Sunteți pe pagina 1din 11

Ce este un virus informatic?

Cuvntul "virus" este folosit in ziua de astzi si pentru a descrie un tip de program pentru calculator care este creat cu scopul declarat de a distruge datele sau echipamentele calculatorului.Virusii informatici sunt cele mai periculoase arme in razboiul datelor. Numarul actual al virusilor este foarte mare (o cifra exacta este greu de dat), zilnic apar virusi noi.Viruii sunt programe de foarte mica dimensiune, de regula invizibili cu mijloace uzuale ale sistemului, care se gsesc pe calculator fie ca un fiier executabil, fie atasati unor programe, caz in care se numesc "parazii". Ei sunt capabili sa se "infiltreze" in zone ce raman " ascunse" utilizatorului obinuit, sa produc modificri distructive asupra datelor ce se afla pe discuri, asupra altor componente ale calculatorului, si sa se"reproduc", inmultindu-se la fel ca o infectie virala. Virusii informatici - sunt, in esenta,microprograme greu de depistat,ascunse in alte programe,care asteapta un moment favorabil pentru a provoca defectiuni ale sistemului de calcul(blocarea acestuia,comenzi sau mesaje neasteptate,alte actiuni distructive).Se poate aprecia ca un virus informatic este un microprogram cu actiune distructiva localizat in principal in memoria interna,unde astepta un semnal pentru a-si declansa activitatea.Istoria viruilor de calculatoare este lung i interesant. Dar ea a devenit cu adevrat palpitant abia din momentul n care a nceput s se dezvolte industria PC-urilor si aparitia Internetului. Pe msur ce dezvoltarea calculatoarelor progresa, a devenit posibil si accesarea a mai mult de un program ntr-un singur computer. n acelai timp, s-a manifestat i o reacie mpotriva a tot ceea ce nsemna computerul. Aceast tendin are rdcini mai vechi, dar impactul computerelor de tip PC a fost aa de mare, nct si reaciile mpotriva acestora au nceput s se fac mai evidente. n anul 1986, nite programatori de la Basic&Amjad au descoperit c un anumit sector dintr-un floppy disk conine un cod executabil care funciona de cte ori porneau computerul cu discheta montat n unitate. Acestora le-a venit ideea nlocuirii acestui cod executabil cu un program propriu. Acest program putea beneficia de memorie si putea fi astfel copiat n orice dischet si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupnd doar 360 KB dintr-un floppy disc. n acelai an, programatorul Ralf Burger a descoperit c un fiier poate fi fcut s se autocopieze, atand o copie ntr-un alt director. El a fcut si o demonstraie despre acest efect pe care l-a numit VirDem (Virus Demonstration). Acesta a reprezentat un prim exemplu de virus, autentic dar destul de nevinovat, ntruct nu putea infecta dect fiierele cu extensia .COM. La scurt timp au nceput s apar numeroi virui, fabricai peste tot n lume. Ei au evoluat rapid, lund diverse forme si nglobnd idei din ce n ce mai sofisticate. Iat o scurt dar spectaculoas evoluie a fabricrii n serie n toate colturile lumii si lansrii pe pia a viruilor: - n anul 1990 erau cunoscui si catalogai 300 de virui - n anul 1991 existau peste 1000 de virui - n anul 1994 erau nregistrai peste 4000 de virui - n anul 1995 s-au nregistrat peste 7000 de virui Anul 1995 este cunoscut ca fiind si anul n care a nceput s apar conceptul de macrovirus, devenind n scurt timp o adevrat ameninare, deoarece erau

mult mai uor de fabricat dect prinii lor viruii. Acetia nu erau adresai numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel nct ei puteau fi folosii pentru orice program, uurndu-se calea de apariie a cunoscuilor microvirusi care au infestat fiierele la acea vreme produsul Lotus AmiPro. Primul dintre macrovirui a fost cel folosit n Word si Word Basic. n luna iulie 1996 a aprut si primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel. A fost cu adevrat o mare surpriz pentru omenire atunci cnd a descoperit, acum cteva decenii, si a trebuit s accepte ideea existentei unor virui de alt natur dect cea biologic. Un virus de calculator, sau virus informatic aa cum i se mai spune, nu este altceva dect un program de dimensiuni mici, construit cu scopul de a face o glum sau de a sabota pe cineva. Acest program are, de regul, proprietatea c se autoreproduce, atandu-se altor programe si executnd operaii nedorite si uneori de distrugere. Dimensiunile mici ale programului-virus reprezint o caracteristic important, ntruct autorii in foarte mult ca produsul lor cu intenii agresive s nu fie observat cu uurin. Aa cum am menionat deja, cnd un virus infecteaz un disc, de exemplu, el se autoreproduce, atandu-se la alte programe, inclusiv la programele vitale ale sistemului. Ca si n cazul unui virus real, efectele unui virus al calculatorului pot s nu fie detectate o perioad de mai multe zile sau sptmni, timp n care, orice disc introdus n sistem poate fi infectat cu o copie ascuns a virusului. Atunci cnd apar, efectele sunt diferite, variind de la mesaje glumee la erori n funcionarea programelor de sistem sau tergeri catastrofice a tuturor informaiilor de pe un hard disk. De aceea nu este indicat s se plece de la ipoteza c un virus nu nseamn ceva mai mult dect o glum. n general, cei care construiesc virui sunt programatori autentici, cu experien bogat si cu cunotine avansate n limbajul de programare pe care l folosesc. Elaborarea de virui este uneori si o activitate de grup, n care sunt selectai, antrenai si pltii cu sume uriae specialitii de nalt clas. Iata citeva dintre efectele pe care le genereaz viruii software: a) distrugerea unor fiiere; b) modificarea dimensiunii fiierelor; c) tergerea totala a informailor de pe disc, inclusiv formatarea acestuia; d) distrugerea tabelei de alocare a fiierelor, care duce la imposibilitatea citirii informaiei de pe disc; e) diverse efecte grafice/sonore inofensive, dar deranjante; f) ncetinirea vitezei de lucru a calculatorului pana la blocare. Virusul informatic este, aadar, un program ru intenionat, introdus n memoria calculatorului, care la un moment dat devine activ, atacnd prin distrugere sau alterare fiiere sau autocopiindu-se n fiiere aflate pe diferite suporturi. Fiecare program infectat poate la rndul su s infecteze alte programe. Virusul este caracterizat de urmtoarele proprieti:

- poate modifica fiiere si programe ale utilizatorilor, prin inserarea n acestea a ntregului cod sau numai a unei pri speciale din codul su - modificrile pot fi provocate nu numai programelor, ci si unor grupuri de programe - are nevoie si poate s recunoasc dac un program a fost deja infectat pentru a putea interzice o nou modificare a acestuia. Fiecare virus se autoidentific, n general pentru a evita s infecteze de mai multe ori acelai fiier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai infectez". Controversata problem a viruilor de calculatoare a nscut ideea c orice virus poate fi combtut, adic depistat si anihilat. Cu toate acestea, exist programatori care susin c pot construi virui ce nu pot fi detectai si distrui. Este cazul unui grup de programatori polonezi care au anunat pe Internet, n urm cu civa ani, c pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, coninea cteva idei interesante care, dac ar fi fost duse la capt, probabil c ar fi dat mult btaie de cap utilizatorilor de servicii Internet. Suprai de faptul c lumea a exagerat att de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceti programatori intenionau s demonstreze ntregii lumi c nu acest mult prea mediat virus este cel mai "tare". Dup prerea lor, ar putea fi construii virui care pot distruge cu mult mai mult dect a fcut-o "I Love You", adic o pagub la scar planetar estimat atunci la circa 6 miliarde de dolari SUA. n plus, autorii au expus metode noi de reproducere a viruilor, fr posibiliti prea mari de a putea fi depistai si anihilai. Inteniile, fcute publice de aceti indivizi, preau dintre cele mai diabolice. Din fericire, se pare c acest plan diabolic nu a fost pn la urm dus la capt, ameninrile acestor indivizi oprindu-se doar la faza de proiect. Totui, aceste ameninri au putut avea mcar efectul unui adevrat semnal de alarm. A fost avertizat ntreaga omenire c pot exista si din acest punct de vedere ameninri dintre cele mai serioase care, desigur, nu ar trebui deloc neglijate.

Clasificarea viruilor Viruii informatici nu afecteaz numai buna funcionare a calculatoarelor. Printr-o proiectare corespunztoare a prii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de antaj si constrngere. Viruii pot fi clasificai dup diferite criterii: modul de aciune, tipul de ameninare, grade de distrugere, tipul de instalare, modul de declanare etc. Exist unele clasificri mai vechi care, desigur, nu mai corespund astzi. Totui, o enumerare a acestora este benefic, deoarece ea reflect diversitatea caracteristicilor si tipurilor de virui. Viruii se clasifica pot clasifica in: -Virui Hardware: sunt cei care afecteaz hard discul, floppy-discul si memoria.Virusii hardware sunt mai rar intalniti,acestia fiind de regula, livrati o data cu echipamentul. -Virui Software: afecteaz fiierele si programele aflate in memorie sau pe disc,

inclusiv sistemul de operare sau componente ale acestuia si sunt creati de specialisti in informatica foarte abili si buni cunoscatoari ai sistemelor de calcul,in special al modului cum lucreaza software-ul de baza si cel aplicativ. Din punct de vedere al capacitatii de multiplicare,virusii se impart in doua categorii: -Virusi care se reproduc,infecteaza si distrug -Virusi care nu se reproduc,dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase urme(Worms). In functie de tipul distrugerilor in sistem se disting: -Virusi care provoaca distrugerea programului in care sunt inclusi -Virusi care nu provoaca distrugeri,dar incomodeaza lucrul cu sistemul de calcul; se manifesta prin incetinirea vitezei de lucru,blocarea tastaturii,reinitializarea aleatorie a sistemului, afisarea unor mesaje sau imagini nejustificate -Virusi cu mare putere de distrugere,care provoaca incidente pentru intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina, alterarea integrala si irecuperabila a informatiei existente. Exista si virusi distructivi care odata ajunsi pe hard-diskul calculatorului, incep sa isi faca de cap, sa stearga fisiere si chiar sa transforme hardul intr-o piesa buna de aruncat la gunoi. In mare masura infectarea calculatorului poate fi prevenita, dar pentru aceasta avem nevoie de un program antivirus. In manualul de utilizare al MS-DOS,Microsoft imparte virusii in trei categorii: Virusi care infecteaza sistemul de boot Virusi care infecteaza fisierele Virusi tip Cal Troian Ultimii sunt acele programe care aparent au o anumita intrebuintare,dar sunt inzestrati cu proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata astfel: Armati o forma mai recenta de virusi,care contin proceduri ce impiedica dezasamblarea si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta antidotul (ex: Whale) Autoencriptori inglobeaza in corpul lor metode de criptare sofisticate facand detectia destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare( ex: Cascade) Camarazi sunt avantajati de o particularitate a DOS-ului, care executa programele .com inaintea celor .exe. Acesti virusi se ataseaza de fisierele .exe,apoi le copiaza schimband extensia in .com. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. Odata lansat in executie fisierul respectiv,ceea ce se execua nu este fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatii Furisati(stealth) acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut,deci este infectat . Exemplu:512,Atheus,Brain, Damage, Gremlin,Holocaust,Telecom

Infectie multipla cu cativa ani in urma virusi erau repartizati in doua grupuri bine separate: cei care infectau programele si cei care operau asupra sectorului de boot si a tebelelor de partitii. Virusii cu infectie multipla,mai rcenti, pot contamina ambele tipuri de elemente. Exemplu: Authax, Crazy Eddie,Invader, Malaga,etc Polimorfi sunt cei mai sofisticati dintre cei intalniti pana acum. Un motor de mutatii permite transformarea lor in mii de variante de cod diferite. Exemplu: Andre, Cheeba,Dark Avenger,Phoenix 2000, Maltese Fish,etc Virusi ai sectorului de boot si ai tabelelor de partitii ei infecteaza una si/sau cealalta dintre aceste zone critice ale dischetei sau hard disk-ului. Infectarea sectorului de boot este periculoasa,deoarece la pornirea calculatorului codul special MBP(Master Boot Program) de pe discheta se execuata inainte de DOS. Daca acolo este prezent un virus, s-ar putea sa nu fie reperabil. Tabelele de partitii contin informatii despre organizare structurii discului,ele neputand fi contaminate,ci doar stricate. Majoritatea antivirusilor actuali pot detecta o infectie in MBP,propund,in general, suprimarea MBP-ului si inlocuirea lui cu o forma sanatoasa( de exemplu cum procedeaza Norton Antivirus). Exemplu: Alameda,Ashar,Bloodie,Cannabis,Chaos. Computerul poate fi asemuit,la un moment dat cu un organism biologic,care se poate ,,imbolnavi".Am sa prezint si o altfel de clasificare a virusilor, oferind pentru cteva variante mai interesante si unele detalii (n aceast prezentare a fost preferat ordinea alfabetic, pentru a putea fi consultat ca pe un dicionar): -Bacteria - este programul care se nmulete rapid si se localizeaz n sistemul gazd, ocupnd procesorul si memoria central a calculatorului, provocnd paralizia complet a acestuia. -Bomba (Bomb) - este un mecanism, nu neaprat de tip viral, care poate provoca n mod intenionat distrugerea datelor. Este de fapt ceea ce face faima viruilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, pn la adevrate catastrofe, cum ar fi tergerea tuturor fiierelor de pe hard disk. -Bomba cu ceas (Timer bomb) - este un virus de tip bomb, numit si bomb cu ntrziere, programat special pentru a aciona la un anumit moment de timp. Este de fapt, o secven de program introdus n sistem, care intr n funciune numai condiionat de o anumit dat si or. Aceast caracteristic foarte important face ca procesul de detectare s fie foarte dificil, sistemul putnd s funcioneze corect o bun perioad de timp. Aciunea lui distructiv este deosebit, putnd terge fiiere, bloca sistemul, formata hard disk-ul si distruge toate fiierele sistem. -Bomba logic (Logic bomb) - este un virus de tip bomb, care provoac stricciuni atunci cnd este ndeplinit o anumit condiie, precum prezenta ori absenta unui nume de fiier pe disc. De fapt, reprezint un program care poate avea acces n zone de memorie n care utilizatorul nu are acces, caracteriznduse prin efect distructiv puternic si necontrolat. O astfel de secven de program introdus n sistem, intr n funciune numai condiionat de realizarea unor condiii prealabile. -Calul troian (Trojan horse) - reprezint programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a crui execuie produce efecte

secundare nedorite, n general neanticipate de ctre utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparent de funcionare normal. Calul troian este un program pe calculator care apare pentru a executa funcii valide, dar conine ascunse n codul su instruciuni ce pot provoca daune sistemelor pe care se instaleaz i ruleaz, deseori foarte severe. Un exemplu foarte cunoscut astzi de un astfel de program este cel numit Aids Information Kit Trojan. Pe un model de tip "cal troian" s-a bazat marea pcleal care a strnit mult vlv la sfritul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care preau s conin informaii despre SIDA, au fost expediate de la o adres bine cunoscut din Londra, ctre corporaii, firme de asigurri si profesioniti din domeniul sntii, din Europa si America de Nord. Destinatarii care au ncrcat discurile pe calculatoarele lor, au avut surpriza s descopere destul de repede c acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reuit s tearg complet datele de pe hard disk-urile pe care au fost copiate. Programele de tip "cal-troian" mai conin o caracteristic important. Spre deosebire de viruii obinuii de calculator, acetia nu se pot nmuli n mod automat. Acest fapt nu constituie ns o consolare semnificativ pentru cineva care tocmai a pierdut zile si luni de munc pe un calculator. -Viermele (Worm) - este un program care, inserat ntr-o reea de calculatoare, devine activ ntr-o staie de lucru n care nu se ruleaz nici un program. El nu infecteaz alte fiiere, aa cum fac adevraii virui. Se multiplic ns n mai multe copii pe sistem si, mai ales, ntr-un sistem distribuit de calcul. n acest fel "mnnc" din resursele sistemului (RAM, disc, CPU etc.). -Virus (Virus) - este un program care are funcii de infectare, distructive si de incorporare a copiilor sale n interiorul altor programe. Efectele distructive nu pot fi sesizate imediat, ci dup un anumit timp. Noiunea mai general se refer adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea c se autocopiaz, astfel nct poate infecta pri din sistemul de operare i/sau programe executabile. Probabil c principala caracteristic pentru identificarea unui virus este aceea c se duplic fr acordul utilizatorului. Aa cum sugereaz i numele, analogia biologic este relativ bun pentru a descrie aciunea unui virus informatic n lumea real. -Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea iniial a procesului de ncrcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (ncrcare) atac fie sectorul de ncrcare principal, fie sectorul de ncrcare DOS de pe disc. Toi viruii sectorului de ncrcare modific ntr-un anume fel coninutul sectorului de boot. Modificrile sectorului de boot nu trebuie s fie prea extinse: unii virui mai noi din aceast categorie sunt capabili s infecteze discul fix, modificnd doar zece octei din acest sector. -Virus ataat (Appending virus) - este un virus care i ataeaz codul la codul existent al fiierului, nedistrugnd codul original. Primul care se execut atunci cnd se lanseaz fiierul infectat este virusul. Apoi, acesta se multiplic, face sau nu ceva stricciuni, dup care red controlul codului original si permite programului s se execute normal n continuare. Acesta este modul de aciune al unui "virus clasic".

-Virus companion (Companion virus) - este un virus care infecteaz fiiere de tip .EXE prin crearea unui fiier COM avnd acelai nume si coninnd codul viral. El speculeaz o anumit caracteristic a sistemului DOS prin care, dac dou programe, unul de tip .EXE si cellalt de tip .COM, au acelai nume, atunci se execut mai nti fiierul de tip .COM. -Virus criptografic (Crypto virus) - un virus care se infiltreaz n memoria sistemului si permite folosirea absolut normal a intrrilor si transmiterilor de date, avnd proprietatea c, la o anumit dat, se autodistruge, distrugnd n acelai timp toate datele din sistem si fcndu-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de ctre emitor aflat la distan, prin transmiterea unei comenzi corespunztoare. -Virus critic (Critical virus) - este un virus care pur si simplu se nscrie peste codul unui fiier executabil fr a ncerca s pstreze codul original al fiierului infectat. n cele mai multe cazuri, fiierul infectat devine neutilizabil. Cei mai muli virui de acest fel sunt virui vechi, primitivi, existnd ns i excepii. -Virus cu infecie multipl (Multi-partite virus) - este un virus care infecteaz att sectorul de boot, ct si fiierele executabile, avnd caracteristicile specifice att ale viruilor sectorului de ncrcare, ct si ale celor parazii. Acest tip de virus se ataeaz la fiierele executabile, dar i plaseaz codul si n sistemul de operare, de obicei n MBR sau n sectoarele ascunse. Astfel, un virus cu infecie multipl devine activ dac un fiier infectat este executat sau dac PC-ul este ncrcat de pe un disc infectat. -Viruii cu auto-multiplicare( self-multiplication viruses) - Aceti virui cu automultiplicare fac parte din categoria celor mai inteligeni, deoarece infecteaz tot ce ating. In lumea utilizatorilor DOS, majoritatea viruilor sunt transferai prin intermediul codurilor executabile, adic prin fiiere program (COM, EXE, DLL, SYS sau PIF) nu fiiere date. Efectul acestei auto-multiplicri depinde de a doua parte a programului de tip virus informatic. Prima parte este responsabila de gsirea unui mijloc de a se auto-copia. Cea dea doua parte decide ce stricciune sa fac virusul pe disc. Exista oameni care au capturat un astfel de virus, i-au modificat partea a doua si l-au repus in circulaie. -Virus de atac binar(Binary attack virus) - este un virus care opereaz n sistemul de "cal troian", coninnd doar civa bii pentru a se putea lega de sistem, restul fiind de regul mascat ca un program neexecutabil -Virus de legtur (Link virus) - este un virus care modific intrrile din tabela de directoare pentru a conduce la corpul virusului. Ca si viruii ataai, viruii de legtur nu modific coninutul nsui al fiierelor executabile, ns altereaz structura de directoare, legnd primul pointer de cluster al intrrii de directoare corespunztoare fiierelor executabile la un singur cluster coninnd codul virusului. Odat ce s-a executat codul virusului, el ncarc fiierul executabil, citind corect valoarea cluster-ului de start care este stocat n alt parte. -Virus detaabil (File jumper virus) - este un virus care se dezlipete el nsui de fiierul infectat exact naintea deschiderii sau execuiei acestuia i i se reataeaz atunci cnd programul este nchis sau se termin. Aceast tehnic este foarte eficient mpotriva multor programe de scanare si scheme de validare, deoarece

programul de scanare va vedea un fiier "curat" si va considera c totul este n regul. Aceasta este o tehnic de ascundere (stealth). -Virus invizibil (Stealth virus) - este un virus care i ascunde prezenta sa, att fa de utilizatori, ct si fa de programele antivirus, de obicei, prin interceptarea serviciilor de ntreruperi.Viruii sectorului de sistem au dat amploare unui nou tip de virui numii "stealth viruses", adic virui care se ascund. Chiar daca calculatorul respectiv are un antivirus destul de bun, in momentul cnd acesta pornete, virusul are posibilitatea de a se ascunde. Deci in momentul cnd un virus contamineaz calculatorul, noi, utilizatori numai deinem controlul lui, acesta fiind preluat de aceti "stealth viruses" care sunt incarcati automat in memorie la pornirea calculatorului. -Virus morfic (Morphic virus) - un virus care i schimb constant codul de programare si configurarea n scopul evitrii unei structuri stabile care ar putea fi uor identificat i eliminat. -Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruii nerezideni n memorie nu rmn activi dup ce programul infectat a fost executat. El opereaz dup un mecanism simplu si infecteaz doar executabilele atunci cnd un program infectat se execut. Comportarea tipic a unui astfel de virus este de a cuta un fiier gazd potrivit atunci cnd fiierul infectat se execut, s-l infecteze si apoi s redea controlul programului gazd. -Virus parazit (Parasitic virus) - este un virus informatic, care se ataeaz de alt program si se activeaz atunci cnd programul este executat. El poate s se ataeze fie la nceputul programului, fie la sfritul su, ori poate chiar s suprascrie o parte din codul programului. Infecia se rspndete, de obicei, atunci cnd fiierul infectat este executat. Clasa viruilor parazii poate fi separat n dou: viruii care devin rezideni n memorie dup execuie i cei nerezideni. Viruii rezideni n memorie tind s infecteze alte fiiere, pe msur ce acestea sunt accesate, deschise sau executate. -Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura n mod automat, pentru a ocoli sistemele de protecie acolo unde se instaleaz. El este criptat si automodificabil. Un virus polimorfic adaug aleator octei de tip "garbage" (gunoi) la codul de decriptare si/sau folosete metode de criptare/decriptare pentru a preveni existenta unor secvene constante de octei. Rezultatul net este un virus care poate avea o nfiare diferit n fiecare fiier infectat, fcnd astfel mult mai dificil detectarea lui cu un scaner. -Virus rezident (Rezident virus) - este un virus care se autoinstaleaz n memorie, astfel nct, chiar mult timp dup ce un program infectat a fost executat, el poate nc s infecteze un fiier, s invoce o rutin "trigger" (de declanare a unei anumite aciuni) sau s monitorizeze activitatea sistemului. Aproape toi viruii care infecteaz MBR-ul sunt virui rezideni. n general, viruii rezideni "aga" codul sistemului de operare. Marea majoritate a viruilor actuali folosesc tehnici de ascundere. Exist si un termen des folosit n acest domeniu; el se numete stealth (ascundere) si desemneaz tehnicile folosite de anumii virui care ncearc s scape de detecie. De exemplu, un lucru pe care-l pot face viruii rezideni, este s intercepteze comenzile (funciile) DOS de tip DIR si s raporteze dimensiunile

originale ale fiierelor, si nu cele modificate datorit atarii virusului. Tehnicile Spawning si File Jumper reprezint metode de ascundere, fiind ns cu mult mai avansate. -Viruii spioni(Spyware virus) - Pe lng numeroii virui, cunoscui la aceast or n lumea calculatoarelor, exist o categorie aparte de astfel de "intrui", care au un rol special: acela de a inspecta, n calculatoarele sau reelele n care ptrund, tot ceea ce se petrece, si de a trimite napoi la proprietar, la o anumit dat i n anumite condiii, un raport complet privind "corespondenta" pe Internet si alte "aciuni" efectuate de ctre cel spionat prin intermediul calculatorului. Practic, un astfel de virus nu infecteaz calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea s distrug. El se instaleaz, de regul, prin intermediul unui mesaj de pot electronic i ateapt cuminte pn apar condiiile unui rspuns la aceeai adres. Ct timp se afl n reea, acesta culege informaiile care l intereseaz, le codific ntr-un anumit mod, depunndu-le ntro list a sa si apoi le transmite la proprietar. Un virus de acest gen poate ptrunde i se poate ascunde, de exemplu, ntr-un fiier tip "doc" primit printr-un e-mail. El i ncepe activitatea odat cu nchiderea unui document activ, atunci cnd verific dac acesta a fost infectat cu o anumit parte din codul su special. Unii virui din aceast categorie i i-au msuri ca s nu fie depistai si distrui de programele de dezinfectare. ntr-o secven de cod, dup o verificare si un control al liniilor, intrusul ncepe s nregistreze diferite mesaje si aciuni, le adaug la lista sa secret i ateapt condiiile ca s le transmit la destinatar, nimeni altul dect cel care l-a expediat. n unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adres pe care o identific singur. Dup aceasta, totul devine foarte simplu. E ca i cum n casa noastr se afl permanent cineva care asist din umbr la toate convorbirile noastre secrete i nesecrete i, atunci cnd are prilejul, le transmite prin telefon unui "beneficiar" care ateapt. Din pcate, viruii spioni sunt de multe ori neglijai. Nici chiar programele de dezinfectare nu sunt prea preocupate s-i ia n seam si s-i trateze, motivul principal fiind acela c ei nu au o aciune distructiv direct. Totui, pagubele pot fi uneori nsemnate, nemaipunnd la socoteal i faptul c nimeni pe lumea aceasta nu si-ar dori s fie "controlat" n intimitatea sa. Un astfel de spion poate sta mult si bine ntr-un calculator, dac nu este depistat la timp si nlturat de un program serios de devirusare. Este, desigur, un adevrat semnal de alarm, pentru simplul motiv c asemenea "intrui" exist i pot ptrunde n viaa noastr i pe aceast cale. Un astfel de virus spion a fost descoperit de un student n primvara anului 1999, n reeaua de calculatoare a dezvolttorilor de software ai Direciei Informatic din CS Sidex SA. Dei la aceast or este cunoscut si numele celui care a promovat virusul cu pricina, o firm de software din Bucureti, din motive lesne de neles nu-i vom dezvlui numele aici. Scris n limbajul VBS, virusul nu a apucat s-i fac "datoria", aceea de a colecta informaii confideniale i diferite tipuri de documente active, deoarece a fost depistat la timp si nlturat. Prezentm, totui, pe scurt, descrierea acestuia i modul su de aciune: - virusul a aprut n reea printr-un document de tip ".doc" ataat unui mesaj de pot electronic - el s-a declanat odat cu nchiderea documentului respectiv - cteva linii speciale de cod ale virusului se autocopiau n anumite documente active si template-uri

- la nchiderea documentului respectiv, verifica dac a reuit infestarea, apoi actualiza un fiier propriu cu anumite informaii de genul: data si ora, numele taskului lansat, adresa etc. - cu adresa captat, prin intermediul FTP expedia la destinaie lista cu informaiile culese, mpreun cu documentul infestat - transmiterea se fcea n ziua de 1 a fiecrei luni, n condiiile n care protecia de pe calculatorul gazd era nul. Un program care acioneaz n acest mod este cunoscut n literatura de specialitate cu numele de spyware (spion). O serie de virui de e-mail, precum celebrul Melissa, ncearc s trimit documente confideniale - personale sau ale companiei la care lucrai. Iar dac celebrul cal troian numit "Back Orifice" si-a gsit o cale ctre sistemul dvs., el va oferi control deplin asupra ntregului PC oricui va solicita acest lucru. Chiar si n condiiile n care sistemul este bine protejat mpotriva atacurilor din exterior, este posibil ca o trdare s se petreac din interior. Cu alte cuvinte, atunci cnd v conectai la Internet este posibil s fie partajat conexiunea cu un parazit, adic un program spion care are propria sa activitate si care se conecteaz la momente prestabilite la site-ul su de Web. Unele programe spyware sunt instalate n mod automat atunci cnd vizitai un anumit site de Web ce face apel la ele. Altele sunt instalate mpreun cu aplicaii de tip shareware sau freeware. Instalarea se produce uneori fr a fi contieni de ea sau chiar acceptabil prin apsarea butonului Yes fr citirea textului licenei de utilizare. n pres au fost acuzate o serie de aplicaii spyware pentru inventarierea software-ului instalat pe sistemul utilizatorului, scanarea Registrului, cutarea de informaii confideniale, toate acestea fiind trimise apoi ctre anumite site-uri de Web. Adevrul este c nici o astfel de acuzaie nu s-a dovedit ntemeiat. Programele spyware nu sunt denumite astfel pentru c ele "fur" informaii private ci pentru modul secret n care acioneaz, fr a fi cunoscute sau fr a cere vreo permisiune din partea utilizatorului. Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de recepionat mesaje publicitare, afieaz aceste informaii n programele asociate si ncearc s ajusteze mesajul publicitar preferinelor si obiceiurilor utilizatorilor. Altele colecteaz informaii statistice pentru clienii lor. Toate aceste programe pretind c v protejeaz informaiile private si la o analiz atent se dovedete c au dreptate. Informaiile nepersonale ce sunt adunate de aceste programe ar putea fi totui folosite ntr-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea. Iat cteva exemple de acest gen. Unul dintre acestea se refer la programul Comet Cursors, care nu este altceva dect un control ActiveX realizat si oferit de firma Comet Systems (www.cometsystems.com). Acesta permite site-urilor de Web ce au liceniat acest control s ofere cursoare ciudate, animate si variat colorate. n funcie de setrile securitii din browser-ul de Web, controlul ActiveX, semnat digital si certificat, se poate transfera si instala fr a v cere permisiunea si fr cunotina dvs. El contorizeaz numrul de vizitatori de pe site-urile de Web afiliate folosind tocmai aceste cursoare. Programul asociaz fiecrui utilizator un numr de identificare unic, un ID, n aa fel nct s poat raporta numrul de vizitatori distinci. Nu se urmrete o persoan real, ci doar raportarea acestor vizitatori ca numr. n acest mod, totui, firma intr n posesia adresei dvs. de IP. Prin aceasta se poate face legtur cu persoana, prin linia nchiriat. Astfel, se poate afla prin ce furnizor de Internet v conectai la reea.

O dezinstalare a acestui program nu poate fi fcut cu mult uurin. De aceea, uneori este nevoie de a apela chiar la firma n cauz pentru a solicita un program de dezinstalare. Un alt exemplu este produsul TSAdBot, de la firma Conducent Technologies, fost TimeSink. El este distribuit prin intermediul mai multor programe shareware si freeware, printre care si versiunea de Windows a utilitarului popular de comprimare PKZip. Rolul su este acela de a transfera de la site-ul su reclame si a le afia n timpul rulrii programului respectiv. Programul raporteaz sistemul de operare, adresa de IP a furnizorului de servicii Internet, Id-ul programului pe care l folosim si numrul de reclame diferite ce au fost afiate. Poate, de asemenea, transmite cnd s-a fcut clic pe un banner publicitar precum si rspunsurile la un chestionar, dac acesta a fost completat la instalarea produsului. n timp ce rulai un program care nglobeaz si acest produs, acesta din urm se folosete de conexiunea Internet pentru a trimite informaii si a transfera mesajele publicitare. Doar un firewall personal, precum ZoneAlarm, v poate avertiza de producerea acestui lucru. Dezinstalarea unui astfel de program este si ea o operaie care poate da bti de cap utilizatorilor. Uneori este necesar s fie dezinstalate toate programele care l folosesc pentru a fi siguri c acest produs dispare definitiv din calculatorul dvs. n acelai mod acioneaz si produsul Aureate DLL de la Radiate.com, instalat de pe sute de programe freeware si shareware si care, n timp ce afieaz bannere publicitare atunci cnd programul ruleaz, transfer reclamele de la site-ul Radiate si raporteaz napoi informaii despre ce reclame au fost vizionate si pe care s-a fcut clic si datele unui chestionar propriu care a fost completat la instalare sau care poate reaprea la un anumit timp de la instalarea iniial. Dezinstalarea programului originar nu elimin si DLL-ul, care continu s funcioneze independent. n plus fa de celelalte programe, Aureate DLL introduce si o bre n securitatea sistemului gazd, un lucru apreciat de specialiti ca fiind foarte periculos. Un hacker ru intenionat ar putea redirecta produsul s se conecteze la site-ul su. Astfel, acel server ar putea s preia controlul lui Aureate DLL si s-l determine s transfere fragmente periculoase de cod care apoi vor fi lansate n execuie. Linia de demarcaie dintre analizele demografice necesare marketingului si invadarea spaiului privat a fost tears cu mult nainte de inventarea spywareului. n momentul de fa, utilizatorul este bombardat de mesaje publicitare trimise prin pot electronic la anumite adrese. De fiecare dat cnd participai la un concurs, completai un chestionar sau dac trimitei un talon pentru vreo reducere, suntei adugai la baza de date a vnztorului. Oamenii ce lucreaz n marketing i doresc s afle cele mai mici aspecte ale vieii cumprtorilor, n aa fel nct ei s fie "atini" de mesajele publicitare. Unii oameni par s nu fie deranjai de acest lucru, simindu-se bine s primeasc scrisori si cataloage care se potrivesc propriilor interese si pasiuni. Dac acest lucru nu vi se potrivete, atunci va trebui s stai n permanent alerta.