UNIV. AL. I. CUZA IAI FAC. EAA COL.

BIROTIC

VIRUI

BARTIC ADRIANA

2000

Bartic Adriana-Virui

Viruii i alte programe duntoare au efecte catastrofale numai atunci cnd utilizatorul nu este pregtit i reacioneaz greit. S-a propus denumirea de virus datorit asemnrii cu virusurile biologice. Brain, primul virus de DOS, a venit n 1986 din Pakistan. Astzi experii numr aproximativ 50000 de exemplare. Cifra depinde de cum se iau n considerare exemplarele asemntoare i cele nrudite. Chiar i numai din aceast cauz scanerele de valoare apropiat afieaz un numr diferit de virui recunoscui. Nici o firm sau organizaie nu deine n colecie absolut toi viruii cunoscui. De multe ori, programatorii de virui i rspndesc creaiile intenionat n fiiere sau documente infectate n Internet, n domenii anonime, unde autorul nu poate fi identificat prea uor. Astfel, de exemplu, a aprut virusul Melissa. Viruii se pot nmuli pe multe ci. Autorii gsesc tot mereu altele noi, la care nimeni nu s-ar fi gndit n prealabil. De aceea, programele euristice, care iau n considerare strategiile tipice ale viruilor, nu sunt medicamente universale, ci o bun completare a scanerelor de virui. DOS i Windows 9x reprezint un sol deosebit de
2

Bartic Adriana-Virui roditor pentru virui, deoarece sistemele de operare sunt deschise. Windows NT face viruilor categoric viaa mai grea. Dar nu numai viruii calculatoarelor sunt periculoi i dau bti de cap utilizatorilor. Exist i ali duntori, printre care amintim urmtorii:

CAL TROIAN: Program care execut o aciune mascat. Se ascunde, de regul, ntr-o funcie atractiv, care s determine utilizatorul s l lanseze. De exemplu pretinde a fi un tool sau un upda te de drver. VIERME: Program care creeaz copii ale sale pe alte calculatoare ntr-o reea. HOAX: Fals avertisment cu privire la programe sau mailuri presupus periculoase. BACKDOOR: Un cal troian care permite accesul unui hacker la un alt calculator prin intermediul Internetului (sau a oricrei reele TCP/IP). Este construit din dou componente: server i client. Serverul trebuie pornit pe calculatorul ce urmeaz a fi spionat. Prin client, hackerul controleaz de la distan calculatorul victimei.

Acum, pentru c am aflat c exist mai multe tipuri de duntori, s vedem ce este un virus. Virusul este un program care se reproduce i modific alte programe sau domenii de sistem. Pentru reproducerea sa, virusul atac un program gazd (fiier EXE, program de boot n sectorul de boot, document Office). Utilizatorul l activeaz, deschiznd un document infectat, lansnd un program infectat sau boot-nd de pe o dischet infectat. Viruii de boot reuesc tot mereu s se situeze n Top Ten printre cei mai rspndii duntori. Pentru a elimina aceti virui o dat pentru totdeauna este suficient un singur artificiu:nu mai boot-ai de pe dischet. Trebuie modificat ordinea de boot n setup: mai nti harddisk-ul, apoi unitatea de dischete, anume C:, A:. n Office 2000, macro-urile de Word, Execel, Powerpoint, Outlook i Frontpage sunt ignorate n momentul n care se stabilete cel mai nalt nivel de securitate.

Bartic Adriana-Virui n Word acest lucru este chiar ideal n cazul n care nu se scriu macro-uri. Dar macro-urile certificate ruleaz sub aceast setare. Cine dorete s testeze macro-urile proprii trebuie s scad nivelul de securitate la mediu, atunci va avea posibilitatea de a opta la deschiderea documentelor pentru sau mpotriva activrii macro-urilor, asemntor cu office 97. Este suficient un dublu clic pentru a ndeprta caii troieni, atunci cnd acetia vin ca ataament de mail. Un update pentru Outlook 97, 98 i 2000 afieaz pe ecran nu doar un avertisment cu privire la fiierele COM, BAT i EXE. Acest compartiment reprezint un semnal de alarm i prentmpin lansarea neintenionat a unei aplicaii care a venit pe mail. Cine ncarc programe sau documente din Internet sau navigheaz siteuri de hackeri sau de virui nu are de ce s se mire dac PC-ul su ncepe s se comporte ciudat. Suspiciunile cu privire la documentele i mai ales programele din surse mai puin cunoscute ne vor pzi de virui. Numai n cazul n care PC-ul este complet izolat, n sensul c nu se fac schimburi de documente sau de programe cu altcineva, se poate renuna la protecia antivirus. n toate celelalte cazuri trebuie s se opteze pentru unul dintre programele antivirus. Pentru a evita efectele neplcute ale unei infecii i pierderea de date, care apar ca urmare a unor defecte hardware, este necesar salvarea regulat a datelor. De aceea, se salveaz la sfritul unei zile de munc documentele (de multe ori este suficient o dischet). Programul de backup din Windows este util pentru depistarea fiierelor modificate. n cazul n care nu se gsete n Start-Programas-Accessories, se instaleaz prin Control Panel-Add/Remove-Windows Setup-Disk Tools. La anumite intervale de timp trebuie salvate toate documentele importante.

TOP TEN AL CELOR MAI RSPNDII VIRUI1

1. W97M/MELISSA: Cel mai cunoscut, pentru c este primul exemplu de succes al unui virus care se rspndete activ prin Internet. El se transmite primelor 50 de adrese de mail, pe care le gsete n agenda Outlook. La 26 martie 1999 s-a rspndit cu o vitez uluitoare, ca nici un alt virus naintea sa, prin Internet.Virusul de macro se

Valabil la nceputul anului 2000

Bartic Adriana-Virui gsete ntr-un document Word, activndu-se la deschiderea acestuia. Melissa nu are o funcie distrugtoare, dar a condus n multe firme la suprancrcarea serverelorde mail. 2. EXPLORE-ZIP (alias Zip-Explorer): Acest vierme se transmite prin e-mail. n n care utilizatorul dorete s deschid ataamentul aparent arhivat al momentul

respectivului mail, se lanseaz Explore-Zip i se auto-transmite tuturor expeditorilor, la al cror mail nu s-a rspuns. Rspndirea acestui vierme presupune ns o nregistrare n limba englez. Rspndirea sa n Internet a fost mai lent dect la Melissa, dar a produs pagube imense, deoarece terge fiiere, irevocabil. 3. W32/SKA-HAPPY99: Acest vierme modific fiierul WSOCK32.DLL n aa fel nct, pentru fiecare mail care va fi expediat de aici ncolo de pe alculatorul afectat, este ataat automat un fiier executabil HAPPY99.EXE. Duntorul afieaz pe ecran ntr-o fereastr Windows un foc de artificii animat, avnd titlul Happy New Year 1999. 4. W95/CIH: Primul virus care atac programul BIOS, paraliznd astfel hardware-ul. n plus, o parte a harddisk-ului este suprascris astfel nct un megabyte este distrus, iar restul este inaccesibil. Pentru recuperarea datelor exist programul MRECOVER. O variant a acestui virus se activeaz la 26 aprilie, altele la 26 a fiecrei luni. 5. W97M/CLASS: Viruii de macro dezvoltai special pentru Word 97, care modific obiectul Microsoft-Word ThisDocument, n loc de a utiliza macro-uri precum AutoOpen i FileSave. Prin export/import se eschiveaz proteciei antivirus din Word. 6. W97M/ETHAN: Acest virus de macro Word vneaz i nltur viruii Class. Oricum, calculatorul rmne infectat, dar cu Ethan. Varianta Ethan.d a avertizat la 1 decembrie1999 cu privire la schimbarea datei la 1 ianuarie 2000. 7. XM/LAROUX: Primul i nc cel mai rspndit virus de macro Excel creeaz fiierul PERSONAL.XLS n directorul autorun XLSTART al lui Excel. Fiierul este ncrcat la lansarea lui Excel i conine virusul. Acesta nu are efecte duntoare. 8. WM/CONCEPT: Acesta este strmoul viruilor de macro Word, aprut pentru prima dat n vara lui 1995. Acest virus este nc rspndit. Din fericire, nu dispune de o funcie duntoare, ceea ce nseamn c doar se rspndete. Oricum, el exist n multe variante. 9. PARITY BOOT: La fel ca i Antiexe sau Form, un virus de boot inofensiv, cunoscut de mult timp, care afieaz din cnd n cnd mesajul PARITY CHECK, oprind calculatorul, ceea ce duce, n mod eronat, la prezumia unui defect hardware.

Bartic Adriana-Virui 10. STONED.EMPIRE.MONKEY: Un virus de boot, care modific Master Boot Record n aa fel nct trebuie neaprat nlturat doar cu ajutorul unui software antivirus (nu cu FDISK/MBR), n caz contrar se pierd date.

TABEL2
VIRUI W97M/MELISSA EXPLORE-ZIP W32/SKAHAPPY99 W95/CIH W97M/CLASS TOTAL TOTAL 3+4+5 SEPTEMBRIE 19576 12945 9478 11750 8748 62497 29976 OCTOMBRIE 9434 11400 10300 9450 8564 49148 28314 NOIEMBRIE 9798 10348 7450 8754 6480 42830 22684 DECEMBRIE 10505 10297 5396 5444 6700 38342 17540

Ce fel de oameni sunt cei care scriu virui sau care produc asemenea pagube? Faptul c n marea lor majoritate sunt brbai, este clar. Persoane de sex feminin apar doar ca simpatizante ale grupurilor de autori de virui. Pe vremuri se tia clar c era vorba de elevi i studeni. Studentul n informatic din Taiwan, Chen Ing-Hau, este vinovat de mii de calculatoare distruse din ntrega lume. Avea 23 de ani cnd a scris virusul ce poart ca nume iniialele autorului, CIH, care a distrus BIOS-ul anumitor sisteme. Dar, Persoane tot mai n vrst, din partea crora ne-am atepta la o maturitate etic, scriu virui pentru calculatoare.3 Muli indivizi din aceste grupuri de autori de virui vor pur i simplu s dovedeasc ce grozavi sunt ei, dar eu nu vd n aceast activitate o carier deosebit pentru c cine arunc cu pietre nu este nici pe departe un bun constructor.4 n timp ce autorii de virui ndrgesc artificiile de programare i profit de anumite comenzi sau caracteristici mai puin mature ale software-ului atacat, adversarii acestora sunt obligai s dezvolte programe care s ruleze stabil pe numeroase OS-uri. Nu deranjeaz pe nimeni dac un virus nu activeaz o funcie duntoare (sau dac nu

Cuprinde numrul de calculatoare distruse de 5 virui n ultimele 4 luni ale anului 1999 (datele sunt fictive) 3 Sarah Gordon, din echipa antivirus de la centrul de cercetare Thomas J Watson de la IBM 4 Paul Ducklin, eful echipei dezvoltatorilor de programe antivirus de la Sophos

Bartic Adriana-Virui se nmulete) pe toate calculatoarele unde a ajuns. n schimb dac un software antivirus chiopteaz, clienii sunt mai mult dect nemulumii. Viruii i alte programe duntoare au efecte catastrofale numai atunci cnd utilizatorul nu este pregtit i reacioneaz greit. n unele cazuri aciunile pripite pot crea pagube chiar mai mari dect virusul n sine. Dac se presupune existena unui virus, nu se nchide imediat calculatorul, ci se ncheie mai nti toate aciunile. nainte de shut down, se salveaz toate datele pentru care nu exist un backup (poate c acesta este ultimul moment n care mai pot fi accesate). Deoarece un virus modific numai fiiere de un anumit tip, multe dac nu chiar toate fiierele de salvat sunt nc nevirusate. n caz contrar se poate ndeprta virusul mai trziu, n linite, atunci cnd sistemul este din nou n ordine. Programele antivirus ndeprteaz n cazul ideal viruii, ns o a doua infecie devine mai uor posibil. Cauza o reprezint faptul c viruii de macro moderni pot ocoli i dezactiva protecia antivirus din Office97, n ciuda dezinfectrii, Word rmne mai vulnerabil n faa viruilor dect nainte. Astefel chiar i exemplare mai puin perfecionate au o ans. Dup eliminarea unor virui de Word, trebuie s se activeze protecia antivirus sub Tools-Options-General. Formatarea harddisk-ului nu este ntotdeauna o soluie. Viruii de boot precum Parity-Boot, care se aciuiaz n Boot-Record, supravieuiesc unei asemenea aciuni. Dar, de multe ori, este suficient s se apeleze un program antivirus. Dac acesta nu este n msur s curee programele sau documentele, se reinstaleaz acest software i se folosete fiiere de backup. Numai n cazul n care, nici aa nu se poate restabili sistemul, sau dac acesta nu ruleaz stabil din cauza daunelor produse asupra sistemului de fiiere, poate fi util formatarea harddisk-ului. Dar, atunci se realizeaz n prealabil un backup al tuturor datelor! Dac programul antivirus nu poate dezinfecta anumite documente, se terg sau se izoleaz pe o dischet. Trebuie eliminate neaprat de pe harddisk toate fiierele infectate! Nu este suficient s se redenumeasc fiierele n urma unui dublu clic, windows recunoate dup structura intern c este un fiier Word i-l va deschide prin intermediul acestuia. Iat cteva programe antivirus:

Bartic Adriana-Virui

AntiViral Toolkit Pro Platinum este unul din cele mai performante
programe antivirus, dei nu strlucete foarte mult pe partea de ergonomiefuncionalitate este foarte bun la detecie i la dezinfectarea sistemului.

F-Secure AntiVirus ratele de detecie ale antivirusului au fost excelente,

ratnd doar un singur virus de macro. F-Secure ste o soluie care exceleaz ntr-un mediu de reea, acolo unde poate fi mbinat i cu un server.

RAV Professional Desktop este unul din cei doi antivirui produi
integral n Romnia. Are o recunoatere internaional semnificativ. Ergonomia i funcionalitatea acestui antivirus sunt remarcabile. Performanele la detectarea viruilor sunt foarte bune,singurele probleme reale ridicndu-se la detecia troienilor backdoor, unde a ratat doi din trei.

Panda Antivirus Platinum este un productor de soluii antivirale

cunoscut n ntrg mapamondul, dar cu o activitate mai restrns, n Romnia. Soluia Panda Antivirus Platinum deine performane notabile. Ergonomia i funcionalitatea acestei aplicaii sunt excelente.

McAfee VirusScan Security Suite este unul din veteranii acestui

segment din piaa software, anii ndelungai de experien spunndu-i cuvntul asupra performanelor acestuia.Performanele etalate de VirusScan au fost foarte bune, reuind s ating detecia maxim a viruilor de baz, cu excepia unui troian backdor.

Norton AntiVirus 2000 n dotarea sa intr i un modul de scanare a

fiierelor care se aduc din Internet, alturi de cel mai bine realizat modul de protecie e-mail. O noutate n aceast versiune este posibilitatea de a nltura viruii prezeni n fiiere care se afl ntr-o arhiv, chiar dac respectiva arhiv este contnut ntr-o alta. Ratele de detecie au fost foarte bune.

Norman Virus Control este un produs cu performane bune, acesta fiind

catologat printre cei de vrf n domeniu.

InoculatelT -este un sistem performant n medii de reea, acolo unde poate

dispune de funciile unor module specifice pentru servere, acestea completnd pe alocuri golurile din produsul client.

AVX Softwin se numr printre cei doi productori locali de antivirui. Ratele de detecie au fost bune pentru viruii de boot i cei de macro, la cei de fiiere

Bartic Adriana-Virui ratnd, n schimb, o parte. Fiecare din aceste 9 programe antivirus au fost evaluate pe trei categorii:

ergonomie- funcionalitate, detecie i dezinfectare. Ergonomia-funcionalitatea a fost dat de prezena unor anumite
faciliti, module n antivirus i de documentaia disponibil i interfaa programului, fiecare din acestea avnd o pondere proporional cu importana respectivei componente.

Detecia este dat de procentul de identificare de ctre fiecare produs a

viruilor de baz, fiind urmrite 5 categorii: virui de fiier, virui de boot, virui de macro, troieni backdoor i virui actuali.

Dezinfectarea a fost dat de procentul de succes n operaiunea de nlturare

a viruilor mai sus amintii, simulndu-se n prealabil o infectare obinuit, real de care este posibil orice sistem neprotejat.

RAV

Norman

McAfee

Care este situaia viral n Romnia?

AntiViral

AVX

5 4.5 4 3.5 3 2.5 2 1.5 1 0.5 0

Ergonomie Detectie Dezinfectare

Bartic Adriana-Virui n Romnia acum 2-3 ani, majoritatea cazurilor de infecie eru viruii de boot. Pe locul urmtor se aflau viruii de fiiere. Pe msur ce dischetele au devenit tot mai rare, fiind nlocuite de reele locale i Internet, viruii de boot au nceput treptat s moar. Acelai lucru s-antmplt i cu viruii de DOS, care infectau fiiere executabile, cauza fiind explozia Windows-ului, care a devenit principala platform de operare a utilizatorilori romni. Pe msur ce viruii de boot i de DOS au nceput s dispar, au aprut noi probleme, pe msura noilor soluii. Este vorba de viruii de macro, viruii de Windows i la viermii care se propag prin Internet. Principala cauz a problemelor este faptul c muli folosesc software antivirus vechi, incapabil s fac fa noilor virui, sau chiar nu folosesc nici un fel de soft antivirus. Viruii se rspndesc n Romnia, n principal, prin Internet, prin e-mail sau software download-at, i CD-urile cu software pirat. Viruii cu capaciti de vierme, ca Melissa, sunt un alt mod prin care se poate primi un virus prin Internet. O soluie de protecie antivirus global Internet, la nivelul browser-ulului i agentului de mail (Outlook, Netscape Messenger) ar trebui s reduc mult astfel de probleme ns, muli utilizatori ignor acest lucru, i viruii continu s ne bntuie. n privina CD-urilor pirat, situaia nu este prea diferit fa de cea de acum 2 ani. CDurile pirat cu jocuri sau software infectate cu CIH sunt destul de comune n ziua de azi. La nivel internaional, lupta mpotriva viruilor este destul de bine organizat, ceea ce nu se ntmpl la noi n ar, la nivel local. Cooperarea ntre dezvoltatorii de produse este principalul cuvnt de ordine, dei uneori concurena este pus deasupra colegialitii i cauzeaz certuri ntre marii dezvoltatori de software antivirus. Una dintre organizaiile de prim nume care se ocup cu monitorizarea infeciilor la nivel mondial este The WildList Organization International. Evident, o alt organizaie mult mai puin cunoscut, i cumva nvluit ntr-o aur de mister este CARO-Computer AntiVirus Research Organization. Este o organizaie extrem de select, bazat pe ncredere absolut ntre membri, CARO promoveaz schimbul de informaii ntre experi pentru pentru eradicarea fenomenului VX (virui, n.r.). CARO patroneaz o serie de grupuri de discuie ntre experii din toat lumea. Oalt organizaie este Virus Bulletin Ltd., cu sediul n Regatul Unit al Marii Britanii, organizaie non-profit care testeaz produsele antivirus, atribuind certificri de detecie i calitate.

10

Bartic Adriana-Virui Care sunt msurile pe care un utilizator ar trebui s le ia pentu a-i proteja datele? Msurile pe care un utilizator sau, de fapt, orice utilizator ar trebui s le ia pentru a-i proteja datele sunt puine, ns eficiente. Un soft antivirus upto-date . este mandatoriu. Dac acest soft conine un modul onaccess blocheze capabil s infeciile Internet, atunci ansa de infecie scade drastic. Nu n ultimul rnd, orice produse trebui utilizator antivirus s i de ar in

nainte ca acestea s se produc, cu att mai bine. Dac acest produs mai include i module de protecie de precum pentru mail i clientul preferat, pentru

software-ul up-to-date, adic s i fac continuu upgrde versiune la ultima a pentru

beneficia de protecie mpotriva viruilor noi.

browser-ul

x+ y y 7 ( a +b ) + x
5

{x + y
7

3 6

+ x +
5

2[ x( 2 y + 3) ]

x+ y

=1

alpopey@rdslink.ro

11

Bartic Adriana-Virui

12