteaza si distrug
- Virusi care nu se reproduc,dar se infiltreaza in sistem si provoaca
distrugeri lente,fara sa lase urme(Worms).
3. In functie de tipul distrugerilor in sistem se disting:
- Virusi care provoaca distrugerea programului in care sunt inclusi
- Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul
de calcul; se manifesta prin incetinirea vitezei de lucru,blocarea
tastaturii,reinitializarea aleatorie a sistemului, afisarea unor mesaje
sau imagini nejustificate
- Virusi cu mare putere de distrugere,care provoaca incideante pentru
intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de
pe hard disk, modificarea continutului directorului radacina,alterarea
integrala si irecuperabila a informatiei existente
In manualul de utilizare al MS-DOS,Microsoft imparte virusii in trei
categorii:
-

Virusi care infecteaza sistemul de boot

Virusi care infecteaza fisiere
Virusi Cal Troian

Ultimii sunt acele programe care aparent au o numita intrebuintare,dar sunt

inzestrati cu proceduri secundare distructive.

Totusi, o clasificare mai amanuntita a virusilor ar arata astfel:

-

Armati o forma mai recenta de virusi,care contin proceduri ce

impiedica dezasamblarea si analiza de catre un antivirus, editorii fiind
nevoiti sa-si dubleze eforturile pentru a dezvolta antidotul (ex:
Whale)
Autoencriptori inglobeaza in corpul lor metode de criptare sofisticate
facand detectia destul de dificila. Din fericire, pot fi descoperiti prin
faptul ca incorporeaza o rutina de decriptare( ex: Cascade)
Camarazi sunt avantajati de o particularitate a DOS-ului, care
executa programele .com inaintea celor .exe. Acesti virusi se ataseaza
de fisierele .exe,apoi le copiaza schimband extensia in .com. Fisierul
original nu se modifica si poate trece de testul antivirusilor avansati.
Odata lansat in executie fisierul respectiv,ceea ce se execua nu este
fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea
virusilor si la alte aplicatii
Furisati(stealth) acesti virusi isi mascheaza prezenta prin deturnarea
intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului
ca dimensiunea unui fisier executabil a crescut,deci este infectat .
Exemplu:512,Atheus,Brain, Damage,
Gremlin,Holocaust,Telecom
Infectie multipla cu cativa ani in urma virusi erau repartizati in doua
grupuri bine separate: cei care infectau programele si cei care operau
asupra sectorului de boot si a tebelelor de partitii. Virusii cu infectie
multipla,mai rcenti, pot contamina ambele tipuri de elemente.
Exemplu: Authax, Crazy Eddie,Invader, Malaga,etc
Polimorfi sunt cei mai sofisticati dintre cei intalniti pana acum. Un
motor de mutatii permite transformarea lor in mii de variante de cod
diferite. Exemplu: Andre, Cheeba,Dark Avenger,Phoenix 2000,
Maltese Fish,etc
Virusi ai sectorului de boot si ai tabelelor de partitii ei infecteaza una
si/sau cealalta dintre aceste zone critice ale dischetei sau hard diskului. Infectarea sectorului de boot este periculoasa,deoarece la
pornirea calculatorului codul special MBP(Master Boot Program) de pe
discheta se execuata inainte de DOS. Daca acolo este prezent un virus,
s-ar putea sa nu fie reperabil. Tabelele de partitii contin informatii
despre organizare structurii discului,ele neputand fi contaminate,ci
doar stricate. Majoritatea antivirusilor actuali pot detecta o infectie in
MBP,propund,in general, suprimarea MBP-ului si inlocuirea lui cu o

forma sanatoasa( de exemplu cum procedeaza Norton Antivirus).

Exemplu: Alameda,Ashar,Bloodie,Cannabis,Chaos.

MODUL DE INFECTARE:
Mecanismul de contaminare clasic consta in ramanerea rezidenta in
memoria interna a secventei purtatoare a virusului, ascunsa intr-un program
care se executa. Programul modificat prin actiunea virusului,cu secventa de
virus incorporata,este salvat pe discul care a fost lansat, constituind la randul
sau un nou purtator de virus. Virusarea este relativ rapida, avand ca efect
infectarea tuturor programelo lansate in executie,atata timp cat virusul este
rezident in memoria interna.
O tehnica mai evoluata de contaminare consta in introducerea
secventei de program ce contine virusul,in urma procesului de instalare a
unui produs; in momentul instalarii produsului,acestuia i se a adauga
instructiuni intr-o secventa ce defineste un cod de virus.
Cele mai vulnerabile fisiere sunt fisierele executabile de tip .exe si
.com, deoarece acestea contin programele in forma executabila, care se
incarca in memoria interna pentru executie,unde se localizeaza initial virusul;
de asemenea, pentru a patrunde in zonele protejate ale sistemului, virusul
are nevoie de drepturi de acces pe care nu la are, in timp ce programul pe
care s-a implantat ii mai gireaza aceste drepturi,fara ca utilizatorul sa aiba
cunostiita de acest lucru.
PROGRAME ANTIVIRUS:
Software-urile antivirus sunt programe de computer care incearca sa
Identifice, neutralizeze sau sa elimine software-ul rau. Termenul antivirus
este folosit pentru ca cele mai recente exemple construite exclusiv pentru a
lupta impotriva virusilor de computer; totusi marea majoritate a softwareului antivirus modern este facut pentru a combate gama larga de amenintari,
incluzand viermi,atacuri phishing,rootkits, si Troieni, adesea sunt colectiv
descrisi ca malware.
SCANNER VIRUS:

Software-ul de scanare antivirus, sau un scanner de virusi, este un program

care examineaza toate fisierele din locatii specificate, continuturile de
memorie, sistemul de operare, registrii, comportamentul imprevizibil al
programelor si oriunde este relevant cu intentia de a identifica si inlatura
orice malware. In mod obisnuit sunt folosite doua abordari diferite pentru a
identifica malware,deseori in combinative,
-

Examinarea(scanarea) fisierelor, etc.,de virusi cunoscuti care se

potrivesc cu evidentele dintr-un dictionar de virusi si identificarea
comportamentului suspicios din partea oricarui program care ar putea
indica infectie. Aceasta abordare este numita analiza heuristic, si poate
include captura de date, monitorizarea porturilor si alte metode.

Pentru atinge suces consistent pe termen mediu si lung,abordarea

dictionarului de virusi necesita frecvent descarcarea de intrari actualizate in
dicionarul de virusi.
Softwareul antivirus bazat pe dictionar examineaza in mod obisnuit
fisierele cand sistemul de operare al computerului creaza,deschide, inchide,
sau trimite prin e-mail. In acest fel poate detecta un virus cunoscut imediat
ce-l primeste. Administratorii de sistem pot programa software-ul antivirus sa
examineze(scaneze) toate fisierele din harddiscul computerului dupa un
anumit principiu.
Cu toate ca abordarea dictionarului poate efectiv sa descopere virusi
in circumstantele potrivite, autorii de virusi au incercat sa fie cu un pas
ianintea acelor software-uri scriind virusi oligomorphici,polymorphici si
mai nou metamorphici, care encripteaza parti ale lor sau se modifica, ca o
metoda de a se deghiza, in asa fel incat sa nu se potriveasca cu semnaturile
din dictionarul de virusi.
O tehnica inovatoare pentru neutraliza malware in general este
whitelisting. In loc sa caute doar malware cunoscut, acesta tehnica previne
executarea a tuturor codurilor de computer cu exceptia a celora care au fost
inainte identificate ca fiind de incredere de catre administratorul de sistem.
Urmand acesta abordare,negarea de la sine, limitarile inascute in pastrarea
actualizarii semnaturilor virusilor este evitata. Adtional, aplicatiile de
computer care nu sunt dorite de adminstratorul de sistem sunt impiedicate
sa pornesca din moment ce ele nu se afla pa whitelist. Din moment ce
organizatiile intreprinderilor modern au cantitati mari de aplicatii de
incredere, limitarile in adoptarea acestei tehnici stau in abiliatea
administratorului de sistem pentru a inventaira si a intretine whitelist-ul

aplicatiilor de incredere. Implementari viabile ale acestei tehnici include

unelte pentru automatizarea inventarului si intretinerea procesului de
whitelist.
Comportament suspicios-euristice: Comportamentul suspicios abordeaza,
prin contrast, nu incearca sa identifice virusi cunoscuti, dar in schimb
monitorizeaza comportamentul tuturor programelor. Daca un program
incearca sa scrie date catre un program executabil, de exemplu software-ul
antivirus poate semnala acest comportament suspicos , alerta utilizatorul si
a-l intreba ce sa faca. Spre deosebire de abordarea dictionarului, abordarea
comportamentului suspicios, prin urmare ofera protective impotriva noilor
virusi care nu exista inca in dictionarele de virusi. Pe de alta parte , poate de
asemenea sa semnaleze un numar mare de alarme false, si utilizatorii
probabil devin dezinteresati la toate avertismentele. Daca utilizatorul da
click pe acceptpe fiecare dintre avertismente, atunci desigur antivirusul
nu-I da nici un beneficu utilizatorului. Acesta problema s-a inrautatit din 1997
de cand mult mai multe proiectari de programe nemalitioaseau aparut
pentru a modifica alte fisiere .exe fara a privi aceasta problema falsa
pozitiva. Prin urmare, cele mai modern software-uri de antivirus folosesc din
ce in ce mai putin acesta tehnica .
Emulatiea fisierelor-euristice: Unele softuri antivirus folosesc alte tipuri de
analiza euristica. De exemplu, ar putea incerca sa emuleze inceputul codului
fiecarui executabil pe care il invoca sistemul inante de a transfera controlul
acelui executabil. Daca un program pare sa foloseasca un cod
automodificator sau apare ca un virus(daca incerca imediat sa gaseasca alte
executabile,de exemplu), se poate presupune ca un virus a infectat
executabilul, de altfel aceasta metoda ar putea rezulta in multe alarme false.
Sandbox: Inca o metoda de detectare include folosirea unui sandbox. Un
sandbox emuleaza sistemul de operare si ruleaza executabile in acesta
simulare. Dupa ce programul a terminat, software-ul analizeaza sandboxul
pentru orice schimbari care ar putea indica un virus. Din cauza problemelor
de performanta, acest tip de detectare are loc in mod normal in timpul
scanarii la cerere. Deasemenea acesta metoda ar putea esua din moment ce
un virus poate fi nondeterministic si a faca lucruri diferite,incluzand a nu face
nimic, de fiecare data este rulat-deci va fi imposibil sa-l detecteze de la o
singura rulare. Unele scanere de virusi pot avertiza utilizatorul daca un fisier
este predispus la un virus pe baza tipului de fisier.

In afara de softul antivirus, prevenirea infectiei poate fi realizata

prin alte metode cum ar fi implemntarea unui firewall, sau virtualizarea
sistemului. Pe de alta parte numai softurile antivirus sunt facute special
pentru prevenirea infectiilor cu virusi cunoscuti.
Network Firewall: Firewall-urile nu lasa programele cunoscute si procesele de
internet sa aiba acces la sistemul protejat; Nu sunt sisteme antivirus si nu fac
nici o incercare in a identifica sau a inlatura ceva, dar protejaza impotriva
infectiei si limiteaza activitatea oricarui soft malitios care e prezent prin
blocarea cererilor care vin si pleaca inr-un anumit port TCP/IP. De altfel este
facut sa se ocupe de amenintarile mari din sistem care vin din retea in
sistem.
Virtualizarea sistemului: Acesta metoda de avertizare este realizata de fapt
de virtualizarea sistemului in lucru, facand asta , actualul sistem se
protejeaza de a fi alterat de orice infectie incercata de un virus. De fapt
previne orice incercare de alterare al intregului sistem sub virtualizare. Cu
toate acestea orice avarie a datei neprotejate (sau nevirtualizate) va
ramane.