Curs 5 - Malitiozitate IT

Maliiozitate IT
BU
TE
SC
Viruii informatici reprezint una dintre cele mai evidente i mai prezente ameninri la adresa
securitii datelor din cadrul firmelor i care necesit luarea de msuri imediate. Detectarea viruilor
informatici i anihilarea acestora reprezint prima cerin n asigurarea securitii calculatoarelor.
Termenul de virus informatic este att de bine cunoscut ca termen nct atunci cnd se face referire
la acesta se folosete doar denumirea de virus. n multe cazuri se face ns confuzie ntre diferitele
tipuri de programe maliioase, numindu-le pe toate virus.
Noiunea de virus informatic este general. Aceasta descrie un numr de diferite tipuri de
atac asupra calculatoarelor. Un virus reprezint un cod maliios de program care se autocopiaz
n alte programe i pe care le modific. Un cod maliios va lansa n execuie operaii care vor avea
efect asupra securitii datelor din calculator. Un cod maliios mai este ntlnit i sub denumirea de
cale de atac, program vagabond, vandalizator. Codul maliios va contribui la identificarea virusului
crend aa-numita semntur a virusului.
Pentru c existena unui cod maliios n sistemele de calcul are aciune diferit prin nsi
construcia codului, este de preferat ca atunci cnd facem referire la aceste programe maliioase
s se in cont de gruparea acestora n urmtoarele categorii:
virui;
viermi;
Cai Troieni;
bombe;
ci ascunse (Trap Doors / Back Doors);
spoofer-e;
hoax (pcleli);
alte tipuri de programe maliioase.
Un program maliios poate s aib, i sunt foarte multe astfel de cazuri, comportamentul mai
multor programe maliioase (virui). n aceast categorie se nscriu viruii hibrizi. Datorit acestui
comportament este greu de definit crei categorii i aparin acetia. n lucrare o s ntlnim acelai
program maliios care are comportamente multiple.
Un virus este un fragment de cod program care se autocopiaz ntr-un mare numr de
programe i pe care le modific. Un virus nu este un program independent. Un virus i execut
codul program numai atunci cnd programul gazd, n care se depune, este lansat n execuie.
Virusul se poate reproduce imediat, infectnd alte programe, sau poate atepta, n funcie de cum a
fost programat, o anumit dat sau un eveniment la care s se multiplice. Virusul Vineri 13 (Friday
13th virus) se lansa n execuie la orice zi din an care era vineri i avea numrul 13.
Un virus va infecta discul flexibil, discul dur, CD-ROM-ul, casetele i benzile magnetice i
memoria intern. De aici se poate rspndi cu ajutorul suporturilor de memorie portabile (disc
flexibil, CD-ROM, casete i benzi magnetice, pen sau flash drive-uri), conexiune la reea i modem.
Foarte muli virui s-au rspndit cu ajutorul discurilor flexibile.
ntre virui i viermi (alt program maliios) se nasc uneori confuzii. Viruii sunt considerai
distructivi, iar viermii nedistructivi. Un virus altereaz sau distruge datele din calculatorul infectat, n
timp ce un vierme afecteaz buna funcionare a calculatorului.
Un vierme este un program independent. El se reproduce prin autocopierea de la un calculator
la altul prin intermediul reelei n cele mai multe cazuri. Spre deosebire de virus, un vierme nu
BU
TE
SC
altereaz sau distruge datele din calculator, dar poate crea disfuncionaliti n reea prin utilizarea
resurselor acesteia pentru autoreproducere.
Noiunea de vierme informatic a fost introdus pentru prima dat n anul 1975 de ctre
scriitorul de literatur science fiction John Brunner n cartea The Shockwave Rider. Autorul descrie
un program cu numele tapeworm care triete n interiorul computerelor, se multiplic de la
calculator la calculator atta timp ct exist o conexiune la reea1.
John Schoch i Joh Hupp, cercettori la Xerox Palo Alto Research Center, dezvolt la
nceputul anilor 80 primul program experimental de tip vierme. Acest program era destinat s se
multiplice de la un calculator la altul. Cei doi cercettori descriau viermele n felul urmtor: Un
vierme este un program care se gsete ntr-unul sau mai multe calculatoare... Programul dintr-un
calculator poate fi descris ca un segment al viermelui... Segmentele viermelui rmn n comunicare
unele cu altele; dac un segment al viermelui moare, segmentele rmase trebuie s gseasc un alt
calculator, s-l iniializeze i s-i ataeze un vierme. Pe msur ce segmentele se unesc i apoi
prsesc calculatorul, viermele pare c se mut prin reea.
Un Cal Troian (uneori se folosete denumirea de troian) este un fragment de cod care se
ascunde n interiorul unui program i care va executa o operaie ascuns. Un Cal Troian reprezint
cel mai utilizat mecanism pentru a disimula un virus sau un vierme.
Ideea folosirii de astfel de programe vine din mitologie. n timpul rzboiului Troian, grecii, sub
conducerea lui Odiseu, au atacat fr succes cetatea Troia. Atunci, acetia au construit un cal mare
din lemn n care au introdus soldai greci i pe care l-au lsat n dar la poarta cetii. Troienii au adus
darul n cetate. Noaptea grecii au ieit din cal i au deschis porile pentru ceilali soldai care au
cucerit cetatea.
Un Cal Troian se va ascunde ntr-un program cunoscut sau o funcie apelabil, care nu creeaz
suspiciuni utilizatorului, dar care va lansa alte operaii ilegale. Utilizatorul poate s lanseze n execuie un
program aparent inofensiv, dar care are ncorporat n el un cod neautorizat. Funciile neautorizate
realizate de codul program inclus pot s lanseze un virus sau un vierme.
Termenul de Cal Troian(Troian Horse)2 a fost folosit pentru prima dat de Dan Eduards de
la NSA.
Cazul clasic de atac cu un Cal Troian este descris de Dennis M. Ritchie3. Un atacator va crea
un program care captureaz parolele (password grabber). Acesta va afia pe ecranul terminalului
prompterul: login:. O dat introduse contul i parola, acestea sunt preluate de programul care conine
Calul Troian i copiate sau trimise la o destinaie de unde vor putea fi citite. Pe ecran se afieaz
mesajul login incorrect. n timp ce utilizatorul, creznd c a introdus greit contul sau parola,
reintroduce combinaia tiut, programul care conine calul Troian se oprete din execuie i urmele
sunt terse. n acest fel au fost capturate contul i parola utilizatorului fr ca acesta s bnuiasc
ceva.
Exist o categorie special de troieni care sunt creai ca instrumente de distrugere. n aceast
categorie se include Calul Troian PC Cyborg. Acesta se disimuleaz ntr-un program care ofer
informaii despre virusul informatic AIDS. Dup ce se instaleaz n sistem, modific fiierul
AUTOEXEC.BAT i va contoriza de cte ori se pornete sistemul infectat. Dup un numr
predefinit de porniri, de regul 90, troianul ascunde directoarele i cripteaz numele fiierelor de pe
1
John Brunner, The Shockwave Rider, Ballantine, New York (NY), 1975.
Morie Gasser, Building a Secure Computer System, New York (NY), Van Nostrand Reinold, 1988. Donn B. Parker,
The Troian Horse Virus and Other Crimoids, ACM Press, Adisson Wesley, Reading (MA), 1990.
3
Denis M. Ritchie, On the Security of UNIX, UNIX Manager Manual, 4.3 BSD, University of California, Berkeley
(CA), 1986.
2
BU
TE
SC
disc. Un alt tip de troian, distribuit prin reeaua Usenet i prin e-mail, denumit AOLGOLD, va
instala dintr-o arhiv un program care se vrea o mbuntire a Usenet, dar care de fapt va terge de
pe discul dur o serie de directoare, printre care:
C:\dos; C:\windows; C:\windows\system.
Exist cai troieni care nu las urme ale prezenei lor, nu creeaz distrugeri detectabile, pot s
stea nelimitat n programe i pot s se autodistrug nainte de a fi detectai.
O bomb este un tip de Cal Troian folosit cu scopul de a lansa un virus, un vierme sau un alt tip
de atac. O bomb poate fi un program independent sau o bucat de cod care va fi instalat de un
programator. O bomb se va activa la o anumit dat sau atunci cnd anumite condiii sunt ndeplinite.
Tehnic, exist dou tipuri de bombe: de timp i logice. O bomb de timp se va activa atunci cnd
se scurge o anumit perioada de timp de la instalare sau cnd se atinge o anumit dat calendaristic. O
bomb logic va aciona atunci cnd se ndeplinesc anumite condiii impuse de cel care a creat-o.
Cile ascunse (Trap Doors) sunt mecanisme care sunt create de ctre proiectanii de software
pentru a putea s ptrund n sistemul de calcul ocolind sistemele de protecie. Aceste puncte de
intrare n sistem sunt lsate intenionat de proiectani pentru a putea s testeze i monitorizeze
programele sau n caz de refuz al accesului s poat s depaneze subrutina de acces. Trap doors-urile
sunt folosite n perioada de testare i apoi sunt eliminate cnd programul este livrat ctre utilizator.
Acestea sunt eliminate n totalitate sau parial, dup caz.
n mod normal, un punct de intrare de tip Trap Door este activat de ctre persoana care l-a
creat. Sunt ns i cazuri cnd aceste puncte sunt descoperite i exploatate de persoane ruvoitoare.
Ci ascunse (Back Doors) se pot crea cu ajutorul cailor Troieni. Mecanismul presupune
introducerea n calculatorul-int a unui program care ulterior s deschid ci de acces ctre resursele
acestuia. Caii Troieni sunt cei mai folosii pentru atingerea acestor scopuri.
Spoofer-ele reprezint un nume generic dat unor programe care permit unui utilizator, folosind
anumite iretlicuri, s aib acces la informaiile din sistem. De regul, spoofer-ele, sunt posibile cu
ajutorul mecanismelor Cal Troian care vor activa programe care dau acces la informaii.
Hoax (pclelile) sunt mesaje trimise prin e-mail care conin avertizri false despre un virus
existent i care cer s fie avertizate toate persoanele cunoscute. Uneori aceste avertizri conin i
fiiere ataate care sunt menite, chipurile, s stopeze sau s elimine presupusul virus. Retrimiterea
mesajului la alte destinaii face ca virusul s se multiplice fr ca cel care l-a creat s-l proiecteze s
se multiplice.
Dup cum se constat, nu orice program maliios este virus. Dac vrem s fim riguroi nu
trebuie s mai punem laolalt toate programele, sau codurile de program, care produc pagube.
Pe lng aceste secvene de cod maliios care pot afecta securitatea sistemelor de calcul se mai
ntlnesc i:
bacterii;
obolani;
crabi;
trtoare;
feliatoare de salam.
Bacteriile sunt programe care nu creeaz daune, dar care prin simpl copiere a lor pot s
ncetineasc performanele sistemului. Acesta se pot multiplic n memoria intern sau extern i s
se ajung la o limitare a spaiului.
obolanii reprezint o categorie aparte de programe care se reproduc foarte repede.
Crabii atac cu predilecie monitoarele sistemelor de calcul. Imaginile pe ecranul monitorului

vor fi trunchiate sau ilizibile. Acestea nu produc distrugeri. Se cunosc ns i situaii cnd aceste
programe distrug fizic echipamentele de calcul.
Trtoarele au aceiai structur i acelai comportament ca i viermii.
Feliatoarele taie poriuni mici din date. Un atac de tip salami slice va altera una sau dou
poziii zecimale dintr-un fiier. De exemplu, un astfel de atac va trunchia prin rotunjire n minus un
numr de poziii zecimale din suma salarial a unui angajat. Diferena, ca sum, va fi depus ntr-un
cont al intruderului.
Pentru c toate aceste programe se comport aparent ca un virus biologic, au primit
denumirea generic de virus informatic.
BU
TE
SC
Ca i virusul biologic, virusul informatic are nevoie de o gazd pentru a putea s infecteze, s
se reproduc, s se rspndeasc. Aceasta gazd este format din informaia stocat pe suporturile de
memorie. Majoritatea viruilor infecteaz fiiere program, din aceast cauz poart i denumirea de
virus de fiiere. Atunci cnd acest fiier, purttor de virus, este lansat n execuie de un utilizator care
nu tie de existena infeciei, codul maliios este autoncrcat n memoria intern a calculatorului,
este executat codul, se caut apoi un alt fiier care s fie infectat i se autocopiaz n acesta. Aciunea
unui virus informatic este reprezentat schematic n figura urmtoare (figura 11).
Pasul 1
Pasul 2
Pasul 3
Pasul 4
Programul care
conine virusul
este lansat n
execuie.
Codul virusului
este ncrcat n
memoria intern
(RAM).
Se lanseaz n
execuie codul
virusului.
Virusul se
autocopiaz n
alte programe.
Figura 11. Modul de aciune al unui virus informatic
Virusul se copiaz de la calculator la calculator.

Virusul se activeaz i lanseaz n execuie codul distructiv.
BU
Activarea
TE
Multiplicarea
Virusul este creat.
Crearea
SC
Conceptul de virus informatic a fost introdus pentru prima dat n anul 1949 de ctre pionierul
calculatoarelor John von Newmann n articolul Theory and Organization of Complicated Automata.
Conform articolului respectiv, autorul iniia ideea de program automultiplicator. Ulterior, ideea a fost
preluat, n anul 1950, la Bell Labs, care a fost ncorporat n jocul pe calculator denumit Core War.
n acest joc, participanii lansau organisme n calculatorul mainframe i ncercau s preia controlul
acestuia.
Definiia de virus informatic avea s fie dat mai trziu, n anul 1983, de ctre programatorul
Len Adleman, care a fcut un experiment pe un calculator VAX 11/750 demonstrnd funcionarea
unui virus.
Ca i omologul su biologic, virusul informatic are i el un ciclu de via. Acest ciclu de via
depinde de mai muli factori, printre care: agresivitatea virusului, modalitatea de disimulare a acestuia,
detectarea acestuia, conceperea antidotului i aciunea acestuia. Ca i n via real, informarea corect a
populaiei are un mare aport la eradicarea acestuia i limitarea dezastrelor.
Ciclul de via al unui virus este exemplificat n figura 12:
Detectarea
Virusul este detectat i se ncearc limitarea rspndirii i

limitarea efectelor. Se ncepe studierea virusului.
Asimilarea
Firmele productoare de pachete de programe antivirus

includ semntura virusului n lista de semnturi.
Eradicarea
Se folosesc programe antivirus pentru eliminarea acestuia. n

anumite cazuri, eliminarea se poate face i manual.
Figura 12. Ciclul de via al unui virus

Eforturile depuse pentru detectare, documentare i eradicare se concretizeaz n cheltuieli
financiare care uneori pot fi foarte mari pentru anumite firme. n anumite cazuri nu se mai poate face
nimic. Virusul i-a lansat codul distructiv i s-a multiplicat fr s fie detectat, iar datele nu mai pot
fi recuperate. Fiecare virus poate s creeze un numr mai mare sau mai mic de incidente. De
asemenea, un virus, poate s creeze pagube mai mari sau mai mici. De regul, cu ct sunt infectate
mai multe calculatoare, cu att pagubele sunt mai mari. Exist virui care au un grad de apariie mic,
dar care produc dezastre mari, precum i virui care au un grad de apariie mare, dar produc dezastre
mici.
BU
TE
SC
Viermii internet (Internet Worms) n mod uzual caut o nou gazd i exploateaz golurile de
securitate cunoscute. Exemplele cele mai cunoscute de acest tip de viermi sunt variante de Blaster,
Nachi (Welchia), i variante de OpaServ.
Viruii de e-mail care exploateaz vulnerabilitile programelor de pot electronic cum ar fi
Outlook i Outlook Express, permind culegerea de adrese i trimiterea de mesaje virusate la aceste
adrese, formeaz acea categorie de e-mail-uri numite mass-mailers. n ultima vreme, aceste mesaje
care par a veni de la un prieten continuau s atace cu precdere utilizatorii individuali mai mult dect
firmele.
Se observ o cretere a numrului viruilor de e-mail n ultimul an. Viruii de e-mail standard
difer de cei mass-mail prin faptul c nu provin dintr-o surs cunoscut, nu includ propriul motor
de mail i nu ngreuneaz traficul de e-mail aa de mult.
Cea mai comun cale de propagare a unui virus n cadrul firmei este aceea prin partajarea
(share) reelei. O persoan cu drepturi de administrator va putea s iniieze un atac foarte virulent
folosind opiunea share a reelei.
Conexiunile de tip P2P (point to point), care numr 3 milioane de utilizatori, fac s se
rspndeasc foarte mult numrul de virui prin schimburile de fiiere virusate ntre utilizatori.
n ultima vreme se observ o cretere a numrului viruilor care au posibilitatea de a dezafecta
i chiar de a terge din calculator programele antivirus. Aceste programe, purttoare de virui, poart
denumirea de AVKill (distrugtoare de antivirui). Trebuie amintit aici efectul distrugtor al
diferitelor variante ale virusului W32/Yaha.
Distributed Denial of Service (DDoS) se folosea de tehnologia client-server pentru a concentra
atacul asupra anumitor puncte. Firma Microsoft a fost n ultimul timp inta unor astfel de atacuri.
Bot-Net se folosete de canale IRC pentru a accesa i a prelua controlul asupra calculatorului
int de unde se pot iniia atacuri i de unde se pot prelua informaii.
Viruii care se autoactualizeaz (self-updating) dispun de instruciuni care verific site-urile
Web sau grupurile usenet pentru a instala noi faciliti sau pentru a evita detectarea acestora de ctre
programele antivirus.
Tehnica spoofed-email imit adresa de e-mail a unei persoane i trimite mesaje virusate ca i
cum ar fi de la acea persoan. Mesajele trimise sunt interceptate de programele antivirus care vor
trimite mesaje de avertizare periodice ctre destinatarul real. Acest lucru va avea ca efect
aglomerarea cu mesaje inutile i alarmarea fr motiv a destinatarului care crede c are un virus pe
calculator. Un exemplu de acest fel este W32/SoBig.
Numrul de virui care include i Back Door a crescut semnificativ n anul 2003. Unii dintre
acetia permit ca atacatorul s aib control total asupra calculatorului virusat.
Folosirea larg a programelor de IM fac ca viruii s se foloseasc de acestea pentru o
rpndire rapid.
2.2.2. Categorii de virui informatici i modul lor de aciune
Programele maliioase (coduri maliioase) cu comportament de virui standard pot fi grupate
n mai multe categorii, n funcie de gazda purttoare. ntlnim viruii de:
fiier;
boot;
macro;
script;
e-mail;
Chat i Instant Messaging;
Hoax (pcleal).
Viruii de fiier reprezint cea mai rspndit categorie de virui. Acetia sunt i cei mai
distructivi. Viruii de fiier, numii uneori i virui de program, i depun codul maliios ntr-un fiier
program. Cnd programul respectiv este lansat n execuie virusul se copiaz n memoria intern a
sistemului de calcul i i lanseaz n execuie propriul program de distrugere i de autocopiere.
Trebuie s facem o distincie ntre viruii de fiier care afecteaz fiierele executabile i viruii de
macro care afecteaz fiierele de tip document. Viruii de fiiere i-au fcut apariia n anul 1987, o
dat cu descoperirea la Universitatea Ebraic din Israel a virusului Jerusalem (Ierusalim).
Funcionarea unui virus de fiier este exemplificat n figura 13:
Utilizatorul lanseaz n execuie aplicaia. Acesta nu tie c fiierul
aplicaie este virusat.
Pasul 2
Codul maliios al virusului este ncrcat n memoria intern a

sistemului de calcul. Virusul preia controlul execuiei.
Pasul 3
Virusul se autocopiaz n alte fiiere.
Pasul 4
Virusul lanseaz programul pentru care a fost conceput.
Pasul 5
Programul-gazd este ncrcat n memoria intern.
Pasul 6
Programul-gazd preia controlul execuiei.
TE
SC
Pasul 1
Figura 13. Modul de funcionare al unui virus de fiier
BU
Infectarea fiierului-gazd cu virus poate fi fcut n trei moduri distincte:

prin suprascrierea la nceputul programului-gazd;
prin salt la sfritul programului-gazd;
prin suprascrierea datelor rezultate n urma execuiei programului-gazd.
Virusarea prin suprascrierea la nceputul programului-gazd nu este prea des folosit deoarece,
n acest fel, programul-gazd va funciona anormal pentru c, dup ce se termin secvena de cod a
virusului inserat, se va trece la execuia programului-gazd dintr-o secven care poate s duc la
blocarea execuiei i la crearea de suspiciuni referitoare la buna funcionare a calculatorului.
Acest mod de infectare este exemplificat n figura 14.
Program
nainte de infecie
Start
Stop
Program
Dup infecie
Start
Stop
Virus
Figura 14. Virusarea prin suprascrierea la nceputul programului-gazd
SC
Virusarea prin salt la sfritul programului-gazd presupune ca la nceputul fiierului-gazd s

existe o instruciune de salt necondiionat la sfritul fiierului unde este ataat codul maliios al
virusului. Dup ce se execut codul virusului se face un salt napoi la nceputul programului-gazd. n
acest fel, programul-gazd va funciona fr s se blocheze. Se observ ns, n acest caz, o mrire a
dimensiunii fiierului-gazd (figura 15).
Program
Progra
GOTO VIRUS
TE
nainte de infecie
Start
Stop
Program
Virus
BU
Dup infecie
Start
Stop
RETURN
(revenire i continuare
rulare program)
Figura 15. Virusarea prin salt la sfritul programului-gazd

Virusarea prin suprascrierea datelor rezultate n urma execuiei programului-gazd se face prin
inserarea codului maliios a virusului n zona rezervat datelor fr s se afecteze n acest fel
funcionarea programului. Acest mod de virusare este cel mai greu de detectat, deoarece nu afecteaz
n dimensiune sau coninut programul-gazd (figura 16).
Date
Program
nainte de infecie
Start
Date
Stop
GOTO VIRUS
Program
Start
Dup infecie
Stop
rt
Figura 16. Virusarea datelor
Virus
BU
TE
SC
Un virus de fiier mai poate fi descris ca fiind static sau polimorfic. Un virus se poate adapta
la anumite condiii oferite de sistemul de calcul sau de fiierul-gazd. Acest virus poart denumirea
de virus adaptabil.
Un virus de fiier este considerat ca fiind static dac, pe parcursul existenei acestuia, nu-i
schimb structura codului maliios. Codul rmne intact indiferent de numrul i de amploarea
infeciei create.
Viruii de fiier polimorfici sunt capabili s-i schimbe semntura atunci cnd se multiplic
de la un sistem de calcul la altul. Din aceast cauz, aceti virui sunt foarte greu de detectat,
producnd, de aceea, cele mai mari dezastre.
Modul de infectare cu virui a fiierelor poate fi diferit de la virus la virus. O clasificare a
viruilor de fiier innd cont de modul de infectare este urmtoarea:
parazii;
suprascriere;
Entry-Point Obscuring;
de companie;
de legtur;
OBJ, LIB i virui cod surs.
Viruii parazii modific coninutul programului-gazd, dar las cea mai mare parte din el
intact. Aceti virui se ataeaz la nceputul sau la sfritul programului-gazd. n anumite situaii,
codul virusului se poate instala n zone nefolosite din fiier.
Viruii de suprascriere rescriu (suprascriu) programul-gazd cu propriul lor program. n acest
mod, programul-gazd nu mai este funcional.
Viruii de tip Entry-Point Obscuring folosesc o metod ingenioas de infectare a programuluigazd. n programul-gazd se va introduce doar o mic secven de program care, la ndeplinirea
anumitor condiii, va lansa n execuie codul maliios al virusului aflat la o alt locaie. Lansarea n
execuie a programului-gazd nu va presupune i lansarea n execuie a virusului, acesta ateptnd
condiiile pentru a putea s-i lanseze programul distructiv.
Viruii de companie nu atac n mod direct fiierul gazd, dar creeaz o copie a acestuia care
va fi lansat n execuie n locul originalului. n acest fel, fiierul original care execut operaia de
formatare a suporturilor de memorie format.com va fi clonat i redenumit format.exe. Acest din urm
fiier va conine de fapt virusul. Viruii de companie pot s modifice i cile (paths) de acces n aa
fel nct s se dea trimitere la fiierele clonate.
BU
TE
SC
Viruii de legtur nu modific dect n mic msur coninutul programului-gazd. La

nceputul programului-gazd se va inocula o instruciune de salt (GOTO, JUMP) la o locaie din
afara gazdei care va conine codul virusului. Aciunea este similar cu cea descris n modurile de
infectare prin salt la sfritul programului gazd sau prin suprascrierea datelor rezultate n urma
execuiei programului-gazd.
Viruii OBJ, LIB i cod surs nu au o rspndire aa de mare. Acetia infecteaz modulele
obiect (OBJ), bibliotecile compilatoare (LIB), precum i codurile surs ale programelor-gazd.
n cea mai mare msur ns, viruii de fiiere afecteaz fiierele executabile (cu extensiile
EXE, COM etc.).
Cei mai cunoscui virui de fiier sunt: CASPER, Chernobyl, CRUNCHER, Die-Hard2, Fun
Love, Jerusalem, Junkie, Magistr, Natas, Nimda, OneHalf, Plagiarist, Vienna.
CASPER acioneaz asupra fiierelor care au extensia COM. Se activeaz la dat de 1 aprilie,
atunci cnd un program care-l conine este lansat n execuie, suprascriind prima pist de pe suportul
de memorie. La o nou accesare a suportului se va afia mesajul de eroare Sector not found.
Chernobyl mai este cunoscut i ca W95/CIH i este unul dintre cei mai distructivi virui. Se
copiaz n poriuni nefolosite din fiierul gazd. n acest fel mrimea fiierului gazd rmne
neschimbat. Acesta acioneaz la data de 26 ale fiecrei luni i suprascrie BIOS-ul4 calculatorului
fcnd imposibil o nou boot-are5. n acelai timp suportul de memorie este suprapopulat cu
informaii inutile. Versiuni ale virusului acioneaz la data de 26 aprilie, dat la care a avut loc
accidentul de la centrala nuclearo-electric sovietic de la Cernobl. Apariia lui a creat panic n
rndurile utilizatorilor de calculatoare n anii 1998-1999 deoarece fcea inutilizabil calculatorul
necesitnd o suprascriere a BIOS-ului cu programul original sau o nlocuire a acestuia, operaii
costisitoare i care necesit foarte mult experien. Semntura acestui virus a fost inclus n lista de
semnturi a programelor antivirus i virusul a fost stopat. Unele firme productoare de plci de baz au
mers pn acolo nct au introdus metode de protecie la scriere a BIOS-ului sau au implementat pe
placa de baz un al doilea chip6 care coninea versiunea originala a BIOS-ului (tehnologia Dual
BIOS).
Cruncher infecteaz fiierele cu extensia com. Nu afecteaz fiierul command.com. Aciunea
lui este destul de simpl, fiierele infectate sunt comprimate.
Die-Hard 2, cunoscut i ca DH2, este un virus rezident n memorie i infecteaz fiierele cu
extensia EXE i COM prin mrirea volumului acestora cu 4000 bytes.
Fun Love infecteaz fiierele cu extensia EXE, SCR i OCX din sistemele de operare
Windows 9x i Windows NT. Se multiplic prin infectarea fiierelor cu drept de acces la scriere din
folderele partajate n reea. Ca o particularitate, virusul infecteaz fiierele descrcate (download) de
pe serverele Microsoft oferite ca depanator (hotfix) pentru diversele probleme ale sistemelor de
operare livrate de Microsoft.
Jerusalem infecteaz fiierele cu extensia COM, EXE, BIN, OVL, SYS, PIF. Pentru prima
dat i-a fcut simit prezena n anul 1980, iar de-a lungul timpului a cunoscut 54 de versiuni. Se
activeaz la condiia ca data s fie 13 i ziua vineri (nu este virusul Friday 13). Sistemul infectat va
rula aplicaiile cu o viteza de zece ori mai mic.
Junkie afecteaz att fiierele executabile EXE i COM prin mrirea dimensiunii acestora cu
64KB ct i zona de bootare de pe discul flexibil sau dur. Afieaz mesajul Swedeen 1994 sau
BIOS Basic Input Output System

Boot-are ncrcare a sistemului de operare.
6
Chip Circuit integrat.
5
BU
TE
SC
The Junkie Virus Writen n Malmo. Dezafecteaz programele antivirus incluse n sistemul de
operare MS DOS.
Magistr este o combinaie ntre un virus i un vierme. Este un virus polimorfic rezident n
memorie. Este foarte greu de detectat i analizat deoarece dispune de o subrutin care blocheaz
programul de dezasamblare (debug). Infecteaz fiierele cu extensia EXE i SCR. La zece minute
dup ce se produce infecia virusul va trimite mesaje de pot electronic folosind Outlook sau
Outlook Express ctre destinaii culese din Address Book7 (cartea de telefoane). Versiuni ale
virusului pot de asemenea s suprascrie memoria CMOS8, s tearg memoria BIOS i s distrug
sistemul de fiiere Windows. Este considerat unul dintre cei mai periculoi virui.
Natas este un virus polimorfic. Mai este cunoscut i sub denumirea de virusul Satan (Natas
scris invers). Cele cinci versiuni ale sale infecteaz att fiierele cu extensia EXE, COM, OVL ct i
zona de bootare de pe discul flexibil sau dur.
Nimda (Nimda Admin scris invers) este o combinaie de virus de fiier i vierme Internet. Se
rspndete prin mesaje de pot electronic ca fiier ataat. Virusul creeaz propriul fiier load.exe,
suprascrie fiierul Windows riched20.dll i creeaz intrri n fiierul system.ini n aa fel nct fiierele
anterior menionate s fie ncrcate la lansarea n execuie a sistemului de operare. Aciunea lui
presupune partajarea n reea a discurilor de pe servere.
OneHalf este un virus polimorfic cunoscut n opt variante. Versiunile cele mai cunoscute
acioneaz att ca virus de fiier ct i ca virus de boot. Versiunea de fiier atac fiierele cu extensia
EXE i COM. La fiecare ncrcare (boot-are) a sistemului de operare, virusul, cripteaz cte doi
cilindri de fiecare dat. Cnd jumtate (one half) din disc a fost afectat se afieaz mesajul: Dis is
one half. Press any key to continue. Versiunea One-Half.mp.3666(b) afecteaz i discurile
flexibile.
Plagiarist cu cele patru versiuni acioneaz att ca virus de fiier ct i ca virus de boot. Atac
fiiere cu extensia COM i poate fi detectat prin mrimea cu 2014 byte a fiierului atacat.
Vienna cu cele 57 de versiuni infecteaz de regul fiierele cu extensia COM dar pot fi
afectate i fiierele cu extensia EXE. Crearea virusului a pornit ca un experiment n anul 1988 la o
universitate din Viena.
Viruii de boot pot s infecteze sectorul de boot de pe discurile flexibile sau dure. Pe discurile
dure infecteaz de regul zona de MBR9. Pot fi foarte distructivi, putnd bloca sistemul de calcul n
timpul operaiei de boot-are. De asemenea, pot s distrug ntreaga informaie de pe discuri, de
regul de pe discul dur. Apariia i recrudescena acestor virui i face simit prezena nc de la
apariia primelor suporturi de memorie de tip disc flexibil pe care le infectau i pe care le foloseau ca
purttoare pentru rspndirea lor. La ora actual sunt cunoscui peste 1000 (1025) de virui sau
variante de virui de boot. Fa de alte tipuri de virui, acetia i-au limitat aciunea datorit limitrii
folosirii din ce n ce mai puin a discurilor flexibile. Nu nseamn ns c au disprut n totalitate.
Singurul mod de infectare cu un virus de boot este de a se ncrca sistemul de operare de pe o
dischet care conine un virus de boot. Aceasta dischet, la rndul ei, a fost infectat de pe un calculator
care coninea un virus de boot.
La punerea sub tensiune a sistemului de calcul pornirea acestuia, se execut n mod normal
urmtoarele aciuni n procesul de ncrcare (boot-are) (figura 17).
Address Book Carte de telefoane folosit de programele de pot electronic.

CMOS Complementar Metal Oxyd Semiconductor, memorie care
9
MBR Master Boot Record Zon de pe discul dur rezident n cilindrul 0, capul 0, sectorul 1.
8
Se lanseaz din BIOS instruciunile POST (Power ON Self Test).
Pasul 2
BIOS-ul citete informaiile referitoare la configuraia sistemului de calcul

din memoria CMOS.
Pasul 3
BIOS-ul examineaz primul sector de pe discul dur Master Boot Record

(MBR) sau zona de Boot Record de pe discul flexibil.
Pasul 4
BIOS-ul transfer controlul ctre secvena de ncrcare din MBR sau Boot
Record.
Pasul 5
Programul de ncrcare examineaz tabela de partiii pentru a determin

cte discuri logice conine discul fizic.
Pasul 6
Se transfer controlul ctre grupul de fiiere sistem.
Pasul 7
Se ncarc driver-ele de sistem i sistemul de operare este lansat n

execuie.
TE
SC
Pasul 1
Se lanseaz din BIOS instruciunile POST (Power ON Self Test).
BU
Pasul 1
Figura 17. Procesul normal de boot-are

Procesul de boot-are este modificat considerabil atunci cnd sistemul este infectat cu un virus
de boot (figura 18).
Pasul 2
BIOS-ul citete informaiile referitoare la configuraia sistemului de calcul

din memoria CMOS.
Pasul 3
BIOS-ul examineaz primul sector de pe discul dur Master Boot Record

(MBR) sau zona de Boot Record de pe discul flexibil.
Pasul 4
BIOS-ul transfer controlul ctre secvena de ncrcare din MBR sau Boot
Record care conine codul virusului (virusul).
Figura 18. Procesul de boot-are de pe un disc virusat cu virus de boot

Virusarea discurilor flexibile cu virui de boot se face prin suprascrierea codului existent n
zona sectorului de boot cu cel al virusului.
Virusarea discurilor dure cu virui de boot se poate face n trei moduri:
virusul va suprascrie codul MBR;
virusul va suprascrie sectorul de boot;
virusul va modific adresa sectorului de boot ctre o adres care va conine codul virusului.
BU
TE
SC
Virusul va muta, n majoritatea cazurilor, sectorul original de boot ntr-o alt zon liber de pe
disc. Din aceasta cauz, eliminarea virusului i a efectelor acestuia de pe discurile dure pot fi
realizate prin comanda ascuns DOS FDISK/MBR executat de pe un disc flexibil boot-abil
nevirusat care va conine i aceast comand.
O dat lansat n execuie, virusul rmne rezident n memorie i va infecta discurile flexibile
folosite.
Interesant de remarcat la aceast categorie de virui este modul lor de aciune fa de ali virui de
acelai tip. Pentru c acest tip de virui ocup aceeai zon de pe disc, MBR sau sectorul de boot, nu pot
exista mai muli virui de boot pe un disc. Ultimul virus instalat l va terge pe cel existent pe disc.
Cei mai cunoscui virui de boot sunt: Frankenstein, KULROY-B, Matthew, Michelangelo,
PARITY, Stoned.
Frankenstein este un virus de boot care este rezident n memorie. Infecteaz zona de MBR la
discurile dure i zona sectoarelor de boot la discurile flexibile. Ca efect distructiv acesta terge sectoarele de
pe discurile infectate.
KULROY-B mai este cunoscut i ca LUCIFER.BOOT. Virusul suprascrie zona sectoarelor de
boot de pe discuri.
Matthew, cu cele dou versiuni ale sale, infecteaz doar discurile flexibile. Afiseaza, n timpul
operaiei de boot-are de pe discul flexibil, caractere aleatoare pe ecran.
Michelangelo mai este cunoscut i ca Stoned.Michelangelo, Stoned.Daniela sau Daniela (este
diferit de versiunile Stined). Versiuni ale virusului infecteaz zonale de boot-are de pe discul flexibil i
dur precum i zona de MBR de pe discul dur. Se activeaz la 6 martie, ziua de natere al lui
Michelangelo, n fiecare an i terge toate fiierele de pe discul infectat. Versiunea Stoned.Michelangelo
(standard, B i D) se activeaz la aceiai dat i suprascrie primele 17 sectoare de pe primii 256 de
cilindrii de pe discul dur. i-a fcut simit prezenta n anul 1992 cnd a infectat milioane de
calculatoare.
PARITY infecteaz MBR la discurile dure i zona sectoarelor de boot la discurile flexibile.
Sistemul virusat va caut la intervale de o ora dac exista n unitatea de disc flexibil o discheta care
conine acest virus. Dac exista o discheta care nu conine virusul o va infecta iar dac nu exista nici o
discheta va afia mesajul PARITY CHECK i va restarta calculatorul.
Stoned, cu cel aproape 50 de versiuni, mai este cunoscut i ca Bloomington, New Zealand,
Stoned.NearDark sau NearDark O parte din aceste versiuni se mai numesc i Michelangelo.
Aciunea este asemntoare cu cea a virusului Michelangelo. Infecteaz zona de MBR la discurile
dure i zona sectoarelor de boot la discurile flexibile. Versiunea Stoned.June 4th afieaz, dup un
numr de 128 de boot-ari de pe un disc infectat, mesajul Bloddy! June 4, 1989. Versiunea
Stoned.W-boot.A acioneaz ca un CMOS killer, suprascriind memoria CMOS.
Virui de macro, sau macro virui, infecteaz fiierele de tip document. Nu trebuie confundai cu
viruii de fiier care afecteaz fiierele executabile. Viruii de macro tind s ia locul, ca modalitate de
rspndire fizic, viruilor de boot. Dac viruii de boot se rspndesc cu ajutorul dischetelor purtate de
la un utilizator la altul, viruii de macro se rspndesc cu ajutorul documentelor transmise ntre
utilizatori. Fa de viruii de boot, viruii de macro sunt mult mai numeroi, atingnd un numr de
aproape 5000. Pentru c infecteaz fiiere de tip document, care sunt portabile pe diferite platforme, pot
afecta att sistemele Windows, ct i Macintosh.
Primele manifestri ale macro viruilor au aprut n anul 1995. Paradoxal, primul virus de
macro, numit Concept, a fost coninut n CD-ROM-urile cu documentaii i programe de aplicaii
oferite de firma Microsoft, Microsoft Windows 95 Software Compatibility Test, Microsoft Office
95 and Windows 95 Business Guide i Snap-On Tools for Windows NT CD. Dei a fost repede
descoperit i discurile au fost retrase de pe pia, rul fusese fcut i ideea de virus de macro fusese
lansat neintenionat.
SC
Un virus de macro se va folosi de facilitatea de a crea macro comenzi oferit de unele

programe cum ar fi Microsoft Office 95/97/2000 i Lotus Ami Pro. Dac utilizatorul va folosi
facilitile oferite prin crearea de comenzi macro pentru a-i uura munca, virusul va folosi aceast
facilitate pentru a se rspndi i a-i ndeplini scopul distructiv.
Virusul exploateaz o aplicaie auto-execution macro care este lansat automat n execuie cnd
documentul este deschis. Lansat n execuie, comanda macro care conine codul maliios al virusului va
putea s tearg sau s modifice poriuni de text, s tearg sau s redenumeasc fiiere, s se multiplice i
s creeze alte tipuri de distrugeri. Muli virui de macro se autocopiaz n fiierul normal.dot care este
lansat n execuie (n Microsoft Word) ori de cte ori este deschis un document. n acest fel, noul document
deschis va fi infectat.
Viruii de macro afecteaz fiierele cu extensiile: DOC i DOT create cu Microsoft Word;
XLS i XLW create cu Microsoft Excel; ADE, ADP, MDB i MDE create cu Microsoft Access;
PPT create cu Microsoft Access; SAM create cu Lotus Ami Pro; CSC create cu Corel Draw i
Corel Photo-Paint.
Cei mai rspndii virui de macro sunt cei care afecteaz platformele Microsoft. i aceasta nu
din cauz c aceast platform este mai vulnerabil ca altele, ci din cauz c cele mai multe
documente sunt create cu aceasta.
Funcionarea unui virus de macro este exemplificat n figura 19.
Figura 19. Funcionarea unui virus de macro
TE
Cei mai cunoscui virui de macro sunt: Atom, Colors, Concept, DMV, FormatC, Gala,
Hot, Melissa, Nuclear, PPoint.Attach.
Fisierul document este deschis folosind o aplicaie dedicat.
Pasul 2
Documentul este ncrcat n memorie. Se ncarc n memorie o dat cu

documentul i macrocomanda.
Pasul 3
Se autolanseaz n execuie macrocomanda.
BU
Pasul 1
Pasul 4
Se execut codul virusului ca urmare a execuiei macrocomenzii. Virusul

este ncrcat n memorie.
Pasul 5
Virusul va copia propriul macro (macrocomanda) n template-ul

iniial/standard.
Pasul 6
Virusul lanseaz programul distructiv.
Atom i Concept au o funcionare similar. Virusul de macro Concept mai este cunoscut i
sub denumirea de WinWord.Concept, WW6Macro, Word Basic Macro Virus (WBMV), Word
Macro 9508 etc. Acesta se autocopiaz n Normal template i se multiplic ntr-un nou document
care este salvat ca DOT template. Existena virusului poate fi uor evideniat deoarece la
deschiderea unui document infectat, Microsoft Word va afia mesajul 1. Macrourile care vor fi
adugate de virus vor purta denumirea AAAZFS, AAAZAO, AutoOpen i PayLoad.
Colors este cunoscut i sub denumirea de Rainbow sau WordMacro.Color i infecteaz
fiierele Microsoft Word alternd culorile Windows i adugnd macrocomenzile AutoClose,
AutoExec, AutoOpen, FileExit, FileNew, FileSave, FileSaveAs i ToolsMacro.
DMV este prescurtarea de la Demonstration Macro Virus i reprezint cum i spune i numele
o prima ncercare de demonstrare a funciunii unui virus de macro n anul 1994.
BU
TE
SC
FormatC este un virus care acioneaz n cel mai clar mod lanseaz n execuie prin
intermediul unei macrocomenzi AutoOpen, comanda FORMAT C: dintr-o fereastra DOS Prompt.
Rezultatele sunt fr comentariu.
Gala infecteaz fiierele Corel SCRIPT folosite n aplicaiile Corel. O dat infectate aceste
fiiere execuia lor este compromisa i la dat de 6 iunie afieaz casete de text cu mesaje i
fragmente de versuri din seria de filme Lord of The Ring (Stpnul Inelelor).
Hot infecteaz fiierele Microsoft Word i hiberneaz 14 zile dup care terge coninutul
fiierului deschis. Virusul lanseaz n execuie o serie de macrocomenzi care sunt apoi copiate cu alt
denumire n Normal template.
Melissa este cunoscut ca cel mai rspndit virus de macro. Melissa se lanseaz n execuie
atunci cnd un document Microsoft Word infectat este deschis. Virusul deschide programul de pot
electronic Microsoft Outlook i trimite mesaje care-l conin la primii 50 de abonai din Address
Book. Subiectul din e-mail conine de regul fraza Important Message From <name>, <name>
fiind din primii 50 de abonai din Address Book. Fiierul infectat ataat la mesaj poart denumirea
list.doc. Fiierul normal.dot este infectat i dac ora i minutele calculatorului corespund cu data
sistemului (de exemplu 10:30 la dat de 30 octombrie) insereaz automat mesajul Twenty-two
points, plus triple-word-score, plus fifty points for using all my letters. Games over. Im outta here.
De remarcat este faptul ca virusul Melissa nu a fost distructiv prin inserarea acestor mesaje n
fiiere ci prin faptul ca a reuit s blocheze traficul n Internet pentru mai multe zile la importante
corporaii n luna martie a anului 1999. Din aceast cauz virusul de macro Melissa a acionat ca un
vierme. Traficul creat de acesta a paralizat multe servere de pot electronic unele ajungnd la
stadiul de refuz al serviciului (DoS).
Nuclear este att virus de macro cat i virus de fiier. Infecteaz fiierele cu extensia EXE,
COM, DOC i DOT. ncarc urmtoarele macrocomenzi: InsertPayload, Payload, DropSurviv,
AutoOpen, AutoExec, FileExit, FilePrint, FilePrintDefault i FileSaveAs.
Ca efect, virusul, va insera la sfritul fiecrei a dousprezecea pagin tiprit la imprimant
mesajul And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE
PACIFIC iar la data de 5 aprilie va terge sistemul de fiiere (key) din Windows.
PPoint.Attach mai este cunoscut i sub denumirea de PowerPoint.Attach. Nu este distructiv.
Aciunea lui este doar s infecteze alte fiiere Power Point.
Viruii de script sunt creai cu ajutorul unor limbaje numite limbaje script sau scripturi. Exist
mai multe limbaje script care sunt folosite de la scrierea de programe pentru sistemele de operare i
pn la crearea paginilor Web. Deosebirea dintre limbajele script i limbajele tradiionale este aceea
c, fa de limbajele de programare ca C sau Visual Basic, scripturile sunt mai puin complexe.
Scriptul reprezint de fapt un cod de program scris cu un limbaj script. Instruciunile script sunt
executate pe rnd n mod secvenial. Un fiier script este similar cu un fiier de comenzi BATCH din
vechile sisteme de operare de tip DOS10.
Un avantaj al acestor limbaje este acela c sunt uor de nvat, din aceast cauz sunt creai
din ce n ce mai muli virui cu ajutorul acestora.
Un fiier VBS va conine de fapt instruciuni scrise n mod text. Este suficient s se foloseasc
un editor de texte la ndemn, un Windows Notepad sau Word Pad, s se scrie instruciunile i n
final s se salveze fiierul cu extensia VBS. Lansat n execuie, fiierul i lanseaz codul distructiv.
Un virus de script va putea fi modificat cu uurin folosind aceste unelte. Rezultatul va fi o nou
variant de virus.
10
DOS Disk Operating System Sistem de operare de tip MS DOS, DR DOS, PTS DOS.
BU
TE
SC
Se poate face observaia c un virus de macro reprezint de fapt un tip de virus de script
deoarece un limbaj macro este la ora actual un limbaj script.
Cele mai cunoscute limbaje script sunt: Visual Basic Script (VBS), JavaScript (JS) i ActiveX.
Activarea acestor virui se face prin intermediul lui Microsoft Windows Scripting Host la
sistemele de operare Windows sau atunci cnd un document care conine virusul este deschis sau
vizualizat. Viruii VBS sau JavaScript se vor activa atunci cnd fiierele respective vor fi lansate n
execuie. Dac o pagina HTML11 conine un virus de script, simpla vizualizare a acesteia va lansa n
execuie codul virusului. Un mesaj de pot electronic ce conine un virus de script va duce, prin
deschiderea acestuia, la execuia virusului.
Propagarea acestor virui se face prin pagini Web infectate, mesaje de pot electronic (email), prin fiiere ataate mesajelor de pot electronic, sesiuni IRC12 sau documente.
n cazul n care se infecteaz documente aceti virui sunt de fapt virui de macro.
O clasificare a acestor virui poate fi fcut dup limbajele care sunt folosite pentru crearea
acestora. Cele mai cunoscute sunt: Visual Basic Script, Windows Script, ActiveX, JavaScript,
HTML, MIME, PHP.
Visual Basic Script este cel mai popular n crearea acestor virui. Visual Basic Script este o
versiune script a limbajului de programare Visual Basic. Un VBS va conine linii de comand care
vor fi executate secvenial la lansarea n execuie a fiierului care le conine.
Windows Script permite sistemelor de operare Windows, prin intermediul lui Windows Script
Host (WSH), lansarea n execuie a diferitelor fiiere create cu ajutorul unui limbaj script. Fiierele
create cu ajutorul unor limbaje script VBS, ActiveX sau JavaScript au extensia VHS i pot s
modifice funciile sistemului de operare.
ActiveX reprezint o tehnologie folosit de ctre Microsoft pentru vizualizarea paginilor Web.
Controalele ActiveX sunt folosite pentru gestionarea paginilor Web atunci cnd sunt ncrcate ntrun browser de Web i pot include contoare de vizitatori, butoane etc. ActiveX este creat folosind
limbajul ActiveX script. Modificarea acestuia poate duce la deteriorarea sau pierderea datelor din
calculator. Browser-ul Internet Explorer de la Microsoft (la versiunile mai vechi de sisteme de
operare) avea o serie de goluri de securitate n aceast privin. n unele cazuri, utilizatorul recurgea
la dezactivarea controalelor ActiveX pentru a putea s-i asigure securitatea.
JavaScript este un limbaj script derivat din Java i are foarte multe asemnri cu ActiveX. A fost
creat pentru a fi ncorporat n codul standard HTML la crearea paginilor Web. Poate fi lansat de ctre
Windows Scripting Host i este ncorporat n paginile Web i pot electronic.
HTML reprezint un cod folosit pentru crearea paginilor WEB. Un cod simplu HTML nu
poate conine un virus, dar o pagin Web creat cu acesta poate conine virusul prin ncorporarea
VBS, JavaScript sau ActiveX.
MIME face posibil exploatarea unui gol de securitate din Outlook sau Outlook Express care
permite vizualizarea automat a unui mesaj. Dac acest mesaj va conine virusul, acesta i va lansa
codul distructiv.
PHP este un limbaj script folosit la nivel de server pentru crearea paginilor Web dinamice.
Pe lng aceste modaliti de creare, lansare i multiplicare a viruilor de script se mai ntlnesc i
cele care acioneaz la nivelul fiierelor cu extensia INF i REG din sistemele de operare Windows.
Modificarea neautorizat a acestor fiiere va duce la disfuncionaliti ale sistemului.
11
12
HTML Hyper Text Markup Language Limbaj hipertext.

IRC Internet Relay Chat.
BU
TE
SC
Cei mai cunoscui virui de script sunt: 666test, 777, BeanHive, Exploit-MIME.gen,
FreeLink, Hard, HTML.Internal, KakWorm, LoveLetter, Monopoly, NewWorld, Rabbit,
Regbomb, Script.Inf, Strange Brew, VBS/SST, Win95.SK.
666test este un virus scris n VBS care se multiplic prin intermediul e-mail i IRC. Lansat n
execuie se va autocopia ctre locaii culese din Address Book. Prin modul de multiplicare acest
virus se comport ca un vierme i poate s satureze traficul de pe serverele de pot electronic.
777 este creat cu VBS i este considerat ca fiind unul dintre cei mai distructivi virui. Acesta
va infecta fiierele VBS de pe discurile dure i va suprascrie n fiierele cu extensia TXT i DOC
imagini obscene.
BeanHive este un virus creat cu JavaScript i se poate disimula n alte fiiere infectate. Are o
lungime foarte mic care nu reprezint de fapt corpul virusului ci o serie de instruciuni (40 linii de
program) care, la lansarea n execuie a virusului, va aduce dintr-un anume server de Web celelalte
componente care vor alctui virusul ntreg. Dup ce procesul de ntregire este ncheiat virusul va
infecta i alte fiiere.
Exploit-MIME.gen exploateaz vulnerabilitile mai vechilor sisteme de operare Windows.
Virusul se lanseaz cnd un mesaj e-mail este citit sau cnd, prin accesarea unei pagini Web, se
deschide un mesaj e-mail.
FreeLink va crea n calculatorul infectat o legtur (link) ctre un site porno i se va
multiplica la toate calculatoarele aflate n reea. O alt modalitate de multiplicare este prin
intermediul mesajelor e-mail i IRC.
Hard este scris cu ajutorul VBS i are comportamentul unui vierme. Acesta se multiplic
numai prin intermediul lui Outlook Expres. Mesajul primit va avea ca subiect FW: Symantec AntiVirus Warning i va conine detalii despre noile descoperiri n domeniul programelor antivirus ale
firmei. Fiierul ataat www.symantec.com.vbs (neavizaii vor putea uor s cread c este o trimitere
la URL-ul real www.symantec.com) va conine virusul. Dnd dovad de cinism, proiectantul
virusului, l-a setat ca la data de 24 noiembrie s afieze pe ecran mesajul:
Some shocking news
Cteva tiri ocante
Dont look surprised!
Nu fi surprins!
It is only a warning about
Este doar un avertisment despre
your stupidity
prostia ta
Take care!
Ai grij!
HTML.Internal este cunoscut ca fiind primul virus care infecteaz fiierele HTML. Lansat n
execuie virusul caut i infecteaz toate fiierele HTML de pe discul dur. Ca o particularitate, virusul nu
funcioneaz dect cu ajutorul browser-ului Internet Explorer. Celelalte browser-e nu sunt afectate.
KakWorm, sau JS.Kak (cu 7 versiuni), este dup cum i spune i numele un vierme care se
multiplic prin intermediul lui Outlook Expres. Codul este scris chiar n corpul mesajului i nu ntrun fiier ataat. La deschiderea mesajului de pot electronic se lanseaz n execuie codul
virusului. Acesta va afia la nceputul fiecrei prime zile din lun un mesaj pe ecranul calculatorului
i apoi va reporni calculatorul. Se multiplic la adresele de pot electronic culese din Address
Book i poate paraliza traficul prin fluxul creat.
LoveLetter sau I Love You sau Lovebug reprezint unul din cei mai mediatizai virui, dar i cel
care produce cele mai multe pagube. LoveLetter este de fapt o combinaie de virus de fiier, vierme email i vierme IRC. De la descoperirea lui n luna mai a anului 2000 i pn n prezent se cunosc peste
80 de variante. Se folosete de Microsoft Outlook pentru a se multiplica la primele 300 de adrese de e-
BU
TE
SC
mail gsite n Address Book. O alt modalitate de multiplicare este folosind serviciul de instant
messaging mIRC.
Mesajul primit are ca subiect ILOVEYOU i textul conine mesajul mbietor de genul Kindly
check the attached LOVELETTER coming from me. Fiierul ataat la care se face trimitere se vrea
un fiier cu extensia TXT infofensiv Love-letter-for-you.txt.vbs, dac nu se observ extensia
VBS. O dat lansat fiierul se vor infecta cu virusul fiierele locale i cele din reea care au
extensiile: AVI, BAT, COM, CPP, CSS, DOC, GIF, HTA, HTM, HTML, INI, JPEG, JPG, JS, JSE,
MP2, MP3, MPEG, MPG, QT, PSD, SCT, SWD, TXT, VBE, VBS, WAV, WRI, WSH i XLS care
vor prezenta i extensia VBS pe lng cea original.
Datorit multitudinii de fiiere infectate i datorit faptului c se multiplic foarte rapid, acest
virus este considerat ca fiind foarte distructiv.
Monopoly se aseamn cu virusul Melissa numai ca Monopoly este scris n VBS i nu n
limbaj macro. Se multiplic prin fiiere e-mail ataate la adrese culese din Outlook Address Book. O
dat lansat fiierul monopoly.vbs va afia pe ecran mesajul Bill Gates is guilty of monopoly. Here
is the proof.
NewWorld este un virus de script creat cu ajutorul lui PHP. Se multiplic prin accesarea
paginilor Web i executarea de scripturi. Nu se poate multiplica de la calculator la calculator dect
prin intermediul serverului.
Rabbit este unul din primii virui scrii n VBA. Suprascrie fiierele VBS i JS din folderul curent.
De asemenea infecteaz toate fiierele din folderul de cache folosit de Web browser.
Regbomb va modific Windows Registry n aa fel nct atunci cnd se acioneaz cu dublu
click pe iconul cu My Computer se va formata discul dur. n acest fel datele sunt irecuperabil13
pierdute.
Script.Inf va infecta fiierele Windows cu extensia INF. Aceste fiiere vor fi apelate atunci
cnd se instaleaz un nou program, iar dac sunt infectate vor lansa n execuie codul virusului.
Strange Brew este cunoscut ca primul virus JavaScript. Infecteaz fiierele Java cu extensia
CLASS atunci cnd se acceseaz fiiere de pe disc. O configurare corect a interpretorului Java va
elimina acest inconvenient.
VBS/SST este cunoscut i sub denumirea de VBSWG sau AnnaKournikova. Este un vierme
care se multiplic prin ataamente e-mail. Mesajul conine subiectul Here you have, textul
mesajului este Hi: Check This! iar fiierul ataat se vrea a fi un fiier grafic
AnnaKournikova.jpg.vbs numai ca este un VBS. Rulat, virusul se va multiplic prin e-mail folosind
adrese din Address Book.
Win95.SK este un virus care infecteaz fiierele cu extensia HLP. ncercarea de folosire a
unui program antivirus pe calculatorul infectat cu acest virus va avea ca efect formatarea discul dur
al calculatorului.
Viruii de e-mail se folosesc de faptul c e-mail-ul reprezint cea mai utilizat aplicaie
Internet din zilele noastre. Zilnic fiecare utilizator transmite i recepioneaz mesaje n format
electronic. Beneficiile sunt evidente n acest caz. Reversul este c tot prin e-mail se transmit i
coduri maliioase virui informatici.
Posibilitatea de a folosi pota electronic pentru transmiterea de virui a fost fcut posibil
datorit evoluiei tehnicii. Primele mesaje de e-mail erau trimise i recepionate n text clar (plain
text) fr posibilitatea de a se putea insera un virus n acest mesaj. Numai c utilizatorul nu avea
posibilitatea de formatare a textului. Nu se putea scrie cu litere groase, nclinate, colorate, de diferite
13
Exist firme specializate care pot recupera datele i dup ce discul dur a fost formatat.
BU
TE
SC
mrimi etc. i nici nu era nevoie. Conta doar informaia transmis de textul n sine i nu de artificiile
pe marginea textului. Numai c tehnica a evoluat i s-a fcut trecerea de la Plain Text e-mail la
HTML e-mail. i o dat cu acesta a aprut i posibilitatea de a se transporta virui cu ajutorul e-mailului.
Un e-mail n format HTML este ca o pagin Web HTML. Iar o pagina Web HTML are
ncorporate controale ActiveX i applet-uri JavaScript care pot s conin i s lanseze coduri
maliioase. Viruii care se transmit prin e-mail sunt de fapt virui de script i nu virui de e-mail n
accepiunea standard. O alt modalitate de transmitere a unui virus este de a-l ataa ca fiier de
mesajul scris n mod plain text.
Pentru rspndirea viruilor cu ajutorul potei electronice se folosesc n principal trei
modaliti:
prin ataamente, utiliznd tehnica de Cal Troian;
prin exploatarea golurilor de securitate, MIME exploit;
prin ncorporarea codului maliios n mesaje HTML.
Rspndirea viruilor prin fiiere infectate ataate la mesajul text este cea mai comun cale i cea
mai utilizat. Dac destinatarul nu lanseaz n execuie fiierul care conine virusul nu se ntmpl nimic.
Dac ns se trece la execuia acestuia atunci codul maliios al virusului este executat i virusul va
executa operaiile pentru care a fost proiectat i se va multiplica i rspndi.
De regul utilizatorii, care dispun de un minim de cunotine despre virui, nu vor deschide un
fiier nesolicitat sau trimis de o persoan necunoscut. Dar sunt situaii cnd virusul a luat adresa
utilizatorului din Address Book-ul unui alt utilizator cunoscut, dar care a are calculatorul virusat. i
dac mesajul care conine un fiier infectat vine de la un prieten s-ar putea ca utilizatorul s-l
deschid i infecia s se produc.
Tehnica de Cal Troian este folosit pentru a disimula fiiere infectate n fiiere inofensive.
Marea majoritate a utilizatorilor de e-mail nu deschid fiierele care au extensia EXE sau COM chiar
dac vin dintr-o surs sigur. i atunci virusul vine sub forma de Cal Troian, schimbndu-i extensia
pentru a pcli victima. Extensiile TXT i JPG sunt cele mai de ncredere n acest caz. Fiierele cu
aceste extensii nu pot conine virui. Un fiier Foto.exe.jpg (se observ dou extensii) va putea s fie
deschis de ctre un utilizator neatent sau neavizat i virusul s se execute.
Golurile de securitate exploatate de ctre virui pentru a se multiplica sunt prezente cu
precdere la programele de pot electronic de la Microsoft Outlook Express i Microsoft
Outlook, precum i la browser-ul Internet Explorer. Standardul creat pentru transmisia fiierelor
ataate la mesajele de pot electronic, Multipurpose Internet Mail Extension (MIME), reprezint
punctul slab exploatat de ctre virui. Versiunile mai vechi de Internet Explorer, precum i vechile
programe de pot electronic deschideau automat mesajele ataate. Acest fapt permitea crearea de
e-mail-uri n format HTML care conineau un ataament executabil cu coninut maliios. Atacatorul
nu trebuia dect s modifice header-ul MIME al fiierului ataat. Internet Explorer citea ataamentul
ca fiind unul n regul i-l deschidea automat.
Acest tip de atac se numete MIME exploit (exploatare MIME). Microsoft a umplut acest gol
de securitate i versiunile Internet Explorer i programele de pot electronic nu mai permit astfel
de atacuri.
ncorporarea codului maliios n mesaje e-mail HTML se face scriind coduri JavaScript.
Aceste coduri vor rula automat cnd mesajul va fi vizualizat fr s mai fie nevoie ca infecia s se
produc prin ataamente virusate. Fa de infecia prin fiiere ataate, cnd utilizatorul poate s nu
deschid fiierul ataat i infecia s nu se produc, aici infecia se produce automat la vizualizarea
mesajului. Aceast modalitate de rspndire are cele mai mari anse de reuit, dar necesit i
BU
TE
SC
cunotine avansate pentru ncorporarea codului n e-mail. Din aceast cauz, infectarea n acest mod
este destul de rar.
Din categoria viruilor de e-mail se remarc: 666test, Babylonia, Badtrans, BubbleBoy,
FreeLink, Hard, Hybrys, KakWorm, Kletz, LoveLetter, Melissa, Monopoly, MyLife,
NakedWife, Nimda, VBS/SST.
666test este un vierme care se multiplic prin mesaje e-mail. Codul distructiv este lansat
numai dac utilizatorul deschide, cu buna tiin sau din ignoran, un fiier ataat care conine un
script VBS.
Babylonia infecteaz fiierele de Help i se multiplic atunci cnd sunt deschise mesaje email.
Badtrans acioneaz ca o combinaie ntre vierme i Cal Troian multiplicndu-se cu ajutorul
mesajelor de email. Uneori viruii exploateaz i vulnerabilitile MIME. Calul Troian, reprezentat
de fiiere cu extensia PIF sau SCR, este ascuns n fiiere ataate care au extensiile inofensive
aprnd ca DOC, MP3, TXT sau ZIP.
BubbleBoy este un vierme care exploateaz vulnerabilitile MIME i se multiplic prin
mesaje e-mail HTML.
FreeLink este att vierme ct i Cal Troian i se multiplic prin mesaje e-mail. Infectarea se
produce dac se deschide fiierul ataat care conine un script VBS cu trimitere ctre un site
pornografic.
Hard se rspndete prin mesaje e-mail i necesit deschiderea manual a unui fiier ataat
care se vrea a conine un avertisment despre un nou virus i care este de fapt un script VBS. Acest
tip de virui mai poart denumirea i de virui pcleli (hoax14).
Hybrys se rspndete prin mesaje e-mail i necesit deschiderea manual a unui fiier ataat
care are una din extensiile EXE sau SCR. Are comportament de vierme i Cal Troian.
KakWorm se activeaz automat atunci cnd mesajul este vizualizat. Este un vierme disimulat
cu ajutorul unui JavaScript ntr-un mesaj e-mail HTML.
Kletz este un vierme care se lanseaz automat, fiierul infectat ataat beneficiind de
vulnerabilitile MIME.
LoveLetter se rspndete prin deschiderea manual a fiierelor e-mail ataate care conin
scripturi VBS disimulate n fiiere cu extensia TXT. Se comport mai mult ca un vierme dar i ca
Troian.
Melissa infecteaz sistemul i se multiplic atunci cnd este deschis manual un fiier MS
Word ataat care conine un virus de macro. Comportament de vierme i Cal Troian.
Monopoly se rspndete prin deschiderea manual a fiierelor e-mail ataate care conin
scripturi VBS. Se vrea un avertisment mpotriva politicii de monopol dus de Bill Gates fondatorul
companiei Microsoft. Comportament de vierme i Cal Troian.
MyLife este att vierme cat i Troian. Se rspndete prin mesaje e-mail care conin fiiere
infectate ataate. Utilizatorul va citi un mesaj cu subiectul: bill caricature i este mbiat s deschid un
fiier ataat care conine o caricatur a preedintelui american Bill Clinton. Pentru a adormi vigilena
utilizatorului se afieaz un mesaj No Viruses Found sub sigla binecunoscut McAffe. O dat deschis
fiierul ataat se afieaz o caricatur a preedintelui Bill Clinton i se produce infectarea calculatorului
prin copierea viermelui n folderul Windows System i de aici propagarea prin intermediul lui
Microsoft Outlook. La o noua pornire a calculatorului a dou zi la orele 8:00 dimineaa toate fiierele
de pe discurile C:, D:, E: i F: vor fi terse.
14
Hoax pcleal.
NakedWife se rspndete prin mesaje e-mail care conin fiiere infectate ataate. Utilizatorul
va deschide fiierul infectat ataat, care este un fiier executabil disimulat ntr-un fiier care se vrea o
imagine despre un nud, i virusul se va rspndi. Comportament de vierme i Cal Troian.
rspndete prin mesaje de pot electronic ca fiier ataat. Virusul poate fi coninut att n fiierele
cu extensia .EXE ataate (i atunci este un virus de fiier) ct i fiiere ataate care exploateaz
vulnerabilitile MIME. Se multiplic de regul prin e-mail.
VBS/SST este cunoscut i sub denumirea de VBSWG sau AnnaKournikova. Este un vierme
care se multiplic prin ataamente e-mail.
De remarcat c viruii de e-mail se disimuleaz n majoritatea cazurilor n fiiere ataate sau
chiar n mesajele e-mail MIME i n acest caz pot fi asimilai cu Caii Troieni i se multiplic de la
calculator la calculator ca un vierme.
BU
TE
SC
Virui de Chat i Instant Messaging

Serviciul de Chat este asigurat de servere specializate dintr-o subreea Internet numit Internet Relay
Chat (IRC). Aceasta permite ca doi sau mai muli utilizatori s poarte discuii (chat15) individuale sau de
grup i s schimbe ntre ei fiiere folosind un canal de comunicaie. Utilizatorii unui canal se numesc
membri ai acelui canal. Protocolul folosit n transmisie este DCC16.
Utilizatorul va putea cu ajutorul unui program, cum ar fi mIRC17, s se conecteze la un server
de chat i s iniieze un grup de discuii.
Folosind acest mediu creat, un virus se va putea multiplica i va putea infecta calculatoarele
din reea n dou moduri distincte:
prin transferul de fiiere infectate ntre utilizatori;
prin folosirea scripturilor IRC.
Infectarea prin transferul de fiiere infectate ntre utilizatori este destul de simplu de realizat.
Atacatorul va trimite ctre int un fiier care se vrea s fie util destinatarului. Acesta poate s fie un
fiier de ajutor, un program utilitar, un mic joc, un fiier cu documentaii sau o imagine. O dat ce
destinatarul va deschide fiierul trimis, virusul se va activa i-i va lansa programul distructiv.
Infectarea prin folosirea scripturilor IRC presupune scrierea de scripturi care vor conine instruciuni
care se vor executa secvenial. O dat acceptate de ctre destinatar sau destinatari, aceste scripturi se vor
substitui automat n fiierele similare din calculatorul-int i vor iniia atacul.
Majoritatea infeciilor se ntmpl atunci cnd, n urma atacului, se va crea fiierul script.ini
sau mirc.ini n folderul curent mIRC. Acestea conin scripturi i se vor executa comenzile pentru
care au fost proiectate. Instalarea acestor scripturi este posibil dac opiunea Auto-DCC-Get este
configurat pe activ. Fiind activ, se vor accepta toate fiierele trimise de ctre utilizatorii din
canalul respectiv de chat. Pentru o mai mare siguran, aceast opiune va fi setat pe inactiv.
Cei mai cunoscui virui de IRC sunt: Acoragil, Back Orifice, Bat, Dmsetup, Flood, Fono,
Goner, Links, Millenium, pIRCH.Events, Script.ini, Simpsalapim, Stages.
Acoragil mpreun cu Simpsalapim reprezint unul din primii virui IRC. Virusul se mprtie cu
ajutorul comenzii /dcc send care permite trimiterea de scripturi ctre toi utilizatorii canalului respectiv.
Dac utilizatorul calculatorului infectat va tasta cuvntul acoragil, toi utilizatorii canalului respectiv
care au calculatoarele virusate vor fi eliminai din acel canal.
15
Chat conversaie, taifas, plvrgeal, uet, flecreal.

DCC Direct Client to Client Protocol.
17
mIRC Microsoft Internet Relay Chat.
16
BU
TE
SC
Back Orifice este unul dintre cele mai puternice programe de tip Cal Troian. Se poate rspndi cu
ajutorul e-mail-ului sau a IRC-ului.
Bat se automultiplic ca un fiier de comenzi BAT disimulat ntr-un fiier grafic JPG. Lansat
n execuie va crea un fiier script.ini i se va copia ctre un alt utilizator IRC. Virusul va crea de
asemenea o porti ascuns (backdoor) care va fi exploatat pentru ca atacatorul s poat avea acces
de la distan (remote) la calculatorul infectat.
Dmsetup acioneaz ca vierme i ca Troian. Cu cele ase variante ale sale reuete s se
rspndeasc cu ajutorul mIRC-ului folosind fiiere EXE infectate. n unele variante ale virusului
fiierul executabil este disimulat n fiiere grafice JPG. Modific fiierul autoexec.bat n aa fel nct
acest vierme s se ncarce la fiecare pornire a calculatorului i, de asemenea, modific bara de stare
mIRC.
Flood este un Cal Troian care iniiaz o procedur de inundare a canalului respectiv pentru a
se crea o disfuncionalitate refuz al serviciului de tip DoS. Poate fi localizat manual n fiierul
c:\windows\system\mirc.hlp.
Fono va dezafecta configurrile de securitate din programul mIRC. Este un virus rezident n
memorie, se mprtie prin intermediul IRC-ului i infecteaz fiierele Windows. Se autocopiaz n
fiierul mirc.ini, creeaz fiierele script.ini i inca.ini care vor fi folosite pentru a se transmite ctre
alte calculatoare.
Goner infecteaz utilizatori de mIRC i ICQ18. Se rspndete prin intermediul fiierului
goner.scr i instaleaz un fiier remote32.ini care va fi folosit pentru lansarea unui atac de tip DoS.
De asemenea caut pe discul dur programele antivirus, firewall sau alte programe de securitate pe
care va ncerca s le tearg.
Links se va propaga ctre toi utilizatorii canalului respectiv i va da trimitere ctre site-uri cu
coninut obscen.
Millenium este un vierme care se mprtie cu ajutorul fiierului script.ini. Lansat n execuie
va instala o varianta de program care va permite accesul de la distan.
pIRCH.Events este un vierme specific programului de IRC Pirch. Se multiplic automat ctre
toi utilizatorii unui canal infectat.
Script.ini este un vierme care se distribuie printr-un fiier script.ini ctre toi utilizatorii
canalului respectiv. Este un script mIRC care permite accesul altor utilizatori la sesiunea de lucru,
vizualizarea i ntreruperea conversaiilor iniiate de pe calculatorul virusat.
Simpsalapim este similar ca funcionare cu Acoragil, fiind i primii virui de IRC aprui.
Stages este un vierme creat cu VBS i care se multiplic cu ajutorul programelor mIRC, Pirch
i ICQ. Calculatorul infectat va afia ntr-o fereastr Notepad comentarii i glume la adresa
diferitelor stadii ale evoluiei umane (de aici i denumirea).
Programele de Instant Messaging folosite la ora actuala, AOL Instant Messenger (AIM), MSN
Messenger, Windows Messenger, ICQ i Yahoo! Messenger, sunt i ele supuse atacurilor. Folosind
aceste programe, utilizatorii pot s transmit mesaje instant i de asemenea i fiiere. n acest mod se
pot transmite i viruii. Numai c, spre deosebire de alte programe care permit recepionarea de fiiere
prin Internet fr acceptul utilizatorului, aici utilizatorul poate s accepte sau nu un fiier care-i este
destinat. Un calculator care particip la transmiterea de mesaje instant nu va putea s fie virusat dect
dac utilizatorul a dat accept pentru descrcarea i rularea sau vizualizarea unui fiier care-i era
destinat i care coninea virusul.
18
ICQ Program de instant messaging produs de Mirabilis LTD
BU
TE
SC
Programele de instant messaging sunt de regul folosite de persoane care au ntr-adevr nevoie
de acest serviciu i pentru care timpul nu le permite s stea la conversaii inutile (chat). Mesajele se
transmit ntre utilizatori de ncredere (trust), mare parte a acestora cunoscndu-se fizic, fa de
serviciul de chat, unde de multe ori utilizatorii dintr-un canal nu se cunosc i, mai mult, au identiti
dubioase.
Chiar dac numrul de virui care se poate transmite este mai mic, totui acetia se pot
transmite. Un mare aport n limitarea numrului de virui l au companiile proprietare ale acestor
servicii.
Viruii din aceast categorie au ca particularitate faptul c sunt dedicai pe reeua/serviciul
respectiv de IM. Dac un virus este fcut s lucreze ntr-o reea Yahoo! Messenger, acesta nu va
funciona ntr-o reea MSN Messenger.
Cei mai importani virui din aceast categorie sunt: Choke, Goner, Hello, Reeezak, Stages.
Cu observaia c doar doi dintre acetia se regsesc i n lista de virui care afecteaz reelele de
chat, ceilali sunt virui dedicai numai anumitor reele/servicii.
Choke este un vierme care afecteaz calculatoarele utilizatorilor de MSN Messenger. Virusul
trimite mesaje ctre csua potal a utilizatorului (e-mail) de la un utilizator care are adresa de
fictiva de e-mail george.w.bush@whitehouse.gov, afieaz pe ecran icon-uri hazlii i cere
utilizatorului s descarce fiierele choke.exe, ShootPresidentBUSH.exe, Hotmail.exe sau fiierul ci
ID-ul tu din MSN i extensia EXE. Acceptarea acestora va face ca virusul s-i lanseze execuia
care va afia pe ecran mesaje i s se transmit la ali utilizatori. De remarcat ca numai acceptul
utilizatorului a determinat aciunea i rspndirea virusului.
Goner infecteaz calculatoarele utilizatorilor de ICQ care folosesc reelele/servicii de chat i
IM. Se mai poate rspndi prin IRC i e-mail transmind fiierului goner.scr. Va instala la activare
un fiier remote32.ini care va fi folosit pentru lansarea unui atac de tip DoS. De asemenea caut pe
discul dur programele antivirus, firewall sau alte programe de securitate pe care va ncerca s le
tearg.
Hello infecteaz calculatoarele utilizatorilor de MSN Messenger. Mai este cunoscut i sub
denumirea de W32/Hello i are peste 18 versiuni. Utilizatorului i se va cere s descarce un fiier cu
denumirea Hello.exe, care conine evident virusul. O dat descrcat virusul se va lansa i se va
trimite la toat lista de membri din MSN Messenger.
Reeezak este un vierme care mai este cunoscut i sub denumirea de Maldal sau Zacker. Acesta
infecteaz calculatoarele utilizatorilor de MSN Messenger. Virusul vine sub forma unui fiier
christmas.exe care, dac va fi descrcat de ctre utilizator, va lansa n execuie virusul. Acesta se va
trimite la toat lista de membrii din MSM Messenger i va opri funcionarea programului antivirus.
Stages se rspndete cu ajutorul fiierului LIFE_STAGES.TXT.SHS. Afecteaz de regul
calculatoarele utilizatorilor de mIRC, Pirch i ICQ care folosesc serviciile de chat dar poate afecta i
serviciile IM.
Virui pcleal (Hoax)
Acetia reprezint o categorie special de virui care se bazeaz pe credulitatea aceluia care
poate s devin inta unui atac. Mesaje de e-mail sau ferestre aprute n timp ce faci browsing de genul
Ai ctigat o excursie n, Ai ctigat o sum de, Calculatorul tu are un virus,
Trimite acest mesaj la toi cunoscuii ti i vei avea noroc, cu invitaia de a trimite sau de a
confirma cu opiunea Yes, sunt destul de frecvente n Internet. Uneori, acest tip de virui, mai ales cei
care apar n ferestre browsing, acioneaz chiar i atunci cnd se alege opiunea No (Nu). Din aceasta
cauz, este indicat s se nchid fereastra din opiunea Close (X), din Taskbar Close, sau apsnd
perechea de taste Alt+F4.
Cei mai importani virui din aceast categorie sunt: Blue Mountain Card, Goood Times,
Help, Rit Takes Guts to Say Jesus, MusicPanel(MP3), New Pictures of Family, New Ice Age,
Pretty Park, Sulfnbk.exe, VeryBad, WOBBLER, WTC Survivor Virus.
Modaliti de aciune a programelor independente de tip vierme
BU
TE
SC
Un vierme este un program independent. El se reproduce prin autocopierea de la un calculator

la altul prin intermediul reelei n cele mai multe cazuri i fr acceptul utilizatorului. Spre deosebire
de virus, un vierme nu altereaz sau distruge datele din calculator, dar poate crea disfuncionaliti n
reea prin utilizarea resurselor acestuia pentru autoreproducere.
Viermele se folosete de mecanismele de transmisie de fiiere care se regsesc n majoritatea
programelor care folosesc Internetul. Cu ajutorul acestora, viermele se va multiplica ctre alte
calculatoare.
n majoritatea cazurilor, viermii se propag cu ajutorul potei electronice. Alte modaliti de
propagare mai sunt prin IRC i IM.
O categorie aparte de viermi o reprezint viermii de reea. Acetia exploateaz golurile de
securitate din serverele sau browser-ele Web i infecteaz, fr ca s poat fi detectai, serverele
respective. De aici vor lansa atacuri pentru a infecta toate calculatoarele care se leag la acestea.
Fiind foarte greu de detectat i urmrit, aceti viermi de reea creeaz cele mai multe inconveniente.
Pentru a se rspndi la alte locaii din Internet, viermele va culege datele despre ali utilizatori din
Address Book i se va copia la aceste adrese. Cu ct numrul persoanelor de contact de aici este mai
mare, cu att infecia se va rspndi la mai multe locaii. Viermele va culege un numr predefinit de
adrese de aici. Numrul de adrese culese difer de la vierme la vierme. De regul, acetia culeg pn
la 50 de adrese. Dar sunt i situaii cnd se culeg i mai multe adrese. Melissa care a fost considerat
la vremea cnd au aprut primele lui atacuri ca fiind foarte distructiv culegea 50 de adrese de email. Efectele lui LoveLetter au fost ns i mai mari, deoarece acesta culegea primele 300 de adrese
de e-mail i n plus mai distrugea i fiiere. Adic aproape toate adresele din Address Book (nu
mult lume are peste 100 de adrese). MyLife se retransmitea la toate contactele din Address Book.
Multiplicarea acestora la alte adrese i de aici la altele culese din calculator va avea ca efect
paralizarea traficului i ntr-un final serverul/serviciul respectiv de pot electronic, IRC sau IM, va
fi paralizat i n final oprit. Acesta este modul de aciune al unui vierme. El nu cauzeaz distrugeri
directe. Nu va altera sau terge fiiere. El doar se va multiplica. Dar cheltuielile i timpul pierdut
pentru depistarea acestuia i refacerea serviciilor sunt foarte mari.
Viermii sunt considerai ca fiind cele mai distrugtoare programe maliioase din ultimii ani.
Jumtate din primele zece programe maliioase aprute n aceast perioad sunt viermi.
Cei mai cunoscui viermi sunt: Badtrans, BubbleBoy, CodeRed, Hybris, Klez, LoveLetter,
MyLife, Nimda, SirCam.
Badtrans a fost descoperit pentru prima dat n luna aprilie anul 2001 i, prin aciunea sa, este
considerat extrem de periculos. Se transmite prin pot electronic. Subiectul mesajului este un
simplu Re
(replay) iar coninutul este Take a look at the attachment. O dat deschis fiierul
ataat pe ecran apare o caseta de text cu denumirea Install error i cu un mesaj de atenionare
aparent inofensiv File dat corrupt: probably due to bad data transmission or bad disk access.
n acest moment se instaleaz pe calculator un backdoor Troian care va trimite ctre cel care a
proiectat virusul adresa IP a calculatorului. De aici atacatorul va putea s se conecteze la acest
BU
TE
SC
calculator i s fure informaii referitoare la nume i parole folosite, numere i parole de cri de
credit, conturi bancare, etc.
BubbleBoy este un VBS care se transmite prin intermediul potei electronice. Folosete
golurile de securitate din Internet Explorer i Microsoft Outlook. Scriptul Update.hta este lansat
atunci cnd se vizualizeaz e-mail-ul. Nu este nevoie de deschiderea nici unui fiier ataat. Viermele
se va retransmite la o serie de adrese din Address Book.
CodeRed exploateaz un gol de securitate din serverele care ruleaz Microsoft Internet
Information Server (IIS). Ulterior golul a fost acoperit de ctre firma Microsoft. O prim aciune a
virusului este aceea de a suprascrie toate paginile Web de pe server cu un mesaj de genul HELLO!
Welcome to http://www.worm.com! Hached by Chinese!
O alt aciune a viermelui se desfoar pe parcursul a 28 de zile. n primele 19 zile se
ncearc infectarea i a altor servere IIS i apoi lansarea de atacuri DoS ctre anumite IP-uri.
n multe cazuri viermele este rezident n memorie i din aceast cauz acesta poate fi eliminat
printr-o oprire i repornire a mainii infectate.
Hybris se folosete de fiiere ataate sexy virgin.scr, looke.exe, midgets.scr i
dwarf4you.exe pentru a se multiplica. Se va transmite automat de oricte ori se va trimite un mesaj.
Alte aciuni ale viermelui sunt de a ncetini funcionarea calculatorului, blocarea accesului la site-uri
cu programe antivirus i afiarea pe ecran de imagini.
Klez este considerat ca fiind cel mai incisiv virus din istorie. S-a meninut mult timp n fruntea
listei cu cei mai cunoscui virui la nceputul anului 2002. Se propaga folosind pot electronic i
exploatnd golurile MIME. Elementul principal folosit de ctre acest vierme este ncrederea
destinatarului. Dac un e-mail este primit de la o persoan cunoscut atunci ncrederea c acea
persoan nu-i poate face ru sau nu-i poate trimite ceva maliios te va face s deschizi i s citeti
un mesaj i s descarci i s deschizi fiierele ataate. Suspiciunea destinatarului va fi lsat la o
parte n aceste cazuri. Acest lucru este exploatat de ctre Klez prin citirea adreselor de e-mail din
Address Book i trimiterea de mesaje infectate ctre acestea ca fiind de la proprietarul calculatorului
virusat. Tehnica folosit se numete spoof. Corpul viermelui este format de un ataament cu extensia
EXE. BAT, PIF sau SCR. Pe lng aceste fiiere se mai livreaz i un fiier provenit de la
calculatorul victim anterior infectat care va putea trimite date confideniale atacatorului. Al doilea
element folosit de ctre vierme este acela c va lansa un al doilea program care este un virus de fiier
care va infecta toate fiierele executabile.
LoveLetter sau I Love You sau Lovebug, reprezint unul din cei mai mediatizai virui dar i
cel care produce cele mai multe pagube. LoveLetter este de fapt o combinaie de virus de fiier,
vierme e-mail i vierme IRC care folosete tehnica de Cal Troian pentru a se multiplica. De la
descoperirea lui n luna mai a anului 2000 i pn n prezent se cunosc peste 80 de variante. Se
folosete de Microsoft Outlook pentru a se multiplica la primele 300 de adrese de e-mail gasite n
Address Book. O alt modalitate de multiplicare este folosind serviciul de instant messaging mIRC.
rspndete prin mesaje de pot electronic ca fiier ataat i este destul de greu de detectat
deoarece subiectul i denumirea fiierelor ataate poate varia. Virusul poate fi coninut att n
fiierele cu extensia EXE ataate (i atunci este un virus de fiier) ct i fiiere ataate care
exploateaz vulnerabilitile MIME. Se multiplic de regul prin e-mail dar i prin fiiere partajate n
reea. Se folosete de facilitile de Cal Troian create de Viermele CodeRed pentru controlul
sistemului infectat.
Unele variante de Nimda conin un ataament executabil care se lanseaz automat atunci cnd
se vizualizeaz mesajele folosind Microsoft Outlook sau Outlook Express. O dat lansat acesta se va
copia la adresele culese din Address Book.
SirCam va ncerca s tearg fiierele de pe disc sau va umple discul cu fiiere inutile. Se
propag cu ajutorul fiierelor ataate.
Instrumente de atac de tip Cai Troieni, Back Doors-uri i bombe
BU
TE
SC
CAI TROIENI
Un Cal Troian este un fragment de cod care se ascunde n interiorul unui program i care va
executa o operaie ascuns. Acesta reprezint cel mai utilizat mecanism pentru a disimula un virus
sau un vierme.
Un Cal Troian se va disimula n fiiere executabile, fiiere imagine, fiiere screen saver etc. n
anumite situaii se ascunde n programe care se vor a fi aplicaii antivirus.
Pentru a putea s lanseze codul distructiv, un Cal Troian trebuie s conving utilizatorul ca
fiierul ataat este curat, dar mai ales c trebuie deschis.
Pentru a putea realiza aceasta, proiectanii de Cai Troieni folosesc urmtoarele tehnici menite
s pcleasc destinatarul:
trimiterea de fiiere ataate care vin dintr-o surs de ncredere;
denumirea fiierelor ataate cu nume care s determine utilizatorul s le deschid;
ascunderea tipului de fiier.
Trimiterea de fiiere care vin dintr-o surs de ncredere se face prin colectarea datelor din
Address Book, de pe calculatorul virusat, i trimiterea de e-mail-uri care conin Calul Troian la
aceste adrese. Cnd utilizatorul calculatorului-int va deschide spre vizualizare mesajul, la From: va
aprea numele cunoscut al unui prieten, coleg de serviciu, rud i va avea ncredere s deschid
fiierul ataat i astfel infecia s se produc.
Denumirea fiierelor ataate cu nume care s determine utilizatorul s le deschid se folosete
de slbiciunile umane. Un utilizator va fi tentat s deschid un fiier care conine o declaraie de
dragoste de la un admirator (cazul LoveLetter), s vizualizeze o caricatur cu preedintele rii
(cazul MyLife), s vad o imagine cu nudul unei actrie sau vecine (cazul Naked Wife) sau s
primeasc un program antivirus.
Ascunderea tipului de fiier se face pentru ca utilizatorul s nu vad extensia executabil a
fiierului ataat. Pentru aceasta se folosesc dou metode.
Prima presupune ca fiierele executabile care conin Calul Troian, i care au extensiile EXE,
COM, SCR, PIF, VBS, s fie dublate de extensii inofensive care s adoarm vigilena
utilizatorului care tie c nu trebuie lansate n execuie fiierele executabile fr o verificare
prealabil. Un fiier fiser.exe va avea ataat una dintre extensiile JPG, GIF sau TXT. n acest fel,
acesta devine fiser.jpg.exe.
A dou metod este foarte ingenioas i presupune interpunerea ntre extensia real i
denumirea rmas a unui numr foarte mare de spaii n aa fel nct la o vizualizare pe ecran
extensia s nu fie afiat. Spre exemplu, fiierul anterior va aprea afiat pe ecran n forma:
fiser.jpg
(cu .exe care nu va fi afiat, deoarece depete spaiul de afiare al ecranului).
n acest fel, utilizatorul crede c este un fiier inofensiv i-l va deschide.
O mare parte din Caii Troieni au caracteristica de vierme, ei rspndindu-se cu ajutorul potei
electronice ctre ali utilizatori. Adresa utilizatorilor este culeas din Address Book.
Cei mai cunoscui Cai Troieni sunt: Dmsetup, Flood, LoveLetter, MyLife, Naked Wife.
Dmsetup acioneaz ca vierme i ca Troian. Cu cele ase variante ale sale reuete s se
rspndeasc cu ajutorul mIRC-ului folosind fiiere EXE infectate. n unele variante ale virusului
fiierul executabil este disimulat n fiiere grafice JPG. Modific fiierul autoexec.bat n aa fel nct
acest vierme s se ncarce la fiecare pornire a calculatorului i, de asemenea, modific bara de stare
mIRC.
Flood este un Cal Troian care iniiaz o procedur de inundare a canalului IRC respectiv
pentru a se crea o disfuncionalitate de refuz al serviciului de tip DoS. Poate fi localizat manual n
fiierul c:\windows\system\mirc.hlp.
LoveLetter este de fapt o combinaie de virus de fiier, vierme e-mail i vierme IRC care
folosete tehnica de Cal Troian pentru a se multiplica.
MyLife este att vierme ct i Troian. A fost tratat anterior.
Naked Wife mai este cunoscut i sub denumirea de W32/Naked@MM sau HLLW.JibJab@mm.
Se rspndete cu ajutorul programului de pot electronic Microsoft Outlook. Subiectul mesajului
este FW: Naked Wife iar coninutul mbietor My Wife never looks like that , Best Regards.
Utilizatorul curios va deschide fiierul NakedWife.exe care va permite multiplicarea virusului i
apariia pe ecran a mesajului:
Youare now F****d! 2001 by BGK (Bill Gates Killer).
TE
SC
CI ASCUNSE TRAP DOORS / BACK DOORS

Ci ascunse (Trap Doors) sunt mecanisme care sunt create de ctre proiectanii de software
pentru a putea s ptrund n sistemul de calcul ocolind sistemele de protecie.
Ci ascunse (Back Doors) se pot crea cu ajutorul Cailor Troieni. Mecanismul presupune
introducerea n calculatorul-int a unui program care ulterior s deschid ci de acces ctre resursele
acestuia. Programele din aceast categorie poart chiar denumiri generice gen BackDoor.
Subseven, BackDoor.Troian i BackOriffice19.
BU
BOMBE
O bomb reprezint un tip de Cal Troian, care va lansa un program distructiv la o anumit
dat sau atunci cnd anumite condiii impuse sunt ndeplinite.
Tehnic, exist dou tipuri de bombe: de timp i logice. O bomb de timp se va activa atunci
cnd se scurge o anumit perioad de timp de la instalare sau cnd se atinge o anumit dat
calendaristic. O bomb logic va aciona atunci cnd se ndeplinesc anumite condiii impuse de cel
care a creat-o. Avantajul aciunii unei bombe este acela c d posibilitatea celui care a trimis-o s-i
tearg urmele n intervalul de timp pn la activare.
Am fcut aceast prezentare a programelor maliioase i am ncercat s le grupez dup modul
lor de aciune pentru a da o viziune de ansamblu corect asupra aciunii acestora, dar i ca o
informare a utilizatorului despre acest pericol. Nu cred c exist utilizator de calculatoare care s
nu fi avut de-a face cel puin o dat cu aciunea unor astfel de programe.
Marii productori de programe antivirus ofer i alte clasificri. Firma Symantec, liderul n
materie de programe antivirus, grupeaz programele maliioase n urmtoarele categorii: comuni,
de program, de boot, Stealt, polimorfici, multipartiie, de macro, de windows i programe
maliioase. Alte firme ofer alte tipuri de clasificri. Am ntlnit i situaii amuzante referitoare la
virui. Erorile datorate instalrilor defectuoase a programelor sau driverelor de periferice au fost
puse pe seama aciunii viruilor. O alt situaie este aceea generat de faimosul virus Y2K20. O
simpl scriere a anului calendaristic pe dou cifre i nu pe patru a dat natere la o adevrat
19
20
BackOriffice a fost creat ca o parodiere a programului Microsoft BackOffice.

ntlnit i sub denumirea de Virusul anului 2000.
psihoz la sfritul anului 1999. Aceast scpare (n anii de nceput ai erei informatice nevoia de
spaiu era stringent) a fost impropriu numit bug, apoi virus informatic, pentru ca n final s
ajung sub denumirea de virus (de orice natur) n tirile sistemului mass-media care preziceau
Apocalipsa i din aceast cauz. S-au livrat numeroase programe care s testeze compatibilitatea
calculatorului cu anul 2000 i eventual s stopeze virusul.
Sprgtoare de parole i utilizarea lor n testarea securitii firmei
BU
TE
SC
Protejarea prin parole a accesului la resursele sistemului de calcul sau protejarea n acelai
mod a accesului la fiiere reprezint cea mai des utilizat i mai la ndemn metod de protecie a
datelor din calculatoare.
n majoritatea cazurilor sistemul de parole este folosit pentru autentificare i identificare n
limitarea accesului, dar poate fi folosit i pentru protecie la nivel de fiier sau folder.
Un sprgtor de parole este un program care poate determina parolele sau care poate
evita sau dezactiva protecia prin parole. n literatura de specialitate termenul poate fi ntlnit sub
denumirile de password cracker sau password recovery. Programele din aceast categorie i
bazeaz succesul pe folosirea algoritmilor care prezint slbiciuni, implementri greite ale acestora
i factorul uman. Un sprgtor de parole este cu att mai eficient cu ct parola folosit este mai
simpl de gsit i cu ct programul de spart parole ruleaz pe un calculator performant.
Ca tehnici de atac pentru ghicirea parolei se folosesc urmtoarele:
atac prin fora brut;
atac folosind dicionare.
Atacul folosind ca tehnic fora brut este un program care ncearc s gseasc,
ncercare dup ncercare, parola corect. Aceasta presupune generarea, dup un anume algoritm, de
cuvinte care sunt apoi testate ca parol. Folosirea combinaiilor de 10 cifre, 26 de litere i alte
simboluri existente pe tastatur fac ca procesul s fie de lung durat. Folosirea unui calculator
performant reduce considerabil timpul. De asemenea, dac parola este scurt sau folosete
combinaii doar de cifre sau de litere, timpul este redus.
Atacul folosind dicionare presupune existena unui fiier dicionar (dictionary file) care
conine o list de cuvinte folosite n algoritmul de generare a parolei. Programul va folosi datele din
acest dicionar pentru a ncerca spargerea parolei.
n cadrul firmei este indicat ca periodic s se fac o testare a parolelor. Aceasta se impune
mai ales atunci cnd acestea sunt alese de ctre utilizator atunci cnd i protejeaz prin parole,
ntr-un fel sau altul, accesul la fiiere.
Folosirea parolelor pentru limitarea accesului se impune n dou situaii:
pentru limitarea accesului persoanelor neautorizate la resursele calculatorului;
atunci cnd calculatorul este folosit de mai muli utilizatori.
Prezena parolelor care s permit accesul la resursele calculatorului se face simit n patru
cazuri, i anume:
la pornirea calculatorului;
la ncrcarea sistemului de operare;
la accesarea resurselor reelei;
la accesarea fiierelor.
Pornirea calculatorului este marcat, dac este configurat din CMOS aceast opiune, de
cererea introducerii unei parole de acces. Necunoaterea acestei parole va bloca calculatorul n
faza de prencrcare a sistemului de operare. Metoda a funcionat i funcioneaz cu condiia ca
BU
TE
SC
intruderul s fie un novice. Exist parole universale, create de proiectanii de calculatoare, care
permit depirea acestui obstacol. Faimoasa combinaie 589589 fcea ca parola de CMOS s fie
inutil la calculatoarele echipate cu microprocesoare din generaia 486. Complementar sau n
paralel cu aceast metod exist programe care se instaleaz n CMOS i care asigur un grad
sporit de securitate i care realizeaz aceeai funcie.
Majoritatea sistemelor de operare pot fi configurate, mai ales n cazul folosirii de ctre mai
muli utilizatori a calculatorului, s nu permit ncrcarea sistemului de operare dac nu este
introdus corect parola.
Accesul la resursele reelei poate fi de asemenea blocat de cunoaterea unei parole. Acest
lucru poate fi asigurat de ctre sistemul de operare sau de ctre software-ul reelei. Ca software de
reea, Novell Netware se achit foarte bine de aceast sarcin.
Determinarea modului de acces la un fiier, grup de fiiere sau foldere poate fi limitat tot cu
ajutorul folosirii parolelor. Aceasta operaie poate fi realizat de ctre sistemul de operare sau de
alte programe. Ca exemplu, accesul la o baz de date poate fi limitat de ctre sistemul de operare
sau de ctre SGBD21.
Dac primele sisteme de operare nu aveau implementat aceast facilitate, sistemele de
operare UNIX i apoi cele de tip DOS au implementat-o. Primele sisteme de operare DOS care au
implementat folosirea parolelor au fost cele livrate de firma Digital Research Inc. la versiunile DRDOS 6.0 i ulterioare. Acest sistem de operare permitea o protecie ridicat, la acea vreme (19901995), prin limitarea modului de acces la fiiere sau directoare. Protecia era efectiv numai pe
calculatorul pe care funciona sistemul de operare DR-DOS. Securitatea nu era ns total. Printre
golurile de securitate ale acestui sistem de operare se pot enumera dou mai importante:
fiierele protejate de parole puteau fi citite pe alte calculatoare pe care rula un alt sistem
de operare;
folosirea unui editor de disc elimina protecia. Ct lume se pricepea ns la acea dat s
foloseasc un editor de disc?
Sistemele de operare de la Microsoft au introdus folosirea parolelor de abia la sistemul de
operare Windows. i atunci cnd au fost implementate au constituit deliciul crackerilor prin
modurile uoare prin care puteau fi ocolite sau sparte. Sunt bine cunoscute golurile de securitate ale
sistemelor de operare de tip Windows 9x. Dar firma Microsoft a introdus i protecia la nivel de
fiier. Suita de aplicaii MS Office permite protejarea cu ajutorul parolelor la nivel de fiier. Mai
nou, MS Office System permite chiar protecia la nivel de poriune de text n MS Word sau celul
MS Excel.
Soluia folosirii parolelor pare simpl. Oricine a auzit i tie de parole. Orice utilizator va putea,
beneficiind de facilitile sistemului de operare sau de alte programe specializate, s-i protejeze datele.
Numai c trebuie luate n considerare anumite cerine. De exemplu, nu trebuie protejate prin parole, fr
ca ceilali utilizatori s cunoasc parola, fiierele partajate din reea.
Cea mai important problem o reprezint, ns, alegerea parolei. O parol scurt i intuitiv
va fi uor de ocolit. Crackerii se bazeaz n principiu, la iniierea unui atac, pe existena unor parole
greit alese sau slab protejate. Utilizatorii nu tiu cum s-i aleag parolele sau nu sunt educai cum
s-i aleag aceste parole. O parte din responsabilitate cade n sarcina angajatorului, iar o alt
parte n cea a personalului nsrcinat cu asigurarea securitii. Alegerea parolei va fi detaliat n
paragraful 4.5.2.
Folosirea optim a parolelor pentru asigurarea securitii presupune alegerea adecvat a
acestora sau generarea acestora cu ajutorul generatoarelor de parole.
21
SGBD Sistemul de Gestiune al Bazelor de Date.
n marea majoritate a lor, generatoarele de parole folosesc metode criptografice pentru a

genera parole.
Modaliti de utilizare a programelor antivirus n cadrul firmei

Detectarea viruilor
BU
TE
SC
Ce mai simpl i mai la ndemn modalitate de a ne proteja mpotriva programelor maliioase

este aceea de a folosi un program antivirus.
Un program antivirus este un utilitar care detecteaz i anihileaz aciunea programelor
maliioase. Programul antivirus va sesiza existena unui cod maliios (virus) n calculator folosinduse de amprenta (semntura) lsat de fiecare program maliios (virus). O dat sesizat existena unui
virus, programul antivirus va lansa n execuie o subrutin, vaccinul, care va anihila aciunea
virusului.
Un program antivirus nu va putea detecta dect viruii a cror semntur sunt n baza lui de
semnturi. Trebuie inut cont de faptul c nti apare virusul i apoi antivirusul.
Productorii de programe antivirus livreaz periodic, la interval de cteva zile, noile semnturi
de virui. Actualizarea cu noile semnturi este uor de fcut dac exist o conexiune internet. Sunt i
productori care livreaz actualizrile folosind suporturi de memorie de tip disc flexibil sau
compact disc. Este cazul firmei Kaspersky.
Teama de aciunea viruilor este aa de mare nct, uneori, anumite subrutine de testare a
autenticitii unui program sunt luate drept virui. Este cazul procedurii de verificare de la
programul Ciel Contab. Ulterior, acest neajuns a fost remediat.
Aciunea programelor antivirus poate fi configurat de ctre utilizator de la stadiul de maxim
protecie (real time protection) pn la stadiul de inactiv (disable). Evident c ultima stare este cea
mai nefericit, aceasta este similar cu inexistena programului antivirus.
Existenta activitii sau inactivitii programului antivirus poate fi evideniat prin icon-urile
care apar n bara de tray la sistemele de operare de tip Windows.
4.2.2. Alegerea i configurarea programului antivirus pentru firme
Alegerea unui program antivirus este uneori dificil datorit existenei mai multor programe pe
pia, dar i datorit cerinelor care trebuie ndeplinite de acestea.
Consider c pentru alegerea unui program antivirus trebuie s inem cont de urmtoarele
criterii de alegere:
platforma de lucru;
numrul de virui care pot fi detectai;
timpul de rspuns la un virus;
existena opiunilor de scanare n reea;
existena opiunilor de scanare n e-mail;
protecia mpotriva scripturilor;
scanarea n fiiere comprimate;
existena suportului tehnic;
perioada de timp pentru care se livreaz actualizri gratuite;
BU
TE
SC
renumele firmei;
localizarea firmei productoare sau a distribuitorului;
preul.
Este cunoscut faptul c programele antivirus sunt fcute s funcioneze pe mai multe sisteme
de operare. Unele firme productoare livreaz programe antivirus care funcioneaz doar pe anume
sisteme de operare, dar sunt i programe antivirus care funcioneaz pe mai multe platforme. Exist
mai multe reviste de specialitate care efectueaz periodic un audit al acestor programe antivirus.
Una dintre cele mai cunoscute este Virus Bulletin (www.virusbtn.com). Rezultatele testelor efectuate
de ctre specialitii acestei reviste pe diferite platforme sunt exemplificate n tabelul urmtor
(tabelul 19):
Tabelul 19. Teste comparative de funcionare programe antivirus pe diferite platforme
100%
-
100%
-
X
-
X
-
100%
100%
100%
100%
X
-
100%
100%
100%
-
100%
-
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
100%
X
100%
100%
100%
X
100%
X
100%
100%
100%
100%
100%
100%
X
100%
100%
X
100%
100%
X
X
100%
100%
100%
100%
100%
100%
100%
100%
100%
X
X
X
100%
100%
100%
X
100%
100%
X
100%
100%
100%
100%
100%
X
X
100%
100%
100%
100%
100%
100%
X
100%
BU
Legend:
SC
Program antivirus
AhnLab
Alladin Knowledge Systems
(eSafe)
Alwil (Avast!)
Authentium (formerly
Command Software Systems)
CAT QuickHeal
Computer Associates
(InoculateIT/eTrust)
Computer Associates (Vet)
DialogueScience (Dr. Web)
Eset (NOD32)
F-Secure
Fortinet
Frisk (F-Prot)
GDATA
GeCAD (RAV)
Ggreat
Grisoft (AVG)
H-BEDV (AntiVir)
Hauri (ViRobot)
Ikarus
Kasperski
Leprechaun VirusBuster II
McAfee
MicroWorld (eScan)
NWI Virus Chaser
Network Associates (McAfee)
Norman
Panda Software
Proland Software
Softwin (BitDefender)
Sophos
Symantec (Norton)
Trend Micro (PC-cillin)
Unasoft
VirusBuster
Netware Windows Windows Red Hat Windows

6.0
Server 2003
NT
Linux 9 XP Prof.
TE
Platform/sistem operare
100%
X
-
100%
X
100%
100%
100%
100%
X
100%
Compatibilitate 100% cu testele Virus Bulletin

Funcionare defectuoas
Funcionare bun
Sursa: Virus Bulletin, http://www.virusbtn.com/vb100/archive/products.xml?table.
Mai multe date despre compatibilitate i modul de efectuare a testelor se pot gsi la adresa:
http://www.virusbtn.com/vb100/about/100procedure.xml.
Numrul de virui care pot fi detectai de un program antivirus are cea mai mare greutate n
alegere. Cu ct acest numr este mai mare, cu att posibilitile de detectare i anihilare cresc.
Programele antivirus pot detecta peste 67.000 de virui i variante ale acestora22.
22
Conform cu Norton Antivirus.
BU
TE
SC
Timpul de rspuns necesar pentru crearea unui antidot mpotriva unui virus este greu de
estimat. Acesta poate fi aflat doar n cazul unor virui care au avut efecte majore. Timpul de rspuns
depinde n foarte mare msur de experiena firmei.
Existena opiunilor de scanare n reea este foarte important att din punct de vedere al
siguranei i actualizrii, ct i al costului. Vom trata acest aspect puin mai trziu.
Dac calculatorul sau reeaua au acces la Internet, posibilitatea de a scana e-mail-uri este
foarte important, bine cunoscut fiind rspndirea viruilor cu ajutorul Internetului. Similar i
opiunea de protecie mpotriva viruilor de script.
Pentru ca un fiier de dimensiune mare s ajung ct mai repede la destinaie se recurge la
comprimarea acestuia. Dimensiunea unui fiier comprimat este sensibil mai mic fa de a celui
iniial23. Dac fiierul surs conine un virus, atunci i fiierul rezultat va conine i el virusul. Din
aceast cauz, existena acestei opiuni este important.
Existena suportului tehnic, telefon sau e-mail, este necesar atunci cnd se ntmpin probleme
la instalare i configurare. Este important atunci cnd instalarea este fcut de o persoan fr
cunotine n domeniu.
De regul, perioada de timp pentru care se livreaz actualizri gratuite de ctre firma
productoare este de un an. Aceast perioad poate fi prelungit prin semnarea unui contract de
abonament.
Renumele firmei trebuie luat serios n considerare atunci cnd se achiziioneaz un program
antivirus. Renumele firmei ine att de longevitatea acesteia pe pia, ct i de clasamentele ntocmite de
firmele de specialitate.
Localizarea firmei productoare sau a distribuitorului trebuie luat n considerare dac se
dorete o colaborare strns atunci cnd pot s apar incidente legate de aciunea viruilor i cnd
singura posibilitate de remediere este contactul direct ntre cele dou pri. De asemenea,
localizarea firmei are un rol important n anumite situaii particulare. Ca exemplu poate fi dat acela
n care un virus este produs local, de angajat sau de ctre o alt persoan la nivel de jude sau de
ar. O firm local va putea s descopere i s anihileze mai rapid virusul dect o firm aflat la
mii de kilometri distan.
Preul este foarte important atunci cnd numrul de calculatoare este mare. Din tabelul
urmtor se observ c preurile sunt comparabil egale (tabelul 20).
Tabelul 20. Principalele programe antivirus (comparaii)
Program antivirus
Firewall
Scaneaz Control
e-mail centralizat ncorporat
IN/OUT
Norton AntiVirus
Kaspersky Anti-Virus IN/OUT
IN/PC-cillin
IN/McAfee VirusScan
IN/Bit Defender
Da
Nu
Nu
Nu
Nu
Nu
Nu
Da
Nu
Da
Scanare n
Pre
fiiere
USD
comprimate
Da
50
Da
50
Da
40
Nu
40
Da
40
Sursa: www.antivirusebook.com/antiviruscomparison.htm
S analizm acum cheltuielile necesare achiziionrii de programe antivirus. Firma pe care
am fcut testele este o firm de mrime medie care are o reea cu 22 de calculatoare cuplate n
reea (20 staii de lucru i 2 servere Windows NT i Linux).
23
Depinde de tipul de fiier. n anumite cazuri, poate s fie chiar mai mare.
BU
TE
SC
Achiziionarea de programe antivirus pentru toate calculatoarele ar duce la un cost cuprins

ntre 840 USD i 1.050 USD (21 buc. X 40 USD i 21 buc. X 50 USD, pe unul dintre servere ruleaz
Linux server de Internet).
Suma este acceptabil pentru aceast firm. Achiziionarea va fi fcut i programele vor fi
instalate pe cele 21 de calculatoare. n anumite situaii, la achiziionarea unui nou sistem de calcul, se
livreaz gratuit i programele antivirus pentru nevoile locale. n ultimul timp, tot mai muli
productori de plci de baz (sau de calculatoare) livreaz i programe antivirus o dat cu produsul.
Este cazul programelor antivirus Norton Antivirus (livrat separat sau integrat n Norton Internet
Security) i PC-cillin.
n situaia n care se folosesc programe antivirus care funcioneaz separat pe fiecare
calculator, atunci pot s apar disfuncionaliti n funcionarea ntregului mecanism de protecie
antivirus, i anume:
actualizarea i scanarea periodic de virui este lsat la latitudinea angajatului;
este greu de urmrit aciunea fiecrui program antivirus pe staiile de lucru.
Este necesar s existe un program antivirus care s ofere un control centralizat, repararea
fiierelor infectate, capaciti de carantin pentru acestea i posibilitatea de actualizare din
Internet.
n aceast situaie, achiziionnd un program antivirus care s ofere aceste faciliti, Norton
Antivirus Enterprise/Corporate Edition, preul total este de 1.050 USD (care include 21 de licene i
suportul de program pe compact disc). Suma este comparabil cu cea anterioar, numai c n acest
caz facilitile sunt multiple:
protecia i monitorizarea de la o singur consol;
scaneaz mesajele de e-mail att la recepionare, ct i la transmisie;
recunoate aplicaiile nesolicitate ca spyware i adware;
identific sursa n cazul anumitor atacuri;
alerteaz n cazul n care anumite calculatoare nu sunt conectate la reea;
scaneaz n memorie i oprete procesele suspecte nainte ca acestea s cauzeze daune;
permite o detectare centralizat a nodurilor neprotejate din reea.
Achiziionarea de ctre firm a programului antivirus Norton Antivirus Enterprise/ Corporate
Edition a permis un mai bun control al viruilor. Anterior acestei achiziii, cnd se lucra cu diferite
programe antivirus pe diverse calculatoare sau cnd actualizrile nu erau fcute la zi, problemele
generate de virui erau multiple. La o testare antivirus iniial fcut cu Norton Antivirus am
descoperit 10 calculatoare virusate dintr-un total de 22. Numrul de fiiere virusate era de ordinul
sutelor la fiecare calculator. Din aceast cauz a trebuit s efectuez operaia n dou etape pe
grupuri de calculatoare. Dup terminarea complet a operaiei am constatat c situaia era identic
cu cea iniial. Aceast situaie s-a datorat n mare parte strategiei de lucru folosite la devirusare.
Existena resurselor partajate n reea fcea ca dup devirusare calculatoarele curate s se
reinfecteze la accesarea acestor resurse, n mare parte cu acordul utilizatorului. O alt cauz o
reprezenta aciunea utilizatorului neinstruit. Pentru a nu mai avea astfel de probleme am procedat la
o scanare n afara orelor de program, la anularea resurselor partajate i la anularea accesului la
Internet. O dat cu instalarea unor sisteme de operare Windows XP care nu mai ddeau utilizatorului
drepturi de partajare foldere sau fiiere, a folosirii noului pachet de program antivirus corect
configurat i a anulrii conexiunii la Internet problemele datorate viruilor s-au diminuat. Chiar i
viruii de pe dischetele mai vechi nu mai constituiau o problem deoarece programul a fost configurat
pe aciunea automat de devirusare (autorepair).
Reguli i restricii
Consider c pentru a se evita o infecie cu virui este necesar s fie impuse o serie de reguli i
restricii n utilizarea calculatorului.
Ca prim msur se impune informarea i instruirea personalului asupra msurilor care
trebuie luate.
A doua msur care se impune este configurarea corect, hardware i software, a
calculatorului i a reelei.
Un calculator corect configurat este vulnerabil dac factorul uman nu este bine instruit i
contient de consecinele unei infecii cu virui.
De asemenea, personalul bine instruit nu poate s acopere golurile de securitate hardware i
software lsate.
Principalele reguli i restricii care consider c se impun pentru a se evita o infectare cu virui
sunt:
1) Instalarea i rularea unui program antivirus foarte bun. Ce nseamn aceasta? Un program
antivirus bun sau foarte bun este acela care satisface cerinele de securitate impuse. Dac programul
antivirus se instaleaz local i dac pe acel calculator nu se ruleaz programe de pot electronic,
atunci nu trebuie luat n considerare facilitatea de scanare e-mail. Dac n schimb calculatorul
respectiv este conectat la Internet i se face browsing, atunci cerinele sunt foarte mari. Nu este
suficient ca un program antivirus s detecteze foarte muli virui. Este important s detecteze i s
anihileze virusul care ncearc s infecteze acel sistem.
2) Actualizarea periodic a programului antivirus cu noile faciliti, dar mai ales cu noile
semnturi de virui. Actualizarea poate fi fcut manual, periodic de ctre utilizator sau poate fi
configurat pe opiunea automat.
3) Actualizarea programelor de e-mail i a web browserelor cu noile patch-uri24 sau fixuri25. Este bine cunoscut exploatarea golurilor de securitate din aceste programe de ctre viruii
care se folosesc de Internet pentru a se propaga. Actualizarea acestor programe micoreaz
posibilitatea de infectare.
4) Configurarea optim a programelor de e-mail i a web browserelor. Ca nivel de securitate,
acestea sunt configurate implicit pe opiunea Medium (mediu), dar pot fi configurate pe niveluri mult
mai ridicate. De asemenea, se poate configura i restricionarea anumitor site-uri.
Aceste opiuni pot fi configurate, la sistemele de operare Windows, din Control Panel
Internet Option Security, Privacy i Advanced (figura 57).
BU
TE
SC
24
25
Patch petic. mbuntire ulterioar adus unui program care prezin goluri de securitate n funcionare.
Fix reparaie.
SC
Figura 57. Configurarea opiunilor de securitate n Windows
BU
TE
5) Nu se fac descrcri (download) de programe din surse dubioase. Actualizrile de

programe trebuie s se fac numai de pe site-ul productorului i nu din alte surse.
6) Nu se deschid fiierele ataate la e-mail dac acestea nu provin de la o surs de ncredere.
Regula de baz este: nu deschide un attachement care vine de la o persoan pe care nu o cunoti.
Programele de pot electronic au posibilitatea de a bloca accesul la e-mail-uri care par
dubioase.
n programul Outlook Express 6 acest lucru poate fi fcut din opiunile:
Tools Option Security, unde trebuie bifat opiunea Do not allow attachements to be
saved or opened that could potentially be a virus (Blocheaz deschiderea sau salvarea fiierelor
ataate care pot fi/conine virui) (figura 58).
Figura 58. Blocarea opiunilor de deschidere automat a fiierelor ataate
TE
SC
7) Atenie la e-mail-urile i site-urile de tip pcleal. Nu se va da curs ferestrelor aprute n timp

ce faci browsing i care-i propun un ctig n bani sau bunuri dac execui click pe OK / Yes sau care
conin mesaje alarmiste referitoare la securitatea calculatorului tu. Nu se vor retrimite e-mail-uri
primite ctre cunoscui cu urarea c vei avea noroc dac faci asta.
8) Scanarea de virui. Aceast aciune poate fi fcut manual sau poate fi fcut automat de
ctre program prin configurarea acestuia ca la pornire sau la o anumit dat, periodic, s fac
acest lucru.
Orice nou suport de memorie accesat (disc flexibil, CD-ROM, pendrive etc.) trebuie s fie
scanat. La majoritatea programelor antivirus opiunea este automat.
9) Dezactivarea lui ActiveX din opiunile browserului de Internet (figura 59).
Figura 59. Dezactivarea lui ActiveX din opiunile browserului de Internet
BU
10) Dezactivarea lui Windows Script Host (WSH) pentru a se prentmpina infectarea cu
virui de script (extensia .VBS)
11) Activarea opiunii de protecie la virui de macro (Macro Virus Protection) n Microsoft
Office (figura 60).
Figura 60. Activarea opiunii de protecie la virui de macro
BU
TE
SC
12) Achiziionarea unui firewall.

13) Salvarea periodic a datelor (backup).
14) Informarea permanent asupra aciunii viruilor. Acest lucru poate fi fcut din publicaiile
de specialitate sau din atenionrile periodice trimise de firmele din domeniu.

Curs 5 - Malitiozitate IT

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curs 5 - Malitiozitate IT

Încărcat de

Drepturi de autor:

Formate disponibile

Maliiozitate IT

Crabii atac cu predilecie monitoarele sistemelor de calcul. Imaginile pe ecranul monitorului

Figura 11. Modul de aciune al unui virus informatic

Virusul se copiaz de la calculator la calculator.

Virusul este creat.

Virusul este detectat i se ncearc limitarea rspndirii i

Firmele productoare de pachete de programe antivirus

Se folosesc programe antivirus pentru eliminarea acestuia. n

Figura 12. Ciclul de via al unui virus

Codul maliios al virusului este ncrcat n memoria intern a

Virusul se autocopiaz n alte fiiere.

Virusul lanseaz programul pentru care a fost conceput.

Programul-gazd este ncrcat n memoria intern.

Programul-gazd preia controlul execuiei.

Figura 13. Modul de funcionare al unui virus de fiier

Infectarea fiierului-gazd cu virus poate fi fcut n trei moduri distincte:

Figura 14. Virusarea prin suprascrierea la nceputul programului-gazd

Virusarea prin salt la sfritul programului-gazd presupune ca la nceputul fiierului-gazd s

Figura 15. Virusarea prin salt la sfritul programului-gazd

Figura 16. Virusarea datelor

Viruii de legtur nu modific dect n mic msur coninutul programului-gazd. La

BIOS Basic Input Output System

Address Book Carte de telefoane folosit de programele de pot electronic.

Se lanseaz din BIOS instruciunile POST (Power ON Self Test).

BIOS-ul citete informaiile referitoare la configuraia sistemului de calcul

BIOS-ul examineaz primul sector de pe discul dur Master Boot Record

Programul de ncrcare examineaz tabela de partiii pentru a determin

Se transfer controlul ctre grupul de fiiere sistem.

Se ncarc driver-ele de sistem i sistemul de operare este lansat n

Se lanseaz din BIOS instruciunile POST (Power ON Self Test).

Figura 17. Procesul normal de boot-are

BIOS-ul citete informaiile referitoare la configuraia sistemului de calcul

BIOS-ul examineaz primul sector de pe discul dur Master Boot Record

Figura 18. Procesul de boot-are de pe un disc virusat cu virus de boot

Un virus de macro se va folosi de facilitatea de a crea macro comenzi oferit de unele

Documentul este ncrcat n memorie. Se ncarc n memorie o dat cu

Se autolanseaz n execuie macrocomanda.

Se execut codul virusului ca urmare a execuiei macrocomenzii. Virusul

Virusul va copia propriul macro (macrocomanda) n template-ul

Virusul lanseaz programul distructiv.

HTML Hyper Text Markup Language Limbaj hipertext.

Virui de Chat i Instant Messaging

Chat conversaie, taifas, plvrgeal, uet, flecreal.

ICQ Program de instant messaging produs de Mirabilis LTD

Un vierme este un program independent. El se reproduce prin autocopierea de la un calculator

CI ASCUNSE TRAP DOORS / BACK DOORS

BackOriffice a fost creat ca o parodiere a programului Microsoft BackOffice.

SGBD Sistemul de Gestiune al Bazelor de Date.

n marea majoritate a lor, generatoarele de parole folosesc metode criptografice pentru a

Modaliti de utilizare a programelor antivirus n cadrul firmei

Ce mai simpl i mai la ndemn modalitate de a ne proteja mpotriva programelor maliioase

Tabelul 19. Teste comparative de funcionare programe antivirus pe diferite platforme

Netware Windows Windows Red Hat Windows

Compatibilitate 100% cu testele Virus Bulletin

Sursa: Virus Bulletin, http://www.virusbtn.com/vb100/archive/products.xml?table.

Conform cu Norton Antivirus.

Achiziionarea de programe antivirus pentru toate calculatoarele ar duce la un cost cuprins

Figura 57. Configurarea opiunilor de securitate n Windows

5) Nu se fac descrcri (download) de programe din surse dubioase. Actualizrile de

Figura 58. Blocarea opiunilor de deschidere automat a fiierelor ataate

7) Atenie la e-mail-urile i site-urile de tip pcleal. Nu se va da curs ferestrelor aprute n timp

Figura 59. Dezactivarea lui ActiveX din opiunile browserului de Internet

Figura 60. Activarea opiunii de protecie la virui de macro

12) Achiziionarea unui firewall.