Comnan George Mihail BANCAS An-1 Grupa 1

PREZENTAREA VIERMILOR SI VIRUSILOR INFORMATICI

Ce este un virus?
Virus (Virus) - este un program care are funcii de infectare, distructive si de incorporare a copiilor sale n interiorul altor programe. Noiunea mai general se refer adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea de a se autocopia, astfel nct poate infecta pri din sistemul de operare i/sau programe executabile. Probabil c principala caracteristic pentru identificarea unui virus este aceea c se duplic fr acordul utilizatorului. Aa cum sugereaz i numele, analogia biologic este relativ bun pentru a descrie aciunea unui virus informatic n lumea real. Dimensiunile mici ale programului-virus reprezint o caracteristic important, ntruct autorii in foarte mult ca produsul lor cu intenii agresive s nu fie observat cu uurin. Efectele distructive nu pot fi sesizate imediat, ci dup un anumit timp. Atunci cnd apar, efectele sunt diferite, variind de la mesaje glumee, la erori n funcionarea programelor de sistem sau tergeri catastrofice a tuturor informaiilor de pe un hard disk. De aceea nu este indicat s se plece de la ipoteza c un virus nu nseamn ceva mai mult dect o glum. n general, cei care construiesc virui sunt programatori autentici, cu experien bogat si cu cunotine avansate n limbajul de programare pe care l folosesc. Elaborarea de virui este uneori si o activitate de grup, n care sunt selectai, antrenai si pltii cu sume uriae specialitii de nalt clas. Exist programatori care susin c pot construi virui ce nu pot fi detectai si distrui. Este cazul unui grup de programatori polonezi care au anunat pe Internet, n urm cu civa ani, c pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, coninea cteva idei interesante care, dac ar fi fost duse la capt, probabil c ar fi dat mult btaie de cap utilizatorilor de servicii Internet. Suprai de faptul c lumea a exagerat att de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceti programatori intenionau s demonstreze ntregii lumi c nu acest mult prea mediat virus este cel mai "tare". Virusul este caracterizat de urmtoarele proprieti: - poate modifica fiiere si programe ale utilizatorilor, prin inserarea n acestea a ntregului cod sau numai a unei pri speciale din codul su - modificrile pot fi provocate nu numai programelor, ci si unor grupuri de programe - are nevoie si poate s recunoasc dac un program a fost deja infectat pentru a putea interzice o nou modificare a acestuia. Istoria virusilor Istoria viruilor de calculatoare este lung i interesant. Dar ea a devenit cu adevrat palpitant abia din momentul n care a nceput s se dezvolte industria PC-urilor. Pe msur ce dezvoltarea acestor calculatoare noi progresa, a devenit posibil si accesarea a mai mult de un program ntr-un singur computer. n acelai timp, s-a manifestat i o reacie mpotriva a tot ceea ce nsemna computerul. Aceast tendin are rdcini mai vechi, dar impactul computerelor de tip PC a fost aa de mare, nct si reaciile mpotriva acestora au nceput s se fac mai evidente.

Iat o scurt dar spectaculoas evoluie a fabricrii n serie n toate colturile lumii si lansrii pe pia a viruilor: 1949 Sunt puse pentru prima oara bazele teoriilor legate de programele care se autoreproduc. 1981 Virusii Apple 1, 2, si 3 sunt printre primii virusi "in the wild". Descoperiti in sistemul de operare Apple II, virusii se raspandesc in Texas A&M prin intermediul jocurilor piratate. 1983 In teza sa de doctorat, Fred Cohen defineste pentru prima oara formal un virus de calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le intrun mod care presupune abordarea unor copii evoluate ale lor." 1986 Doi programatori Basit si Amjad(frati pakistanezi) au descoperit c un anumit sector dintr-un floppy disk conine un cod executabil care funciona de cte ori porneau computerul cu discheta montat n unitate. Acestora le-a venit ideea nlocuirii acestui cod executabil cu un program propriu.Floppy-urile infectate aveau " Brain" ca eticheta de disc (volume label). Acest program putea beneficia de memorie si putea fi astfel copiat n orice dischet si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupnd doar 360 KB dintr-un floppy disc. Tot in acelasi an, un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier . El a scris o demonstratie a acestui efect, pe care a numit-o VIRDEM (Virus Demonstration) si a distribuit-o la conferinta pe tema virusilor Chaos Computer Club, in luna decembrie a acelui an . VIRDEM ar fi infestat orice fisier COM . Din nou pagubele erau destul de nesemnificative . Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte . In aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz Swoboda a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit Charlie si s-a facut multa publicitate in jurul acestei descoperiri . Ralf Burger a obtinut o copie a acestui virus si i-a dat-o unui prieten, Berdt Fix, care l-a dezansamblat (a fost pentru prima oara cand cineva a dezansamblat un virus) . Burger a inclus aceasta dezansamblare in cartea sa, dupa ce a scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagubele pe care le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa rebooteze calculatorul (virusul copiaza primi cinci octeti de cod) ; Burger (poate Fix) a inlocuit acest cod de rebootare cu cinci spatii . Efectul era ca fisierele copiate bloca calculatorul, in loc sa-l rebooteze . 1987 Programatorii de la Universitatea din Delaware au constatat ca au virusul lansat de cei doi programatori Basit si Amjad cand au vazut eticheta " Brain" pe o discheta . Tot ce facea el era sa se autocopie si punea o eticheta de volum pe discheta.

Tot in 1987, la Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut sub numele de Lehigh . Acesta a fost un model extrem de nereusit - nu era prevazut sa se raspandeasca in afara universitatii, pentru ca infecta doar COMMAND.COM si crea multe pagube gazdei, dupa numai patru reproduceri . In aceasta perioada, la Tel Aviv, un alt programator facea experiente . Primul sau virus a fost numit Suriv-01(cuvantul virus scris invers) . Era un virus rezident in memorie , ce putea sa infecteze orice fisier COM - o strategie de infectare mult mai buna decat strategiile utilizate de virusul vienez, caci ducea la infectarea tuturor fisierelor de pe toate drive-urile si din toate directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar fisierele EXE, dar a fost primul de acest fel din lume . Cea de-a treia incercare Suriv-03, un virus ce ataca atat fisierele EXE, cat si cele COM . Tot in acea vreme, un student de la Universitatea din Wellington, Noua Zeelanda, a gasit o cale foarte simpla de a crea un virus foarte eficient . O singura data din opt, cand se booteaza de pe o discheta infectata, virusul se declanseaza si pe monitor aparea mesajul PC-ul tau este acum impietrit de unde si numele virusului (STRONED). Virusul in sine avea dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in memorie a devenit cel mai raspandit virus din lumea intreaga. Virusul original se numeste scum Stoned.Standard.A , fiind si astazi in topul celor mai raspanditi virusi . In Italia, la Universitatea din Torino, un programator a scris si el un virus de sector boot . Daca discul era accesat, din jumatate in jumatate de ora virusul iti afisa o minge miscatoare pe ecran (bouncing ball) . Virusul avea un defect major - nu putea sa ruleze doar pe calculatoarele 8086 sau 8088, pentru ca folosea o instructiune care nu functiona pe chipuri mai complexe . Un alt programator german a scris un virus foarte destept numit - Cascade (dupa literele cazatoare pe care le afisa ) . Cea mai mare parte a virusului era encriptata, lasand doar o mica parte necodata, curata, pentru a putea decoda restul cu ea . Rostul acestui mecanism nu a fost destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea obtiunile de alegere a sirului de cautare doar la primi cativa octeti . Cascade trebuia sa verifice si Bios-ul, si daca ar fi gasit un copyright IBM ar fi stopat procesul de infectare . Aceasta parte a codului nu a functionat . Autorul a emis la putin timp dupa aceea o noua versiune a virusului, de 1074 octeti in loc de 1701, cu scopul de a corecta aceasta greseala . Dar si noua versiune avea o scapare : nu era in stare sa detecteze Bios-urile IBM . Dintre acesti virusi timpurii doar Stoned , Cascade si Jerusalem au rezistat pana in zilele noastre . 1988 Este anul in care au aparut primii comercianti de antivirus, pe care le vindeau la preturi foarte reduse (5-10 USD) . Unele firme au incercat, ocazional, sa se propulseze, dar nimeni nu platea bani seriosi pentru o potentiala problema . Astfel, s-a dat o sansa virusilor Stoned, Cascade si Jerusalem de a se raspandi, fara a fi descoperiti . Totusi, compania IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut parte de o epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia neplacuta de a-si anunta clientii ca s-ar putea sa fi fost infectati . De fapt, nu a fost o problema foarte serioasa dar, din acel moment, IBM a luat problema in seros si, drept rezultat, la High Integrity Computing Laboratory din Yorktown s-a decis sa se inceapa cercetarile in acest domeniu .

La sfarsitul lui 1988 au avut loc aproape simultan mai multe evenimente : o epidemie mare de Jerusalem(Suriv-04) intr-o institutie financiara, virusul afecteaza fisierele .exe si .com si sterge toate programele rulate in cursul acelei zile; al doilea - o firma britanica numita S&S a tinut primul seminar pe tema virusilor, seminar care a explicat in premiera ce este un virus si cum lucreaza el ; al treilea - a avut loc epidemia de Vineri 13 . Un lucru era clar pentru toti : instituti financiare, grupurile academice si persoanele fizice ar putea cu usurinta sa faca fata unei epidemii, daca ar avea uneltele necesare . Tot ce trebuia era un detector eficient de virusi, care nu era insa disponibil . Ca atare, a fost crea primul Anti Virus Toolkint . 1989 Un scotian a contactat cercetatori din Anglia si le-a comunicat ca a gasit un virus in hard disk-ul sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va declansa din nou pe data de 13 luna viitoare . Cand virusul a fost dezansamblat, s-a constataca ca in orice zi dupa octombrie el declansa o formatare low level a cilindrului zero de pe hard disk, care determina pe cele mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si lasa utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A fost publicata o analiza a efectelor virusului dar s-a constataca ca era vorba, de fapt, de un alt virus, nerezident in memorie . In America oameni au inceput sa-l numeasca Columbus Day Virus (12 octombrie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel Rosu a adescoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era de a rula un detector . In luna iulie, companiile scotiene au inceput sa intrebe IBM daca virusii sunt o amenintare serioasa . Datacrime nu exista poate, dar exista posibilitatea ca o firma sa se infecteza cu Jerusalem, Cascade sau Stoned . Ce face IBM-ul impotriva acestei amenintari ? , au intrebat ei .IBM detinea un program antivirus, insa era folosit doar pentru uz intern . IBM avea o dilema :daca nu oferea acest software clientilor si daca pe 13 octombrie o serie de calculatoare ar fi cazut, reputatia sa avea de suferit . In septembrie 1989, IBM a scos pe piata impreuna cu o scrisoare prin care ei explicau clientilor despre ce era vorba . 13 octombrie a cazut intr-o vineri, asa ca a fost un eveniment dub - Jerusalem si Datacrime . In SUA, Datacrime a fost exagerat si confundat cu unul care nu este atat de periculos ca acesta . In Londra, Royal National Institute for the Blind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de cercetare, reprezentand luni intregi de munca . Acest eveniment a fost investigat si se inregistrase intradevar o mica eruptie de Jerusalem si cateva fisiere usor de inlocuit au fost sterse . 1990 Mark Washburn a analizat virusul Viena si a creat pe baza lui primul virus polimorf . Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si ca exista un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama larga de forme si, in primi virusi, cel mai lung sir de cautare posibil era doar de doi octeti (V2P6 a caborat acest prag pana la octet ) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posibilii descriptori .

Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era acea de infector rapid . In cazul acestora daca virusul era in memorie, atunci simpla deschidere a unui fisier pentru citire ducea la infectare . Hard disk-ul este infectat foarte repede . Cea de-a doua idee noua in acest virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda de timp, se face un back-up al fisierelor corupte si, cand este refacut back-up-ul, datele sunt de nefolosit . La sfarsitul anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie sa fie mult mai organizati, asadar a luat nastere in Hamburg EICAR (European Institute for Computer Antivirus Research), in decembrie 1990 . La vremea cand a fost creat EICAR existau aproximativ 150 de virusi , iar pana la sfarsitul anului au fost cunoscuti si catalogati 300 de virusi. In luna decembrie a aceluias an Symantec lanseaza pe piata Norton AntiVirus, unul dintre primele programe antivirus dezvoltate de catre una dintre marile companii. 1991 La sfarsitul anului existau peste 1000 de virusi. In luna aprilie Central Point a lansat CPAV. Acesta a fost repede urmat de XTree, Fifth Generation si altii . Tequila este primul virus polimorf cu raspandire pe scara larga gasit "in the wild". Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin schimbarea modul de actiune cu fiecare noua infectie. 1992 Exista 1300 de virusi, cu aproape 420% mai multi decat in decembrie 1990. Previziunile sumbre ale virusului Michelangelo ameninta colapsul a circa 5 milioane de calculatoare pe data de 6 martie. Insa doar 5,000-10,000 de calculatoare se intampla sa "dea coltul". 1994 Erau inregistrati peste 4000 de virusi. Farsa de proportii din partea email-ului hoax (alarma falsa) Good Times. Farsa se bazeaza pe amenintarea unui virus sofisticat care e capabil sa stearga un intreg hard prin simpla deschidere a emailului al carui subiect este "Good Times". Desi se stie despre ce e vorba, hoasul revine la un interval de 6-12 luni. 1995 Anul 1995 este cunoscut ca fiind si anul n care a nceput s apar conceptul de macrovirus, devenind n scurt timp o adevrat ameninare, deoarece erau mult mai uor de fabricat dect prinii lor viruii. Acetia nu erau adresai numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel nct ei puteau fi folosii pentru orice program, uurndu-se calea de apariie a cunoscuilor microvirusi care au infestat fiierele la acea vreme produsul Lotus AmiPro. Primul dintre macrovirui a fost cel folosit n Word si Word Basic. Word Concept, virus de Microsoft Word, devine unul dintre cei mai raspanditi virusi din anii '90.

1996 In luna iulie a acestui an a aparut si primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel. 1998 StrangeBrew, actualmente inofensiv si totusi raportat, este primul virus care infecteaza fisierele Java. Virusul modifica fisierele CLASS adaugand la mijlocul acestora o copie a sa si incepand executarea programului din interiorul sectiunii virusate. Virusul Cernobal se raspandeste rapid prin intermediul fisierelor ".exe". Dupa cum o sugereaza si notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un anumit cip din interiorul computerelor infectate. 1999 Virusul Melissa, W97M/Melissa, executa un macro dintr-un document atasat emailului, care transmite mai departe documentul la 50 de adrese existente in Outlook address book. Virusul infecteaza si documente Word pe care le trimite ca atasamente. Melissa se imprastie mult mai rapid decat alti virusi anteriori infectand cam 1 milion de calculatoare. Bubble Boy este primul virus care nu mai depinde de deschiderea atasamentului pentru a se executa. De indata ce userul deschide email-ul, Bubble Boy se si pune pe treaba. 2000 Love Bug, cunoscut si sub numele de ILOVEYOU se raspandeste via Outlook, asemanator modului de raspandire al Melissei. Acest virus e primit ca un atasament .VBS, sterge fisiere, inclusiv MP3, MP2 si JPG si trimite username-uri si parole gasite in sistem autorului virusului. W97M.Resume.A, o noua varianta a Melissei, este "in the wild". Virusul se comporta cam ca Melissa, folosindu-se de un macro Word pentru a infecta Outlook-ul si pentru a se raspandi. Virusul Stages deghizat intr-un email gluma despre etapele vietii, se raspandeste prin Internet. Deloc specific celorlalti virusi anteriori, Stages este ascuns intr-un atasament cu extensie falsa .txt, momind utilizatorii sa-l deschida. Pana la aparitia sa, fisierele text erau considerate fisiere sigure. In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an . Din 2-3 milioane pe an doar 2-3 virusi pot face probleme serioase in lume . De cand au aparut virusii, companiile au pierdut miliarde de dolari . In 2001 pierderi de 12 miliarde , in 2002 pierderi de 25 de miliarde iar in 2003 - 55 miliarde . Pe 2004 100 miliarde si cifrele cresc in continuare an de an.

Clasificarea virusilor Viruii informatici nu afecteaz numai buna funcionare a calculatoarelor. Printr-o proiectare corespunztoare a prii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de antaj si constrngere. In septembrie 1989 existau cam dou duzini de virui. Fiecare dintre acetia avea variante: mici modificri n codul viral sau schimbarea mesajelor afiate. De exemplu, virusul 17Y4 difer de virusul 1704 doar cu un octet. n mai 1998 existau aproximativ 20.000 de virui (zilnic apar 3 noi virui. O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite criterii: modul de aciune, tipul de ameninare, grade de distrugere, tipul de instalare, modul de declanare etc. Exist unele clasificri mai vechi care, desigur, nu mai corespund astzi. In forma cea mai generala virusii se impart in: Virusi hardware Virusi software Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria. Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si buni cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si cel aplicativ. Cateva dintre efectele pe care le genereaza virusii software: a) distrugerea unor fiiere; b) modificarea dimensiunii fiierelor; c) tergerea totala a informailor de pe disc, inclusiv formatarea acestuia; d) distrugerea tabelei de alocare a fiierelor, care duce la imposibilitatea citirii informaiei de pe disc; e) diverse efecte grafice/sonore inofensive; f) ncetinirea vitezei de lucru a calculatorului pana la bloc. Virusii se mai pot imparti in doua mari categorii: Virusi de BOOT Virusi de fisiere Exist i virui cu caracteristicile ambelor categorii (i de BOOT i de fiiere), dar acetia sunt n numr foarte mic. Viruii de BOOT au diferite reacii. Ei se ncarc n memorie naintea sistemului de operare, transfer coninutul de BOOT n alt sector, amestec datele. Infecteaz orice disc logic al hard discului i orice dischet care se introduce n unitatea de dischete. Tot n aceast categorie intra i viruii care infecteaz tabela de partiii a hard discului. Gsindu-se n tabela de partiii, ei se ncarc n memorie naintea sectorului de BOOT. Viruii de fiiere se fixeaz de regul pe fiierele cu extensia EXE sau COM. Cnd programul infectat este rulat, virusul se activeaz rmnnd de cele mai multe ori rezident n memorie pentru a infecta orice program se va lansa n execuie. Dac ar fi numai att, ar fi simplu ! Din pcate viruii de fiiere sunt de mai multe tipuri. Pn acum am descris tipul "clasic".

Cei mai muli dintre viruii de fiiere actuali sunt poliformi (se mai numesc mutani sau evolutivi). Ei sunt codificai, coninnd doar o mic parte - modulul de decodificare necodificat. n momentul activrii virusului, modulul de decodificare intr n aciune i decodific restul virusului. Corpul virusului mai conine - evident, vei zice - i un modul de codificare. Folosind un generator de numere pseudoaleatoare acest modul i schimb algoritmul de codificare la fiecare infectare a unui fiier, modificnd modulul de decodificare. Ca urmare, nu exist o secven comun mai mare de civa octei ntre dou contaminri succesive. Diabolicul bulgar care-i zice Dark Avenger (Rzboinicul ntunecat) a realizat un program numit MutaTion Engine (MtE) care poate transforma orice virus "clasic" ntr-un virus poliform. Un tip aparte de virui de fiiere l constituie viruii Stealth (de furiare). Acetia sunt capabili s pcleasc programele antivirus, simulnd toate apelurile de sistem DOS care ar duce la detectarea lor i fcndu-le s ntoarc acele informaii care s-ar obine n lipsa atacului. Dac un virus Stealth este rezident n memorie, el va pcli un program antivirus care citete un fiier infectat cu acest tip de virus, deoarece virusul i ascunde propriul cod, artnd numai codul fiierului. Termenul Stealth provine de la aviaia "clandestin" a SUA care a reuit s evite detectarea prin radar n Razboiul din Golf. Aceast tehnic are o analogie biologic. Viruii mai pot fi clasificai dup urmtoarele criterii: Dup modul de infectare: virui care infecteaz fiierele cnd un program infectat este rulat; virui care rmn rezideni n memorie cnd un program infectat este rulat i infecteaz apoi toate programele lansate n execuie Din punct de vedere al capacitatii de multiplicare: Virusi care se reproduc, infecteaza si distrug; Virusi care nu se reproduc, dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase urme(Worms). In functie de tipul distrugerilor in sistem: Virusi care provoaca distrugerea programului in care sunt inclusi; Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul se manifesta prin incetinirea vitezei de lucru, blocarea tastaturii, reinitializarea aleatorie a sistemului, afisarea unor mesaje sau imagini nejustificate; Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina, alterarea integrala si irecuperabila a informatiei existente. Dupa pozitia in cadrul fisierului infectat: virui care suprascriu fiierul, nemodificndu-i lungimea (anumii virui suprascriu numai zonele rezervate datelor pentru a nu mpiedica funcionarea programului - acetia se numesc virui de cavitate); virui care i adaug codul la sfritul programului; virui care i adaug codul la nceputul programului

Dup viteza de infectare: virui rapizi (fast infector), care infecteaz toate fiierele care sunt descrise (chiar prin scanare fiierele pot fi infectate); virui leni, care infecteaz numai programele care sunt lansate n execuie. Exist virui "blindai", a cror dezasamblare este foarte dificil, ca urmare sunt aproape imposibil de studiat Primii virusi atacau programele gazda. De exemplu, Brain inlocuia numele volumului dischetei cu al sau; Vendredi 13 crestea dimensiunea programelor cu 512 octetil Data crime si Vienna se semnau prin respectiv 1168 si 648 octeti. Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile sa infecteze un program, fara ca alterarea sa fie prea ostentativa. Odata introdus pe disc, a doua faza a vietii unui virus este autoprogramarea. Virusii incearca sa infecteze cat mai multe programe, inainte de a ataca propriu-zis. Pentru a opera cat mai eficient, virusii isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca o data. Pe acest principiu lucreaza si antivirusii, adica pe reperarea unei intruziuni. Ei analizeaza unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect major: virusul trebuie indentificat, deci tabela de semnaturi trebuie permanent reactualizata. Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte prea dramatice. De exemplu: Virusul KeyPress duce la aparitia pe ecran a sirului AAAAA, daca se apasa tasta A. Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele de muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love You" sau "Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere importante trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua mamei sau cu subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt mail-uri de la companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi scapat de virusi insa, de fapt, ti-i dadea. Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat numele dupa o boala care este transmisa de catre sobolani. HPS il face pe cel infectat sa aiba probleme respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul HPS a fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. Interesant este ca acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie lansat pe piata.

Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand primele sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea altceva decat sa afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana". Insa unele dintre cele 90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii, Rostov, Smithsonian, StonedMutation) reuseau pana la urma sa-ti blocheze computerul. Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca iti infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se infiltra in computerele tuturor curiosilor care deschideau aceste fisiere. Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus la inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi piratat. Dar s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub diferite nume ca Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa pakistaneza acest virus infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in fisierele infectate. Mai manca si 7 KB din memoria computerului facandu-l sa meraga foarte greu. Se pare ca cei doi frati nu mintisera cand au zis ca a fost totul o greseala, pentru ca si-au facut publice numele, adresele, numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i contacteze pentru vaccin. Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat cele mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei care erau infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in mici cranii si oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea sau sa primeasca telefoane, celelalte functii inteligente fiind neoperabile. Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in 2004 pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul), joc creat special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea mesaje text cu preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul lucru era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in neregula cu mobilul pana nu-ti venea prima factura exorbitanta. Cei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor: stergeri, formatari de disc, bruiaj de informatii, modificari in bazele de date,etc.Uneori, virusii atacau dupa o lunga perioada de somnolenta. De exemplu, Golden Gate nu devine agresiv decat dupa ce a infectat 500 de programe, Cyber TechB nu a actionat, in schimb, decat pana la 31 decembrie 1993. Morala: utilizatorul avizat(si patit) trebuie sa aiba grija ca periodic sa ruleze programe antivitus.

In manualul de utilizare al MS-DOS, Microsoft imparte virusii in trei categorii: Virusi care infecteaza sistemul de boot Virusi care infecteaza fisierele Virusi Cal Troian Ultimii sunt acele programe care aparent au o anumita intrebuintare, dar sunt inzestrati cu proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata astfel: Armati - o forma mai recenta de virusi, care contin proceduri ce impiedica dezasamblarea si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta antidotul (ex: Whale). Autoencriptori - inglobeaza in corpul lor metode de criptare sofisticate facand detectia destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare( ex: Cascade) Bacteria - este programul care se nmulete rapid si se localizeaz n sistemul gazd, ocupnd procesorul si memoria central a calculatorului, provocnd paralizia complet a acestuia. Bomba (Bomb) - este un mecanism, nu neaprat de tip viral, care poate provoca n mod intenionat distrugerea datelor. Este de fapt ceea ce face faima viruilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, pn la adevrate catastrofe, cum ar fi tergerea tuturor fiierelor de pe hard disk. Bomba cu ceas (Timer bomb) - este un virus de tip bomb, numit si bomb cu ntrziere, programat special pentru a aciona la un anumit moment de timp. Este de fapt, o secven de program introdus n sistem, care intr n funciune numai condiionat de o anumit dat si or. Aceast caracteristic foarte important face ca procesul de detectare s fie foarte dificil, sistemul putnd s funcioneze corect o bun perioad de timp. Aciunea lui distructiv este deosebit, putnd terge fiiere, bloca sistemul, formata hard disk-ul si distruge toate fiierele sistem. Bomba logic (Logic bomb) - este un virus de tip bomb, care provoac stricciuni atunci cnd este ndeplinit o anumit condiie, precum prezenta ori absenta unui nume de fiier pe disc. De fapt, reprezint un program care poate avea acces n zone de memorie n care utilizatorul nu are acces, caracterizndu-se prin efect distructiv puternic si necontrolat. O astfel de secven de program introdus n sistem, intr n funciune numai condiionat de realizarea unor condiii prealabile. Camarazi - sunt avantajati de o particularitate a DOS-ului, care executa programele .com inaintea celor .exe. Acesti virusi se ataseaza de fisierele .exe, apoi le copiaza schimband extensia in .com. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. Odata lansat in executie fisierul respectiv, ceea ce se executa nu este fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatii Calul troian (Trojan horse) - reprezint programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a crui execuie produce efecte secundare nedorite, n general neanticipate de ctre utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparent de funcionare normal.

Calul troian este un program pe calculator care apare pentru a executa funcii valide, dar conine ascunse n codul su instruciuni ce pot provoca daune sistemelor pe care se instaleaz i ruleaz, deseori foarte severe. Un exemplu foarte cunoscut astzi de un astfel de program este cel numit Aids Information Kit Trojan. Pe un model de tip "cal troian" s-a bazat marea pcleal care a strnit mult vlv la sfritul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care preau s conin informaii despre SIDA, au fost expediate de la o adres bine cunoscut din Londra, ctre corporaii, firme de asigurri si profesioniti din domeniul sntii, din Europa si America de Nord. Destinatarii care au ncrcat discurile pe calculatoarele lor, au avut surpriza s descopere destul de repede c acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reuit s tearg complet datele de pe hard disk-urile pe care au fost copiate. Programele de tip "cal-troian" mai conin o caracteristic important. Spre deosebire de viruii obinuii de calculator, acetia nu se pot nmuli n mod automat. Acest fapt nu constituie ns o consolare semnificativ pentru cineva care tocmai a pierdut zile si luni de munc pe un calculator. Alte exemple de cai troieni: 1. Remote Access Trojans (RAT's) Acest tip de troian este cel mai folosit in ultimul timp. Multa lume vrea sa detina un astfel de troian pentru a putea avea acces la harddisk-ul victimei. Folosirea unui astfel de troian nu necesita experienta, fiind foarte usor de utilizat. Trebuie doar sa convingeti pe cineva sa ruleze serverul pe computerul lor dupa care ve-ti afla IP-ul victimei avand astfel acces deplin asupra sistemului pe care a fost rulat serverul. In functie de tipul de "RAT" pe care il folositi ve-ti putea efectua anumite operatii asupra sistemelor infectate. Majoritatea troienilor de acest tip prezinta urmatoarele functi: - keylogger; - upload si download; - realizarea unui screenshot; - controlul asupra anumitor componente ale sistemului infectat (CD-ROM, Webcam); Metoda de conectare la sitemul infectat folosita de RAT's (Remote Access Trojans) o reprezinta deschiderea unui port in computerul infectat, prin care se poate conecta orice hacker. Pentru a putea opri alte persoane sa se conecteze la computerul infectat exista posibilitatea de a-l parola sau de a-i schimba portul. Schimbarea portului deschis este un proces foarte important deoarece nu cred ca este bine ca victima sa constate ca de exemplu portul 1243 este deschis. Aproape saptamanal apar noi astfel de programe ce vin cu noi posibilitati dar care au si abilitatea de a nu fi detectate de anti-virusi. De aceea este recomandat sa folositi in general ultimile versiuni de RAT's aparute, pentru a avea un randament cat mai mare. Folosirea acestor programe presupune o atentie marita deoarece daca nu aveti grija va puteti infecta foarte usor devenind din pradator prada. 2. Password Sending Trojans Scopul acestor troieni este de a afla parolele unui computer iar apoi de a le trimite la o adresa de e-mail specificata fara sa-si dea seama victima.

Marea majoritate a acestor troieni nu repornesc de fiecare data cand Windows-ul se incarca si in general folosesc pentru a trimite mail-urile portul 25. Exista cativa astfel de troieni ce trimit mail-uri si cu alte informatii folositoare. 3. FTP Trojans Aceasta categorie de troieni deschid portul 21 pe computerul infectat lasand orice hacker, ce are un client de FTP, sa se conectez la sistemul infectat pentru a putea realiza atat download cat si upload. 4. Keyloggers Keyloggers trojans sunt cei mai simpli troieni. Singura operatie pe care o realizeaza este aceea de a inregistra fiecare tasta apasata de victima. In majoritatea cazurilor acesti troieni repornesc de fiecare data cand se incarca Windows-ul. Prezinta posibilitatea de a lucra atat in mod online cat si in mod offline. In modul online ei inregistreaza si trimit in mod direct informatia. Modul offline este activat in momentul in care victima nu mai este conectata la retea (internet), informatia inregistrata fiind salvata pe harddisk-ul victimei asteptand sa fie transferata. 5. Desctructive Singura functie pe care o realizeaza acesti troieni este de a distruge si sterge fisierele. Sunt cei mai simpli si usor de folosit deoarece pot sterge automat toate fisierele cu extensiile .dll .ini sau .exe din computerul infectat. Sunt foarte periculosi si de indata ce ati fost infectat daca nu va dezinfectati computerul intr-un timp cat mai scurt toata informatia stocata pe harddisk nu va mai exista. Acestea sunt cele mai folosite categori de Troieni. Toti sunt periculosi si ar trebui sa aveti grija cum lucrati cu ei. Furisati(stealth) - acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut, deci este infectat . Exemplu:512,Atheus,Brain, Damage, Gremlin,Holocaust,Telecom Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea iniial a procesului de ncrcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (ncrcare) atac fie sectorul de ncrcare principal, fie sectorul de ncrcare DOS de pe disc. Toi viruii sectorului de ncrcare modific ntr-un anume fel coninutul sectorului de boot. Modificrile sectorului de boot nu trebuie s fie prea extinse: unii virui mai noi din aceast categorie sunt capabili s infecteze discul fix, modificnd doar zece octei din acest sector. Exemplu: Alameda,Ashar,Bloodie,Cannabis,Chaos. Virus ataat (Appending virus) - este un virus care i ataeaz codul la codul existent al fiierului, nedistrugnd codul original. Primul care se execut atunci cnd se lanseaz fiierul infectat este virusul. Apoi, acesta se multiplic, face sau nu ceva stricciuni, dup care red controlul codului original si permite programului s se execute normal n continuare. Acesta este modul de aciune al unui "virus clasic". Virus companion (Companion virus) - este un virus care infecteaz fiiere de tip .EXE prin crearea unui fiier COM avnd acelai nume si coninnd codul viral. El speculeaz o anumit caracteristic a sistemului DOS prin care, dac dou programe, unul de tip .EXE si cellalt de tip .COM, au acelai nume, atunci se execut mai nti fiierul de tip .COM.

Virus criptografic (Crypto virus)- un virus care se infiltreaz n memoria sistemului si permite folosirea absolut normal a intrrilor si transmiterilor de date, avnd proprietatea c, la o anumit dat, se autodistruge, distrugnd n acelai timp toate datele din sistem si fcndu-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de ctre emitor aflat la distan, prin transmiterea unei comenzi corespunztoare. Virus critic (Critical virus) - este un virus care pur si simplu se nscrie peste codul unui fiier executabil fr a ncerca s pstreze codul original al fiierului infectat. n cele mai multe cazuri, fiierul infectat devine neutilizabil. Cei mai muli virui de acest fel sunt virui vechi, primitivi, existnd ns i excepii. Virus cu infecie multipl (multi-partite virus) - este un virus care infecteaz att sectorul de boot, ct si fiierele executabile, avnd caracteristicile specifice att ale viruilor sectorului de ncrcare, ct si ale celor parazii. Acest tip de virus se ataeaz la fiierele executabile, dar i plaseaz codul si n sistemul de operare, de obicei n MBR sau n sectoarele ascunse. Astfel, un virus cu infecie multipl devine activ dac un fiier infectat este executat sau dac PC-ul este ncrcat de pe un disc infectat. Exemplu: Authax, Crazy Eddie,Invader, Malaga,etc Virus de atac binar - este un virus care opereaz n sistemul de "cal troian", coninnd doar civa bii pentru a se putea lega de sistem, restul fiind de regul mascat ca un program neexecutabil Virus de legtur (Link virus) - este un virus care modific intrrile din tabela de directoare pentru a conduce la corpul virusului. Ca si viruii ataai, viruii de legtur nu modific coninutul nsui al fiierelor executabile, ns altereaz structura de directoare, legnd primul pointer de cluster al intrrii de directoare corespunztoare fiierelor executabile la un singur cluster coninnd codul virusului. Odat ce s-a executat codul virusului, el ncarc fiierul executabil, citind corect valoarea cluster-ului de start care este stocat n alt parte. Virusii de macro fac parte dintr-o nou generaie de virui de fiiere. Viruii macro infecteaz documente, nu programe. Ei pot infecta numai documentele create cu programe care folosesc limbaje macro (Word, Excel). Un exemplu de limbaj macro este WordBasic, care este inclus n Microsoft Word 7.0. Pachetul Microsoft Office 97 folosete ca limbaj macro pentru programele componente (Word 97, Excel 97, Access 97) o versiune restransa de Visual Basic numit Visual Basic for Applications. Acesta este un limbaj puternic (permite chiar i apeluri de sistem) care a determinat apariia viruilor macro ce infecteaz i bazele de date Access 97 (.MDB). Deci acest tip de virui utilizeaz limbajul de programare macro al unei aplicaii, pentru a se distribui pe ei nii. De obicei fiierele document au ataate macro-uri care sunt executate automat la deschiderea lor. Unele dintre acestea pot fi de fapt secvene virale. Un virus macro odat activat poate redefini comenzi ale programului care a deschis documentul, cum ar fi salvarea sau tiprirea la imprimant. Cel mai des acesta modific comanda de salvare a fiierelor (Save As din meniul File), astfel nct fiierele vor fi salvate numai ca abloane (template-uri - de exemplu .DOT pentru Word), dar cu extensia specific documentelor (n exemplul nostru .DOC). n final virusul infecteaz fiierul sablon global (de exemplu template-ul NORMAL.DOT n cazul programului Microsoft Word), virusand apoi prin intermediul acestuia orice document care se va deschide.

Infeciile cu un virus macro se rspndesc mult mai rapid dect infeciile cu virui obinuii, deoarece documentele sunt des folosite i circul mai mult dect alte tipuri de fiiere. Programele Microsoft WordMail, saul Word Internet Assistant nu permit transmiterea virusului. Un document infectat ataat la un mesaj WordMail, poate fi ns transmis prim Email. Deci atenie la cutia potal (electronic) ! Deoarece se scriu uor, numrul viruilor macro a crescut de la 40 n ianuarie 1997, la peste 2000 n vara anului 1998. Muli virui macro sunt variante ale altora (de exemplu exist 86 de variante ale virusului macro Wazzu). Zilnic apar peste 10 virui macro. Virus detaabil (File jumper virus) - este un virus care se dezlipete el nsui de fiierul infectat exact naintea deschiderii sau execuiei acestuia i i se reataeaz atunci cnd programul este nchis sau se termin. Aceast tehnic este foarte eficient mpotriva multor programe de scanare si scheme de validare, deoarece programul de scanare va vedea un fiier "curat" si va considera c totul este n regul. Aceasta este o tehnic de ascundere (stealth). Virus invizibil (Stealth virus) - este un virus care i ascunde prezenta sa, att fa de utilizatori, ct si fa de programele antivirus, de obicei, prin interceptarea serviciilor de ntreruperi. Virus morfic (Morphic virus) - un virus care i schimb constant codul de programare si configurarea n scopul evitrii unei structuri stabile care ar putea fi uor identificat i eliminat. Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruii nerezideni n memorie nu rmn activi dup ce programul infectat a fost executat. El opereaz dup un mecanism simplu si infecteaz doar executabilele atunci cnd un program infectat se execut. Comportarea tipic a unui astfel de virus este de a cuta un fiier gazd potrivit atunci cnd fiierul infectat se execut, s-l infecteze si apoi s redea controlul programului gazd. Virus parazit (Parasitic virus) - este un virus informatic, care se ataeaz de alt program si se activeaz atunci cnd programul este executat. El poate s se ataeze fie la nceputul programului, fie la sfritul su, ori poate chiar s suprascrie o parte din codul programului. Infecia se rspndete, de obicei, atunci cnd fiierul infectat este executat. Clasa viruilor parazii poate fi separat n dou: viruii care devin rezideni n memorie dup execuie i cei nerezideni. Viruii rezideni n memorie tind s infecteze alte fiiere, pe msur ce acestea sunt accesate, deschise sau executate. Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura n mod automat, pentru a ocoli sistemele de protecie acolo unde se instaleaz. El este criptat si automodificabil. Un virus polimorfic adaug aleator octei de tip "garbage" (gunoi) la codul de decriptare si/sau folosete metode de criptare/decriptare pentru a preveni existenta unor secvene constante de octei. Rezultatul net este un virus care poate avea o nfiare diferit n fiecare fiier infectat, fcnd astfel mult mai dificil detectarea lui cu un scaner. Exemplu: Andre, Cheeba,Dark Avenger,Phoenix 2000, Maltese Fish,etc Virus rezident (Rezident virus) - este un virus care se autoinstaleaz n memorie, astfel nct, chiar mult timp dup ce un program infectat a fost executat, el poate nc s infecteze un fiier, s invoce o rutin "trigger" (de declanare a unei anumite aciuni) sau s monitorizeze activitatea sistemului. Aproape toi viruii care infecteaz MBR-ul sunt virui rezideni. n general, viruii rezideni "aga" codul sistemului de operare. Marea majoritate a viruilor actuali folosesc tehnici de ascundere. Exist si un termen des folosit n acest domeniu; el se numete stealth (ascundere) si desemneaz tehnicile folosite de anumii virui care ncearc s scape de detecie. De exemplu, un lucru pe care-l pot face viruii rezideni, este s intercepteze comenzile (funciile) DOS de tip DIR si s raporteze dimensiunile originale ale fiierelor, si nu cele modificate datorit atarii virusului. Tehnicile Spawning si

File Jumper reprezint metode de ascundere, fiind ns cu mult mai avansate. Viruii spioni - Pe lng numeroii virui, cunoscui la aceast or n lumea calculatoarelor, exist o categorie aparte de astfel de "intrui", care au un rol special: acela de a inspecta, n calculatoarele sau reelele n care ptrund, tot ceea ce se petrece, si de a trimite napoi la proprietar, la o anumit dat i n anumite condiii, un raport complet privind "corespondenta" pe Internet si alte "aciuni" efectuate de ctre cel spionat prin intermediul calculatorului. Practic, un astfel de virus nu infecteaz calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea s distrug. El se instaleaz, de regul, prin intermediul unui mesaj de pot electronic i ateapt cuminte pn apar condiiile unui rspuns la aceeai adres. Ct timp se afl n reea, acesta culege informaiile care l intereseaz, le codific ntr-un anumit mod, depunndu-le ntro list a sa si apoi le transmite la proprietar. Un virus de acest gen poate ptrunde i se poate ascunde, de exemplu, ntr-un fiier tip "doc" primit printr-un e-mail. El i ncepe activitatea odat cu nchiderea unui document activ, atunci cnd verific dac acesta a fost infectat cu o anumit parte din codul su special. Unii virui din aceast categorie i i-au msuri ca s nu fie depistai si distrui de programele de dezinfectare. ntr-o secven de cod, dup o verificare si un control al liniilor, intrusul ncepe s nregistreze diferite mesaje si aciuni, le adaug la lista sa secret i ateapt condiiile ca s le transmit la destinatar, nimeni altul dect cel care l-a expediat. n unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adres pe care o identific singur. Dup aceasta, totul devine foarte simplu. E ca i cum n casa noastr se afl permanent cineva care asist din umbr la toate convorbirile noastre secrete i nesecrete i, atunci cnd are prilejul, le transmite prin telefon unui "beneficiar" care ateapt. Din pcate, viruii spioni sunt de multe ori neglijai. Nici chiar programele de dezinfectare nu sunt prea preocupate s-i ia n seam si s-i trateze, motivul principal fiind acela c ei nu au o aciune distructiv direct. Totui, pagubele pot fi uneori nsemnate, nemaipunnd la socoteal i faptul c nimeni pe lumea aceasta nu si-ar dori s fie "controlat" n intimitatea sa. Un astfel de spion poate sta mult si bine ntr-un calculator, dac nu este depistat la timp si nlturat de un program serios de devirusare. Este, desigur, un adevrat semnal de alarm, pentru simplul motiv c asemenea "intrui" exist i pot ptrunde n viaa noastr i pe aceast cale. Un astfel de virus spion a fost descoperit de un student n primvara anului 1999, n reeaua de calculatoare a dezvolttorilor de software ai Direciei Informatic din CS Sidex SA, de catre un student. Un program care acioneaz n acest mod este cunoscut n literatura de specialitate cu numele de spyware (spion). O serie de virui de e-mail, precum celebrul Melissa, ncearc s trimit documente confideniale - personale sau ale companiei la care lucrai. Iar dac celebrul cal troian numit "Back Orifice" si-a gsit o cale ctre sistemul dvs., el va oferi control deplin asupra ntregului PC oricui va solicita acest lucru. Chiar si n condiiile n care sistemul este bine protejat mpotriva atacurilor din exterior, este posibil ca o trdare s se petreac din interior. Cu alte cuvinte, atunci cnd v conectai la Internet este posibil s fie partajat conexiunea cu un parazit, adic un program spion care are propria sa activitate si care se conecteaz la momente prestabilite la site-ul su de Web.

Unele programe spyware sunt instalate n mod automat atunci cnd vizitai un anumit site de Web ce face apel la ele. Altele sunt instalate mpreun cu aplicaii de tip shareware sau freeware. Instalarea se produce uneori fr a fi contieni de ea sau chiar acceptabil prin apsarea butonului Yes fr citirea textului licenei de utilizare. Programele spyware nu sunt denumite astfel pentru c ele "fur" informaii private ci pentru modul secret n care acioneaz, fr a fi cunoscute sau fr a cere vreo permisiune din partea utilizatorului. Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de recepionat mesaje publicitare, afieaz aceste informaii n programele asociate si ncearc s ajusteze mesajul publicitar preferinelor si obiceiurilor utilizatorilor. Altele colecteaz informaii statistice pentru clienii lor. Toate aceste programe pretind c v protejeaz informaiile private si la o analiz atent se dovedete c au dreptate. Informaiile nepersonale ce sunt adunate de aceste programe ar putea fi totui folosite ntr-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.

Ce este un vierme de calculator?

Viermele (Worm) - este un program care, inserat ntr-o reea de calculatoare, devine activ ntr-o staie de lucru n care nu se ruleaz nici un program. El nu infecteaz alte fiiere, aa cum fac adevraii virui. Se multiplic ns n mai multe copii pe sistem si, mai ales, ntr-un sistem distribuit de calcul. n acest fel "mnnc" din resursele sistemului (RAM, disc, CPU etc.). Un vierme este un tip de virus care poate sa infecteze un sistem fara sa fie nevoie sa ruleze un cod; acesta poate sa exploateze vulnerabilitatile aplicatiilor software si sa se instaleze automat in computer. Si acest tip de virus se va raspandi in retea si va incerca sa foloseasca vulnerabilitatile descoperite pentru multiplicarea cat mai multor sisteme. Un vierme este asemanator unui virus prin faptul ca se auto-copiaza, diferenta constnd n faptul ca un vierme nu are nevoie sa se ataseze la anumite fisiere pentru a se multiplica. Istoria viermilor Aparitia: Pe 2 noiembrie 1988 unele din calculatoarele cuplate la reteaua numita Internet, care lega o parte dintre marile universitati si centre de cercetare americane, au nceput sa exhibe simptome ciudate. Calculatoarele executau tot felul de programe, compilau surse si comunicau cu alte calculatoare din retea, fara ca cineva sa fi initiat aceste activitati. Prima alarma a fost pornita la universitatea Stanford, la ora 9 seara (ora coastei de est a Statelor Unite), care afirma ca majoritatea masinilor Unix din campus (n numar de vreo 2500) erau infectate de un virus care pornise de la MIT. La ora 10 seara programatorii de la MIT au descoperit si ei o activitate suspicioasa si au ncercat sa reboot-eze calculatoarele, creznd ca e vorba de un program care a luat-o razna. Cnd au observat nsa ca, nu mult timp dupa repornire, calculatoarele re-ncepeau acelasi lant de activitati bizare, au realizat ca ceva mai serios se afla la mijloc.

n curnd mesaje de e-mail schimbate cu colegi de la alte universitati le-au revelat ca atacul era universal: calculatoare din toata America sufereau deaceleasi simptome. Au urmat apoi doua nopti albe si munca n foc continuu n care hacker-ii ncercau sa nteleaga n ce fel functioneaza noul virus care le ataca calculatoarele. La fel ca si cei biologici, virusii de obicei calatoresc n spinarea altor programe, care forteaza celulele organismului gazda sa-I multiplice. Programul cel nou era nsa autonom; ca atare a fost botezat ``vierme'': era un organism de sine-statator, capabil sa se multiplice si sa atace de la sine alte calculatoare. Cercetatorii au atacat viermele prin mai multe metode: au nceput sa-l dezasambleze si sa descifreze instructiunile din care era compus; au creat masini-capcana pe care sa le infecteze, care nregistrau o multime de detalii despre ceea ce se petrecea cu ele nsele (creau ``log-uri''); au creat masini-mutant pe care le paralizau partial, pentru a descoperi care sunt serviciile de care viermele are nevoie pentru a se putea multiplica; Viermele acesta era deosebit de virulent si complicat, atacnd statii de lucru Sunsi VAX care rulau sistemul de operare Unix de la Berkeley. Viermele folosea mai multe metode de propagare, exploatnd mai multe slabiciuni n configurarea calculatoarelor si implementarea programelor: nti ncerca sa se transfere ntre calculatoare pe care acelasi utilizatoravea conturi diferite si ntre care utilizatorul si configurase acces faraparole (folosind fisierele .rhosts); Daca nu reusea folosind acest mecanism, ncerca sa foloseasca o slabiciune din programul send mail, care si la ora actuala este cel mai folosit program pentru procesarea postei electronice. Pe multe calculatoare send mail era instalat compilat cu o configuratie de depanare, care permitea executarea unor comenzi de la distanta; n fine, viermele exploata un bug din implementarea programului finger, care este folosit n mod normal pentru a vedea cine lucreaza pe un calculator la distanta. Viermele exploata pentru prima oara un tip de bug care este la ora actuala extrem de folosit de alte animale de acelasi gen:buffer overflow. Viermele trimitea programului fingerd, care primeste ntrebari despre utilizatori prin retea, un nume de utilizator foarte lung,care depasea memoria alocata pentru receptia mesajului. Numele era att de lung nct scria gunoi peste stiva programului si modifica valoarea salvata a registrului PC. Aceasta cauza un salt la o adresa dinainte stabilita, aflata n numele foarte lung, unde viermele continea codul care prelua controlul. Odata instalat pe un calculator, viermele ncerca sa decripteze unele din parolele utilizatorilor folosind un dictionar de parole obisnuite, pentru a pune mna pe noi conturi din care sa re-atace folosind prima metoda. Viermele se propaga n doua etape pe un nou calculator pe care-l infecta: nti trimitea un scurt program scris n C, care era compilat pe masinalocala, care apoi aducea si restul viermelui, care consta n module pre-compilate pentru Sun si VAX. n plus, n interiorul viermelui toate sirurile de caractere (inclusiv comenzilepe care viermele le lanseaza n executie si dictionarul de parole inclus) erau ascunse (fiecare caracter este suprapus cu un sau exclusiv cuvaloarea 81). Viermele nu efectua actiuni distructive, cum ar fi stergerea de fisiere sau instalarea de conturi ascunse: singurul efect negativ provenea din faptul ca masinile erau infectate n mod repetat, si repede nu faceau altceva dect sa execute copii ale viermelui.

Cercetari ulterioare au relevat faptul ca viermele fusese creat si lansat de un student la doctorat al universitatii Cornell, pe nume Robert Tappan Morris. n mod oarecum ironic, Morris este fiul unui alt Robert Morris, care era pe vremea aceea era cercetator la National Security Agency, o organizatie guvernamentala americana nsarcinata cu criptologia. Robert Morris a fost condamnat la trei ani de nchisoare cu suspendare pentru fapta sa, 10000 de dolari amenda si 400 de ore de munca n serviciul comunitatii. Dupa terminarea sentintei Robert Morris a terminat doctoratul la universitatea Harvard si ncepnd din 1999 este profesor la universitatea MIT, lucrnd n domeniul retelelor de calculatoare.Morris nu a avut aceste succese ulterioare datorita pataniei cu viermele: el a reusit sa-si repare cariera n pofida istoriei cu viermele, pentru ca este foarte capabil si inteligent. n prezent refuza sa vorbeasca despre vierme sau sa faca cercetare n securitatea calculatoarelor. O multime de rapoarte au descris aceste evenimente n detaliu si au discutat problema securitatii n Internet imediat dupa aceste evenimente. Cu toate acestea, nimic nu s-a schimbat...

Clasificari ale viermilor

Viermii care se transmit prin e-mail E-mailul este una din cele mai folosite metode de imprastiere a viermilor. De obicei, este sub forma unui e-mail cu atasament (o poza sau un fisier text), iar cand utilizatorul ruleaza acest atasament, viermele va infecta calculatorul. Dupa ce calculatorul este infectat, viermele va incerca sa gaseasca alte adrese de e-mail pe calculator (de obicei in fisierele de configurare ale clientilor de e-mail) si se va trimite automat la toate adresele pe care le gaseste, pornind astfel un nou ciclu. Viermii care se transmit prin IM (Internet Messaging) Viermii care se transmit prin IM se vor imprastia folosind clienti de IM (Yahoo,MSN, AOL..). Ei actioneaza trimitind tuturor celor din lista celui infectat un link spre un fisier infectat sau spre un site. Cand este dat click pe linkul respectiv, viermele este downloadat si rulat. Astfel se va infecta calculatorul respectiv. Viermele va incepe sa scaneze lista de contacte a calculatorului respectiv, trimitand acelasi link la toti cei din lista, pornind astfel un nou ciclu. Viermii care se transmit prin Internet Exista posibilitatea sa te infectezi cu un vierme doar fiind conectat la Internet. Unii viermi cauta Internetul pentru a gasi calculatoare vulnerabile (fara update-uri de securitate, fara firewall). Odata gasit un calculator vulnerabil, va incerca sa se copieze si sa se instaleze pe acesta. Viermii care se transmit prin retea Sunt viermi care se copiaza automat intr-un director care este vizibil in reteaua locala (share), si se redenumeste automat astfel incat sa atraga atentia, fiind apoi downloadat de catre utilizatorii din retea. Utilizatorii care cred ca downloadeaza o oarecare aplicatie, vor ajunge infectati cu acel vierme. Viermele Caric-A: aparut tot in perioada scandalului cu Bill Clinton, acest program malitios se activa dupa ce deschideai un atasament de mail cu o caricatura a lui Clinton cantand la saxofon din care iesea un sutien.

Viermele Wurmark: a aparut in 2005 si era ascuns intr-o poza cu un batranel haios. Dupa ce descarcai poza in computer, viermele instala un troian care le permitea hacker-ilor sa preia controlul partilor infectate din calculator. Nu numai ca si tu transmiteai fara sa vrei mai departe virusul, mai mult, iti si stergea la intamplare fisiere din computer sau le trimitea la contactele din lista de mail. Viermele Cuebot-K: acesta a facut multa valva. Sistemul antipiraterie creat de Windows, Windows Genuine Advantage (WGA), era acuzat de catre utilizatori ca fiind de fapt o forma de spyware. Microsoft a incercat sa rezolve problema creand o versiune noua a programului, lucru de care au profitat programatorii de virusuri creand viermele Cuebot-K. Acest program din 2006 a aparut pe net pretinzand ca este noua versiune Microsoft. Se lansa singur cand deschideai computerul si afisa mesaje cum ca dezinstalarea lui va face computerul sa se blocheze. Dar ce facea cel mai rau, era sa deschida o usa din spate prin care hackerii puteau sa-ti intre in computer.

Care sunt simptomele unui sistem virusat?

Cei care sunt iniiai n domeniul viruilor de calculatoare nu vor avea probabil dificultti n a spune dac un calculator este suspect de a fi infectat cu un virus nou. Viruii se pot rspndi nestingherii doar atta timp ct rmn nedetectai. Din acest motiv, majoritatea viruilor nu i manifest prezena n sistem. Numai programele antivirus pot detecta prezenta unei asemenea infecii. Exist, totui, mai multi virui, ce si fac simit prezena n sistem prin efectele secundare generate. Cteva "simptome" specifice calculatoarelor virusate (lista este orientativ, cazurile reale fiind mult mai numeroase si diverse): fiierele sistem cresc n lungime (de exemplu n DOS 6.20 fiierul command.com are 54619 octei, iar pe un calculator virusat el poate avea, s zicem cu 1200 de octei mai mult, respectiv 55819); blocri frecvente - majoritatea viruilor sunt extrem de prost scrii si blocheaz calculatorul extrem de des. Viruii sunt de altfel cunoscui ca cele mai incompatibile programe (exceptnd viruii multiplatform, ca de exemplu clasa "Concept" - viruii de .doc Word); mesaje ciudate, melodii sau sunete suspecte n difuzor. Muli virui i fac anunat prezena prin astfel de efecte; distrugerile de date sunt alt efect al viruilor. Dispariia subit a unui fiier sau erori ale sistemului de fiiere sunt clasice; ncetinirea accesului la disc este produs de unii virui stealth care se interpun ntre programe i sistemul de acces la discuri; la apsarea tastelor CTRL+ALT+DEL calculatorul boot-eaz instantaneu fr a mai trece prin ecranul de POST (power on, self test); la comanda chkdsk majoritatea programelor executabile sunt raportate ca avnd o lungime incorect: efect al unor virui stealth; dimensiunea memoriei afiat de programele specializate este mai mic dect 640Kb. Uneori acest efect este generat de unele managere de memorie fr a fi vorba de un virus, dar de obicei indic prezena unui virus;

 programele de tip self-check raporteaz c au fost modificate; nu mai pornete Windows sau se raporteaz c accesul la disc se face prin BIOS; schimbri ale marcajului de timp al fiierelor; ncrcarea mai grea a programelor; operarea nceat a calculatorului; sectoare defecte pe dischete.

Modalitati de protectie. Programe antivirus

Odata ajuns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actioneaza in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind astfel considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea activa,usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea unor fisiere sau chiar reformatatrea hard disk-ului. Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au nevoie de o gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul. Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza. Atasarea se poate face la inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie. In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat. Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta a invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de initializare. O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume de control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului. Virusii care se inmultesc din ce in ce mai mult, polifereaza datorita urmatorilor factori: Punerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi, pe baza carora s-au scris mai multe variante de noi virusi Aparitia si punerea in circulatie, cu documentatie sursa completa, a unor pachete de programe specializate pentru generarea de virusi. Doua dintre acestea sunt Mans VCL (Nuke) si PCMPC de la Phalcon/Skim; ambele au fost puse in circulatie in 1992. Distribuirea in 1992, via BBS-ului bulgar, a programului MTE - masina de produs mutatiiconceput de Dark Avenger din Sofia. Acest program este insotit de o documentatie de utilizare suficient de detaliata si de un virus simplu, didactic.

 Link-editarea unui virus existent cu MTE si un generator de numere aleatoare duce la transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si schimba secventa de instructiuni la fiecare multiplicare, functia de baza ramanand nealterata,dar devenind practic de nedectat prin scanare Raspandirea BBS-urilor (Bulletin Board System), care permit oricarui utilizator Pc dotat cu un modem sa transmita programe spre si dinspre un calculator. Un sitem este lipsit de virusi, daca in memorie nu este rezident sau ascuns nici un virus,iar programele care se ruleaza sunt curate. In aceasta conceptie, programul antivirus vizeaza atat memoria calculatoarelor, cat si programele executabile. Cum in practica nu poate fi evitata importarea de fisiere virusate, metode antivirus cauta sa asigure protectie in anumite cazuri perticulare, si anume: la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste scanarea. Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi caracateristice virusilor din biblioteca programului de scanare; daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de control. Aceste sume constituie o semnatura a programului si orice modificare a lui va duce la o modificare a sumei sale de control; in calculator exista o serie de programe care nu se modifica, reprezentand zestrea se soft a calculatorului, care se protejeaza pur si simplu la scriere. Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in faza primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior (de pe o discheta sistem curata), in faza activa,deoarece in numeroase cazuri poate recupera fisierele infectate. Concluzii: aria de actiune; memoria si fisierele de interes; protectia se mnifesta la primul contact cu orice fisier; permite dezinfectarea; nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului de scanare; timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere protejate; exista alarme false, daca semnatura virusului este prea scurta; foloseste ca resursa memoria calculatorului; opereaza automat (ca un TSR). Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu permite recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor,orice fisier infectat putand fi detectat. In faza activa,insa metoda este neputicioasa.

Programele de protectie-programe antivirus- au rolul de a realiza simultan urmatoarele activitati: prevenirea contaminarii; detectarea virusului; eliminarea virusului, cu refacerea contextului initial; In general, exista doua categorii de programe antivirus: programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de virusi recunoscuti; programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau cele care par dubioase. In categoria programelor de vierificare se include cele de tip SCANxxx,unde prin xxx s-a specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108, SCAN200. Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta verificare, utilizatorul va incerca aliminarea virusului depistat,prin intermediul programelor CLEARxxx, prin specificarea numelui virusului; de remarcat ca, folosind acest program, nu exista certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a localizarii acestora in locuri care nu pot fi intotdeauna reperate. n finalul acestui capitol prezentm alte cteva sfaturi care ar putea fi foarte utile pentru a v proteja sistemul mpotriva viruilor calculatoarelor : - nu ncercai programe executabile de pe sistemele de buletine informative dac nu suntei sigur c ele sunt fr virui (eventual ai vzut pe altcineva folosind programul fr probleme). - nu preluai programe executabile vndute prin pot i care in de domeniul public sau n regim shareware, dac nu se precizeaz c se verific fiecare program vndut. - nu ncrcai niciodat un program transmis de curnd pe un sistem de buletine informative, pn cnd el nu a fost verificat de operatorul de sistem. Cnd ncrcai programul, facei-o pe un sistem cu dou uniti de dischet, astfel nct el s nu se apropie de hard disk. - nu copiai dischete pirat ale programelor comercializate, deoarece ele pot conine virui. - cumprai i folosii programe recunoscute de detectare a viruilor - instalai un program de detectare a viruilor, rezident n memorie, care s examineze fiierele pe care le copiai n calculator. - instalati un firewall. - asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente. - pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat. - niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut provenit de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere. - instalati un program anti-spyware pentru a spori protectia antivirus. - nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o sursa de incredere. - verificati in care certificate ale companiilor software puteti avea incredere. - folositi o carte de credit numai pentru cumparaturi on-line. - nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.

Top antivirui 2011

Pentru a avea parte de un PC fr virui, este de preferat s alegem ntodeauna numai cel mai bun antivirus, capabil s ofere o devirusare eficient i siguran complet a datelor. Programul antivirus este una din aplicaiile care nu trebuie s lipseasc de pe nici un calculator, fie c vorbim despre antivirui comerciali, sau una dintre numeroasele soluii antivirus free, ce pot fi utilizate gratuit dup un simplu download. Locul 1 - Kaspersky Internet Security 2011 Kaspersky Internet Security 2011 a reuit s ating spre finalul anului 2010 un nivel de protecie de peste 90% , combtnd cu succes programele mallware folosite pentru atacuri de tip 0day venite prin internet, sau e-mail, primind o not de 5.5/6 din partea AV-Test.org. Rata de detecie a celor mai comune aplicaii mallware a depit 96%, n timp ce operaia de devirusare a reuit n puin peste 70% din cazurille de infectare testate. Impactul programului antivirus asupra performanei de zi cu zi a calculatorul, a fost evaluat la aproximativ 219 secunde, reprezentnd timpii de ateptare cumulai de-a lungul unei zi. Trebuie tiut c valoarea medie msurat pentru programele antivirus, este de 236 secunde, valorile mai mici de att reprezentnd performane peste medie. Kaspersky Internet Security 2010 a reuit prin contrast s obtin un punctaj de numai 5.0/6, pentru protecia mpotriva aplicaiilor mallware, ns timpii de ateptare cumulai au fost msurai la un excelent 134 secunde, dintr-o medie de 251 secunde pentru generaia 2010 de programe antivirus. Locul 2 - PC Tools Internet Security 2011

PC Tools Internet Security 2011 este un program antivirus mai puin cunoscut pe la noi, care a reuit s obin un punctaj de 5.5/6 pentru sigurana oferit mpotriva aplicaiilor mallware, cu o rat de deteie de aproximativ 100% pentru cele mai comunet tipuri de virui i protecie mpotriva a peste 90% dintre atacurile de tip 0-day venite prin internet i ameninri prin e-mail. Eficiena funciei de devirusare este excelent, nlturnd peste 90% dintre componentele celor mai cunoscui virui, cu o rat de succes de 85% pentru nlturarea componentelor mallware secundare i repararea daunelor sistemului de operare. Nota oferit de av-test.org este de 5.5/6. Viteza motorului de scanare este ceva mai modest, cu un timp de ateptare cumulat de 309 secunde, cu 73 de secunde mai mult dect media de 236 secunde a clasamentului. Locul 3 - AVG Internet Security 2011 AVG Internet Security 2011 a reuit s obin o not de 5.5/6 din partea AV-Test.org , garantnd un nivel de protecie de peste 82% mpotriva aplicaiilor mallware, folosite pentru atacuri de tip 0day venite din internet sau prin e-mail. Rata de detecie a unui set reprezentativ de aplicaii mallware a depit 96%, n timp ce pentru devirusare aplicaia a reuit, n funcie de tipul infecei, ntre 20% i 78% din operaiunile de curare, primid pentru asta doar un punctaj de 2.0/6.

Impactul programului antivirus asupra performanei zilnice a calculatorului, a fost msurat la 205 secunde, puin mai bine dect media de 236 secunde. Prin contrast, Avast Internet Security 5.0 a reuit s obtin un punctaj de numai 2.5/6, pentru protecia mpotriva aplicaiilor mallware, iar timpii de ateptare cumulai au fost msurai la un confortabil 104 secunde, dintr-o medie de 251 secunde pentru generaia anului 2010, de programe antivirus. Locul 4 - Avira AntiVir Premium Cu un punctaj de 5.0/6 Avira AntiVir Premium garanteaz un nivel de protecie de peste 79% mpotriva aplicaiilor mallware, folosite pentru atacuri de tip 0-day venite din internet sau prin email. Rata de detecie a unui set reprezentativ cu cele mai comune aplicaii mallware a atins 99%, n timp ce operatia de devirusare a reuit n proporie de 80% pentru cele mai comune aplicaii mallware , cu doar 50% rat de succes la nlturarea componentelor maliioase secundare i refacerea modificrilor aduse configuraiei sistemului de operare, primind pentru asta un punctaj de 3.5/6. Impactul programului antivirus asupra performanei calculatorului, a fost msurat la 230 secunde, o valoare medie printre soluiile antivirus de generaie actual. Avira Antivirus free este un program antivirus gratuit pentru uz personal, ce ofer funcionalitatea de baz a versiunilor comerciale, dar fr componente avansate ca filtrul AntiPhishing, modul WebGuard pentru blocarea accesului la website-uri periculoase, mail guard i funcia de detecie euristic a viruilor necunoscui, ce nu se afl nc n baza de date a aplicaiei. Nivelul de securitate este prin urmare redus semnificativ, dar oricum mai bun dect cel obinut prin soluiile de scanare antivirus online, puse la dispoziie de unii dezvoltatori de produse antivirus. Locul 5 - F-Secure Internet Security 2011 F-Secure Internet Security 2011 se poate luda cu un nivel de protecie ce blocheaz accesul a peste 89% dintre aplicaiile mallware folosite pentru atacuri de tip 0-day transmise prin internet sau atacurile prin e-mail, primind o not de 5.0/6 din partea AV-Test.org. Rata de detecie a aplicaiilor mallware atinge 98%, sau chiar 100% pentru cele mai comune dintre ele. La operaiile de devirusare, aplicaia a reuit n proporie de 85% nlturarea aplicaiilor mallware cele mai comune, componentele virale secundare i modificrile critice aduse configuraiei fiind nlturate n proporie de 65%, pentru un scor final de 5.0/6. Impactul programului antivirus asupra performanei calculatorului, a fost evaluat la 150 secunde, oglindind timpi de ateptare semnificativ mai mici dect media altor programe antivirus i substanial mai buni dect versiunea 2010 a aplicaiei. Locul 6 - G Data Internet Security 2011

G Data Internet Security 2011 este un program antivirus produs n Statele Unite, ce iese din tipar prin viteza excelent a motorului de scanare, primind o not de 6.0/6 pentru impactul minim asupra performanelor generale ale sistemului i numrul redus de alarme false generate. Timpii de ateptare cumulai la folosirea de zi cu zi au fost estimati la numai 72 secunde, reflectnd un nivel de performan ce recomand acest produs inclusiv pentru calculatoare de generaie mai veche. Cu un punctaj de 5.0/6, nivelul de securitate poate fi caracterizat drept bun, cu o rat de detecie de peste 99% n rndul aplicaiilor mallware cele mai rspndite i protecie mpotriva a peste 90% dintre atacurile prin e-mail i ameninri prezentate de aplicaiile mallware ce folosesc exploit-uri de tip 0-day. Singura slbiciune mai serioas const n performanele mediocre la blocarea aplicaiilor mallware la executare, sau dup executare, cu o rat de succes evaluat la doar 50%. Eficiena funciei de devirusare atinge 85%, cu 70% rat de succes la eliminarea componentelor secundare. Locul 7 - Panda Internet Security 2011 Panda Internet Security 2011 este un alt antivirus foarte rapid, cu un timp estimat de ncetinire a sistemului de numai 93 secunde. Pentru numrul ridicat de alarme false, date prin clasificarea eronat a aplicaiilor legitime ca fiind mallware, Panda Internet Security 2011 a primit numai 4.5 puncte din 6. Cu un nivel de protecie punctat cu 5.0/6, antivirusul se bucur de o rat de detecie apropiat de 100% pentru cele mai comune tipuri de mallware i peste 90% rat de succes la blocarea atacurilor de tip 0-day i prin e-mail. Eficiena funciei de blocare a execuiei aplicaiilor mallware atinge din pcate doar 65%. Recompensat cu doar 3.5/6 puncre, eficiena funciei de devirusare este mediocr, cu o rat de 85% pentru nlturarea aplicaiilor mallware i doar 65%, pentru eliminarea componentelor secundare. Performanele la nlturarea aplicaiilor mallware de tip rootkit, rata de succes este i mai mic, msurnd doar 61%. Locul 8 - Symantec Norton Antivirus 2011 Un loc frunta n lista celor mai bune programe antivirus l ocup i Symantec Norton Antivirus 2011. Cu un numr mic de alarme false i un timp de ateptare estimat la 157 secunde, versiunea pentru anul 2011 a aplicaiei este caracterizat prin performane bune i o vitez de rulare peste medie. Nota pentru securitate este de 5.0/6, pentru o rat de detece de 100% a aplicaiilor mallware comune i eficiena de peste 95% a proteciei mpotriva atacurilor venite prin e-mail i exploit-uri de tip 0-day. Funcia de blocare a execuiei aplicaiilor infectate a dat rezultate bune, avnd o rat de succes de peste 85%. Funcia de devirusare a primit un punctaj de 5.5/6, avnd o rat de succes de peste 80% la nlturarea tuturor tipurilor de virui Locul 9 - BitDefender Antivirus Pro 2011

BitDefender Antivirus Pro 2011 este un produs antivirus romnesc ce se face remarcat prin rapiditatea modulului de scanare i numrul redus de alarme false generate, pentru care a obinut un puntaj de 5.5/6. Timpii de ateptare estimai pentru folosirea de zi cu zi nu depesc 126 secunde, mult sub media de 236 secunde a clasamentului general. Principala slbiciune este eficiena mediocr a funciei de devirusare, cu o rat de succes de numai 30% la nlturarea componentelor secundare ale aplicaiilor mallware i 44% rat de succes la nlturarea de rootkit-uri i alte aplicaii mallware ascunse. Pentru cele mai comune tipuri de mallware, eficiena funciei de dezinfectare este de aproximativ 70%. Chiar i aa, punctajul obinut nu depete 2.0/6. Protecia mpotriva infectrii cu aplicaii mallware atinge o eficien de peste 98% pentru cele mai comune tipuri de virui, dar numai 64% in cazul exploit-urior de tip 0-day i a ameninrilor venite prin e-mail, obinnd un punctaj final de 4.5/6. Locul 10 - ESET NOD32 Antivirus 4 ESET NOD32 Antivirus 4 este un program antivirus foarte popular, caracterizat prin o vitez bun de rulare i un nivel de protecie ridicat. Rara de detecie a aplicaiilor de tip mallware atinge 89% i urc pn la 100% pentru cele mai comune dintre ele. Eficiena proteciei mpotriva exploit-urilor de tip 0-day i ameninri prin email depete 80%, ns principala slbiciune rmne protecia slab la execuia aplicaiilor infectate, cu o rat de succes de numai 30%, scznd nota final acordat de av-test.org la 3.5/6. Notat cu 4.5/6 puncte, funcia de devirusare a reuit cu succes nlturarea a peste 90% dintre aplicaiile mallware cele mai comune, ns doar 44% dintre aplicaiile de tip rootkit. Viteza motorului de detecie este foarte bun, cu un timp de ateptare cumulat msura la doar 151 secunde. Numrul de alarme false este de asemenea relativ redus. Locul 11 - Avast Antivirus Pro Avast Antivirus Pro este un produs antivirus foarte bine optimizat i cu o rat redus de generare a alarmelor false. Testele desfurate de avtest-org au msurat un timp de ateptare cumulat de 104 secunde, mult sub media celor 236 secunde n care se ncadreaz cele mai multe programe antivirus. Notat cu 4.5/6 puncte, funcia de devirusare atinge o eficien e 90% la nlturarea celor mai comune tipuri de mallware i 61% pentru rootkit-uri, ns inlturarea componentelor secundare i repararea modificrilor aduse configuraiei reuete numai n 45% din cazuri. Detecia aplicaiilor mallware atinge 95%, sau chiar 99% pentru cele mai rspndite forme de infecii. Protecia mpotriva atacurilor de tip 0-day i aplicaii mallware venite prin e-mail este eficient n proporie de peste 75%, ns blocarea la lansare a aplicaiilor infectate a reuit n numai 20% din testele efectuate, motiv pentru care nota final oferit pentru protecia mpotriva infeciilor este de doar 2.0/6

BIBLIOGRAFIE :

Primii Pasi in securitatea retelelor - Tom Thomas Computer Viruses - Dr. Frederick B. Cohen

http://ro.wikipedia.org/wiki/Virus_informatic www.computerworld.ro arhiva.wall-street.ro www.av-test.org