VIRUSI ANTIVIRUSI PROTECTIA CALCULATOARELOR

Despre VIRUSI.
Ce este un virus informatic? cuvantul este folosit in ziua de astazi si pentru a descrie un tip de program pentru calculator care este creat cu scopul declarat de a distruge datele sau echipamentele calculatorului. Virusii sunt programe de foarte mica dimensiune, de regula invizibili cu mijloace uzuale ale sistemului, care se gasesc pe calculator fie ca un fisier executabil, fie atasati unor programe, caz in care se numesc "paraziti". Ei sunt capabili sa se "infiltreze" in zone ce raman " ascunse" utilizatorului obisnuit, sa produca modificari distructive asupra datelor ce se afla pe discuri, asupra altor componente ale calculatorului, si sa "reproduca". Deja virusii informatici fac partea din viata noastra, sunt peste tot (diskete, retele, internet...etc).

VIRUS,

Ce Face u n VIRUS ?
Daca as avea un raspuns paluzibil, mi-ar placea sa-l dau. Virusul face tot ce te astepti si multe altele.

VIRUSII se clasifica in:

-Virusi Hardware: sunt cei care afecteaza hard discul, floppy-discul si memoria. -Virusi Software: afecteaza fisierele si programele aflate in memorie sau pe disc, inclusiv sistemul de operare sau componente ale acestuia. Cateva dintre efectele pe care le genereaza virusii software: a) distrugerea unor fisiere; b) modificarea dimensiunii fisierelor; c) stergerea totala a informatilor de pe disc, inclusiv formatarea acestuia; d) distrugerea tabelei de alocare a fisierelor, care
1

duce la imposibilitatea citirii informatiei de pe disc; e) diverse efecte grafice/sonore inofensive; f) incetinirea vitezei de lucru a calculatorului pana la blocarea acestuia.

Cum va puteti contamina?

Acest lucru este inevitabil datorita schimbului de informatii.

CONTAMINAREA se poate reliza:

Cele mai multe dintre calculatoare se contamineaza la citirea dichetelor purtatoare de virusi, care provin de la un alt calculator. Discheta poate contine orice tip de fisier program deja infectat sau virusul poate fi localizat intr-o zona speciala a dischetei, numita sectorul de sistem. La randul lui modemul a devenit un instrument camuflat de transmitare a virusilor. Deoarece serviciile de asigurare a comunicatilor se dezvolta, oamenii pot imparti fisierele prin intermediul linilor telefonice

Cine raspunde de contaminarea fisierelor?

Noi, toti cei care avem acces la calculatorul erspectiv.

MAI SIMPLU, program.

VIRUSUL este un

Deci, cum am mai spus majoritatea virusilor infecteaza fisierele. Ei se pot stecura in fisiere cu extensia COM sau EXE, dar de cele mai multe ori in fisierele DOS pentru ca acestea se incarca odata cu pornirea calculatorului. Odata pornit calculatorul, acesti virusi informatici se vor "trezi" si vor porni la "lucru" distrugand incet, incet calculatorul. Se intampla uneori ca un virus sa fie "benign", adica sa nu faca nici o stricaciune. Reprezinta o problema cei care contamineaza fisierele deoarece fiecare fisier contaminat devine mai mare, iar memoria nu va mai fi disponibila pentru activitati productive.

Ce se intampla in

VIRUSUL se pot clasifica in functie de

efectele lor si de modul in care procedeaza. Virusii
2

momentul contaminarii?

sectorului de sistem au dat amploare unui nou tip de virusi numiti "stealth viruses", adica virusi care se ascund. Chiar daca calculatorul respectiv are un antivirus destul de bun, in momentul cand acesta porneste, virusul are posibilitatea de a se ascunde. Deci in momentul cand un virus contamineaza calculatorul, noi, utilizatori numai detinem controlul lui, acesta fiind preluat de acesti "stealth viruses" care sunt incarcati automat in memorie la pornirea calculatorului. Este greu de facut o asemanare clasificare. In fiecare an se semnaleaza sute de mii de infectari si probabil ca un numar egal sau chiar mai mare nu sunt publicate, fiind tratate pe plan local. In anul 1995 primii cinci virusi erau: Jerusalim (apare intrunul din colturilor ecranului o gaura sau o caseta neagra, sterge fisierele program, incetineste functionarea calculatorului), Cascade (afiseaza caracterele cazute dezordonat, catre partea de jos a ecranului, Brain (redenumeste eticheta de volum a discului calculatorului cu numele "Brian"), PingPong (un caracter incepe sa sara pe ecran, ca o minge de tenis de masa), Stoned (la pornirea calculatorului, uneori apare mesajul "Your PC is stoned now"). Virusi cu auto-multiplicare fac parte din categoria celor mai inteligenti, deoarece infecteaza tot ce ating. In lumea utilizatorilor DOS, majoritatea virusilor sunt transferati prin intermediul codurilor executabile, adica prin fisiere program (COM, EXE, DLL, SYS sau PIF) nu fisiere date. Efectul acestei auto-multiplicari depinde de a doua parte a programului de tip virus informatic. Prima parte este responsabila de gasirea unui mijloc de a se auto-copia. Cea dea doua parte decide ce stricaciune sa faca virusul pe disc. Exista oameni care au capturat un astfel de virus, iau modificat partea a doua si l-au repus in circulatie.

Prezentare a virusilor.
Exista o mare varietate de virusi.

Programe antivirus.
Sunt programe create special pentru combaterea actiunii virusilor.

Programele antivirus pot efectua

urmatoarele operatiuni: - sa detecteze virusii prin verificarea continutului fisierelor si semnalarea prezentei semnaturii unui virus cunoscut sau a unor secvente suspecte in interiorul lor - sa dezinfecteze sau sa stearga fisierele infestate de virusi cunoscuti - sa previna infectarea prin supravegherea actiunilor din memorie si semnalarea intalnirii unor anumite actiuni ca ar putea fi generate de existenta in memorie a unui virus Exista doua feluri de antivirusi dupa modul in care actioneaza: 1. Programe care dupa ce au fost lansate raman in memoria calculatorului si supravegheaza fiecare aplicatie lansata in executie. 2. Programe care sunt lansate de catre utilizator numai atunci cand el doreste sa verifice calculatorul In urmatoarele conditii are loc devirusarea: - Scanarea = citirea fisierelor si a memoriei si identificarea virusilor cunoscuti de programul antivirus respectiv - Devirusare = extragerea virusului sau stergerea fisierului infectat - Monitorizare = este operatia prin care un antivirus existent in memorie verifica si semnaleaza sistematic eventuala aparitie a unui virus Principalele metode impotriva infectarii cu virusi: - Netransportarea pe discheta a fisierelor, de la calculatoare straine - Evitarea folosirii software-ului neinregistrat - Realizarea periodica a operatiei de scanare - Pastrarea unor copii de siguranta ale aplicatilor si fisierelor importante - Crearea unei dischete sistem pentru a o folosi la pornirea calculatorului in caz de nevoie
4

Masuri de protectie antivirus.

Exista tot mai multe programe antivirus.

- Utilizarea dischetelor care contin date importante cu protectie la scriere

Parerea mea!

Desi aceste programe care sunt create de oameni care se pricep la calculatoare, ele nu ar trebui sa existe, ne facand altceva decat a ne ingreuna viata. Deci eu voi incerca sa-mi protejez calculatorul informandu-ma despre ultimile noutati in materie de securitate. Virusii informatici sunt cele mai periculoase arme in razboiul datelor. In multe tari, astfel de programe au fost declarate ilegale iar autorii lor au primit diverse sanctiuni. Numarul actual al virusilor este foarte mare (o cifra exacta este greu de dat) mai ales ca zilnic apar virusi noi. Noi va punem la dispozitie cateva date generale, pentru a intelege mai bine felul in care virusii actioneaza si cum va puteti proteja impotriva lor. Dupa acest sumar, care precizeaza termenii folsiti, voi trece la continutul pe larg al subiectului. Va recomand sa descarcati chiar acum un program antivirus, sa-l instalati si sa faceti o scanare completa a sistemului.

Despre VIRUSI
Ce este un virus informatc ?

Virusii informatici sunt programe de dimensiuni mici care au proprietatea de a se multiplica inserandu-se in fisiere sau in zonele sistem ale discurilor flexibile fr acordul utilizatorului si au, de obicei, o activitate distructiv. Pan in momentul declansarii efectelor distructive, prezenta virusilor
5

nu poate fi remarcata decat prin intermediul unui program specializat, numit antivirus. Utilizatorul este, in majoritatea cazurilor, cel care determina infectarea. In trecut singurul mod de infectare era prin intermediul dischetelor. In prezent interconectivitatea calculatoarelor, care a ajuns la un grad foarte mare prin raspandirea accentuat a retelelor si prin aparitia Internet-ului, la acestea adaugandu-se cresterea numrului de calculatoare deci cresterea numrului de surse potentiale de infectare, face ca virusii sa cunoasca o vitez de propagare foarte mare iar neutilizarea unui antivirus performant poate avea consecinte grave. Primi virusi PC au aparut odata cu raspandirea calculatoarelor de tip PC. Virusii au devenit o problema reala odata cu aparitia retelelor si a internetului.
La inceput au dominat virusi de Boot apoi virusi de Macro, apoi dominau viermi.

Atentie! daca credeti, ca un antivirus va poate proteja total de pericolul virusilor, ei ... aici va inselati amarnic calculatorul dvs va fi in siguranta doar atunci cand este deconectat de la retea si probabil ascuns in podul casei (ideea este ca atata timp cat calculatorul functioneaza nu este in siguranta) Oricum nu disperati, daca invatam sa ne protejam, riscul va fi mult mai mic .

Ce este un virus ?

Nu exista o definitie clara dar trebuie remarcat ceva comun la toate definitiile date de specialisti: un virus este o secventa de instructiuni se reproduce ! Totusi o definitie a unui virus ar suna cam asa:
"Virusul este o inteligenta artificiala lipsita de moralitate si sentiment, si-a dobandit inteligenta de la programatorul care l-a creat, dar poate fi la fel de imoral ca si autorul".

Familii de virusi.

Dorinta cu motivatii obscure a unora de a produce virusi a dus, prin copierea si modificarea unor virusi existenti, la aparitia unor familii de virusi ce numara de la cativa membri pana la peste o suta. Exista mai multe mijloace prin care aceste familii de virusi si-au marit numarul, mijloace pe care le vom prezenta mai jos. Dar mai intai cateva cuvinte despre denumirea virusilor, lucru legat destul de mult de familiile de virusi.
6

Denumirea virusilor

Existenta familiilor de virusi a dus la necesitatea stabilirii unor conventii de denumire a virusilor, care sa puna in evidenta, intr-o oarecare masura, relatiile de rudenie intre virusi. O astfel de conventie a fost propusa in 1991 de un comitet CARO format din Fridrik Skulason (editor tehnic al revistei Virus Bulletin), Alan Solomon (de la S&S International) si Vesselin Bontchev (pe atunci la universitatea din Hamburg). S-a stabilit astfel ca denumirea CARO a virusilor sa contina pana la patru campuri separate cu punct. Cele patru campuri pot fi urmate de ':' si apoi de un modificator. * Primul camp este numele familiei. * Al doilea camp este numele grupului in cadrul familiei (un fel de subfamilie deci). * Al treilea camp este varianta majora si este de obicei reprezentat ca un numar care da lungimea virusului. * Al patrulea camp este varianta minora si este de obicei reprezentat printr-o litera mare. Modificatorul reprezinta mecanismul folosit pentru a indica mijloacele folosite pentru modificarea virusului (de exemplu, mecanismul de criptare folosit). Un modificator poate fi el insusi reprezentat prin mai multe campuri separate cu punct. Pot fi eventual mai multi modificatori separati cu ':'. Dorinta cu motivatii obscure a unora de a produce virusi a dus, prin copierea si modificarea unor virusi existenti, la aparitia unor familii de virusi ce numara de la cativa membri pana la peste o suta. Familii obtinute prin prelucrarea codului Prima, cea mai dificila dar in mod ciudat cea mai raspandita cale de realizare a familiilor de virusi este cea prin care virusi au fost dezasamblati (probabil), analizati si modificati pentru a se comporta altfel. Pentru a vedea maniera prin care pornind de la un virus s-au obtinut diverse alte variante, vom lua ca exemplu virusul Cascade cunoscut si sub numele Falling Letters. Detectat prima oara in 1987 in California, virusul se caracterizeaza in primul rand prin efectul sau vizibil: produce caderea literelor de pe ecranul calculatorului catre baza ecranului. In varianta sa initiala, fenomenul se producea doar in anii 1980 - 1988, lunile septembrie, octombrie si decembrie.

Ca mod de functionare, virusul infecteaza fisiere COM si se instaleaza in memorie ca un TSR. Virusul ar fi trebuit sa devin inofensiv in 1987. Dar n-a fost asa. Varianta 1701-B produce aceleasi efecte, in aceleasi luni, doar ca in fiecare an. Pentru ca efectele nu pareau prea grave, o alta varianta, 1704 Format realizeaza si formatarea discului. Cineva, care avea probabil o afectiune pentru calculatoarele IBM PC adevarate, a creat varianta 1704 care nu mai producea efecte nedorite pe acest tip de calculatoare. In general, variantele cu lungimea de 1704 octeti au aceasta proprietate. Altcineva insa, suparat probabil de aceasta discriminare, a produs varianta 1704-D care, desi are 1704 octeti, afecteaza si calculatoarele IBM PC adevarate. Intre timp, programatorii antivirus nu au stat nici ei degeaba si au produs antivirusi corespunzatori. Ca urmare, pentru a ingreuna munca lor au aparut: 1701 Mutation care avea 2 octeti modificati (si a trebuit alt antivirus!), 17Y4 care are un singur octet modificat, 1701- YAP care are, de asemenea, modificari speciale pentru a impiedica detectia cu antivirusii realizati anterior. Un creator de virusi mai econom a realizat Cascade 1701.E care produce caderea unui singur caracter. In fine, varianta numita Cunning a inceput sa cante! Si acestea nu sunt toate variantele virusului Falling Letter, care si-a inceput cariera cu circa 8 ani in urma... Familii obtinute prin surse publicate de virusi O cale surprinzatoare pentru initierea unor familii de virusi o constituie publicarea, pur si simplu, de catre diversi autori a unor surse de virusi. Motivatiile pentru astfel de publicari sunt relativ obscure (ca multe alte aspecte ale domeniului virusilor). Autorii au vrut sa traga poate un semnal de alarma ca sa arate ca virusii chiar exista, au vrut sa se amuze sau au vrut poate sa demonstreze cat de ingeniosi sunt. Greu de spus. Oricum, astfel s-a dat un imbold uluitor conceperii de virusi noi. Un exemplu celebru este virusul Vienna, care a ajuns sa aiba peste 110 variante fiind probabil cea mai numeroasa familie cunoscuta. Virusul Vienna a fost creat de un student din Viena (de aceea el se mai numeste si Austria) si sursa sa, in BASIC si PASCAL, a fost publicata in 1987 in cartea Computer Viruses: A High Tech Disease, de catre Burger. Prima oara a fost detectat la Moscova in 1988 in cadrul unei tabere de copii organizata de UNESCO (de aceea un alt pseudonim al virusului este UNESCO). Are lungimea de 648 octeti (de unde pseudonimul 648) si infecteaza fisiere COM carora le modifica numarul de secunde al datei din director, la valoarea imposibila de 62s (de unde pseudonimul DOS-62). La fiecare al saselea fisier COM analizat de virus, el va face modificarea privitoare la numarul de secunde, va altera, in plus, primii cinci octeti ai fisierului cu valoarea hexa EAFOFF00F0, dar nu va infecta programul! Cand se va rula programul astfel alterat, el va produce reboot-area
8

sistemului. Dupa cum se vede, programul care va produce necazuri nu va fi unul infectat. Uneori insa si unele programe infectate pot produce blocaje de sistem cand se termina. Din numeroasa familie a virusului enumeram cateva exemplare. Virusul W13 (numit astfel deoarece modifica luna programului infectat in 13) are mai bine de 15 descendenti. Printre acestia se afla si virusul PlumbumM1, originar din Polonia, care contine (neafisat) "Be carefull!!! in your computer is one powerfull creeper", dar care nu este daunator caci el doar se multiplica. Virusul Violator, originar din Canada, are circa 12 descendenti. Unul dintre ei este virusul Baby, care contine mesajul "by by baby". Nu se stie ce mai face Baby, in afara de faptul ca se inmulteste! Familii obtinute cu ajutorul unor instrumente specializate Daca publicarea surselor unor virusi pare surprinzatoare, atunci distribuirea unor instrumente de creat virusi este de-a dreptul uluitoare. Si totusi, astfel de instrument exista, si inca destul de numeroase: VCS - Virus Construction Set a fost realizat in 1990 de Verband Deutscher Virenliebhaber (Asociatia Iubitorilor Germani de Virusi) VCL - Virus Creation Laboratory a aparut in 1992 si a fost creat de un personaj misterios care isi spune Nowhere Man (Omul de Niciunde). PS-MPC - Phalcon/Skism Mass Producer Code generator 1992 a fost creat de un alt personaj ciudat numit Dark Angel (ingerul Negru). IVP- Instant Virus Production kit (IVP) a aparut tot in 1992 si este de fapt o varianta foarte asemanatoare cu PS-MPC. Autorul se autointituleaza YAM Youngster Against McAfee. G2 - Second Generation in Virus Creation a aparut in 1993 si este o tot o perfectionare a lui PS-MPC. Imbunatatirea consta in faptul ca virusii sunt generati dupa un algoritm de randomizare a secventelor de instructiuni, astfel ca practic nu se produc doi virusi identici. Fiind vorba de niste instrumente de creare a virusilor, este evident ca toti virusii creati cu un anumit instrument vor avea elemente comune, alcatuind astfel o familie. Pentru exemplificare vom prezenta cativa dintre virusii generati cu astfel de instrumente. Virusii generati cu VCS au toti lungimea de 1077 octeti. Initial VCS genereaza (la indicatiile utilizatorului) un fisier numit VIRUS.COM. Cand acest fisier va fi executat, el va infecta unu din trei fisiere COM. Dupa o perioada de incubatie (precizata in numar de generatii), virusul declanseaza efecte colaterale care constau in alterarea fisierelor CONFIG.SYS si AUTOEXEC.BAT. Din aceasta familie fac parte: VCS, DarkSide, Paranoimia, VCS-POST, Manta. Virusii generati cu VCL infecteaza, de asemenea, numai fisiere COM, dar, deoarece programul de generare are mult mai multe instructiuni referitoare la
9

efectele colaterale si conditiile lor de declansare, lungimile si caracteristicile virusilor variaza. Se cunosc peste 60 virusi realizati cu aceasta masinarie. Exista variante care viruseaza si fisiere EXE. Unele dintre variante lucreaza destul de complicat folosindu-se si de mecanisme de tip companion. Astfel, virusulVCL.587, raportat prima oara in iulie 1994, actioneaza cam in felul urmator: cand se executa, el creeaza pentru 3 fisiere EXE cate un companion COM, care contine corpul virusului. De asemenea, la un anumit moment dat afiseaza mesajele "Well, nobody is going to give a damn when they found your dead, limp body in the river next week with a knife through your heart. They just laugh and say... Good I hated anyway. FAKE DARK AVENGER!!! cBeePoP / PuKe WaReZ 1992." Mesajele sunt urmate de un blocaj al sistemului.

Ce face un VIRUS ?

Virusul face tot ce nu te astepti si multe altele. Inainte de 1993, Vesselin Bontchev, absolvent al Universitatii Tehnice din Sofia si cu doctorat la Virus Test Center din Hamburg (sub conducerea profesorului Klauss Brunnstein) a propus o standardizare a modului de descriere a caracteristicilor unui virus, in scopul raportarii lui. Aceasta propunere cunoscuta sub numele de CAROBASE format sau fisa CARO, s-a bucurat de succes si a inceput sa fie folosita intens in rapoartele despre virusi. In momentul de fata, structura fisei (cu ideea de standardizare in continua evolutie - creatorii de virusi nu sunt dispusi sa se supuna vreunui standard!) este gestionata de Anthony Naggs (Anglia). Vom prezenta o clasificare a tipurilor de virusi, urmarind in linii mari caracteristicile esentiale precizate in fisa CARO si modul lor de actiune. Astfel, virusii se clasifica dupa:
1. 2. 3. 4. 5. Tinta infectiilor Locul de rezidenta in memoria centrala Autorecunoasterea in memorie Autorecunoasterea pe disc Tehnici de autoaparare
10

6. 7. 8.

Tehnici de patrundere in sistem Polimorfism Tehnici de ascundere

1. Tinta infectiilor
Virusii, indiferent unde, cand si in ce fel ar actiona, trebuie sa se afle in cele din urma pe disc (altfel, cand am opri calculatorul, ei ar muri). Pot fi infectate insa diverse parti ale unui disc. Din acest punct de vedere virusii pot fi clasificati in:

Virusii de fisiere sunt acei virusi care, intr-un fel sau altul, se agata de un
fisier (COM, EXE, SYS, BIN, OVR, LIB, OBJ, BAT, DOC). Tipul fisierului ce urmeaza a fi virusat, se determina dupa extensia din numele fisierului. In cazul fisierelor de tip EXE sau COM, tipul se poate determina si dupa primele doua caractere ale fisierului. Unii virusi infecteaza mai multe tipuri de fisiere. Astfel, virusul Fu Manchu infecteaza tipurile SYS, COM, EXE, BIN, OVR, a caror lungime este marita. El este insa activ prin fisiere EXE pe care le mareste cu 2080 octeti, atasandu-se la sfarsit, sau prin fisiere COM pe care le mareste cu 2086 octeti, atasandu-se la inceput. Virusii de fisiere de tip DOC sunt un tip aparte de virusi. Ei sunt specifici documentelor Office si actioneaza prin intermediul unor macrouri. Astfel de macrouri, despre care se stie ca sunt purtatoare de virusi, se numesc: AAAZFZ, AAAZAO, AutoOpen, Payload, FileSaveAs etc. Acesti virusi se transfera cel mai usor de la un sistem la altul deoarece, nu de mult timp, se considera ca fisierele de date nu pot fi purtatoare de virusi (ci pot fi numai distruse de catre virusi).

Virusi de boot folosesc boot-ul sistem de pe dischete sau de pe hard

disc pentru a actiona si pentru a se raspandi. In general, un astfel de virus procedeaza dupa cum urmeaza. Corpul virusului este scris peste boot-ul sistem, iar boot-ul sistem este salvat in alta parte pe disc. Cand are loc incarcarea sistemului de pe discul respectiv, primul care va primi controlul va fi virusul. Acesta se executa, dupa care el va lansa boot-ul originar al discului. Locul de pe disc in care se salveaza boot-ul originar (si eventual restul virusului, cand acesta este mai lung) poate fi: in spatii care se stie ca nu sunt folosite de sistem, sau in sectoare care sunt marcate apoi ca fiind defecte pentru ca altcineva sa nu mai scrie in ele.
11

Cand virusul este mai lung el poate folosi si alte zone disc cum ar in tabela de partitii sau asa numitele sectoare ascunse. Sectoarele ascunse sunt sectoarele disc aflate intre primul sector al primei piste (sau MBR - Main Boot Sector sau Master Boot Sector), si primul sector al celei de a doua piste. Aceste sectoare nu se folosesc, in general, de sistemul de operare. ataseaza unui program EXE, fara a face vreo modificare a fisierului respectiv, folosind un artificiu. Acest artificiu se bazeaza pe o ciudatenie a sistemului DOS. Atunci cand se incearca lansarea unui program numit XXXXX, sistemul va cauta mai intai un fisier XXXXX.BAT. Daca nu gaseste, va cauta un fisier XXXXX.COM. Daca nici asa ceva nu gaseste, va cauta XXXXX.EXE. Pornind de la aceasta caracteristica, atunci cand un virus de tip companion decide infectarea unui program numit de exemplu XXXXX.EXE, el creeaza o copie a sa ca un program de tip COM numit XXXXX.COM in catalogul in care se afla programul ce urmeaza a fi infectat. Cand se va cere executarea programului XXXXX, fisierul XXXXX.COM, deci virusul, va fi cel care va primi controlul (presupunand ca nu exista un XXXXX.BAT). Dupa ce virusul se executa, el va incarca programul XXXXX.EXE., care va putea la randul sau sa se execute normal. cazul acestui tip de virus, programul (fisierul) virusat nu sufera, de asemenea, nici o modificare. Ceea ce se modifica insa, este pointerul din director catre inceputul fisierului. Acest pointer va indica spre un cluster in care virusul a avut grija sa-si puna corpul. Cand programul virusat va trebui sa fie executat, virusul va fi cel care va primi mai intai controlul. Dupa ce virusul se executa, el va incarca in continuare programul virusat, care se va putea executa normal. Un astfel de virus este Dir 2. Desigur, efectul colateral este distrugerea treptata a directoarelor. Un alt efect este acela ca, in situatia in care unul din fisierele infectate este copiat pe un alt disc, se copiaza de fapt numai corpul virusului!
Virusi cu infectie multipla, acest tip de virusi sunt o combinatie intre virusii

Virusi insotitori (companion) se

Virusi de tip link (cluster), in

de fisier si virusii de boot. In general, ei se ataseaza la un fisier (ca un virus de fisier), dar scriu anumite secvente de cod si in boot-ul sistemului sau in sectoarele ascunse (ca un virus de boot).

2. Locul de rezidenta in memoria centrala

Pentru a-si indeplini sarcina lor nefasta, virusii trebuie sa ajunga in cele din urma in memoria principala (RAM) a calculatorului, de unde pot fi executati.
12

Odata ajunsi in memorie, ei pot ramane acolo si atunci se spune ca sunt rezidenti in diverse regiuni ale memoriei, pot lasa doar o parte a lor rezidenta in memorie sau pot sa dispara din memorie imediat ce si-au terminat treaba, si atunci se spune ca sunt nerezidenti. Ca urmare, apar urmatoarele tipuri de virusi:

Virusi nerezidenti sunt cei care, dupa ce ajung in memorie, se executa si

apoi dispar din memorie. Un astfel de virus este Deicid. Acest virus are 666 octeti si, atunci cand este executat, cauta mai intai un fisier COM si ii rescrie inceputul cu corpul virusului, dupa care afiseaza mesajul "File corruption error". In felul acesta fisierele COM sunt treptat distruse. Daca nu mai este gasit nici un fisier COM atunci primele 80 de sectoare de pe hard disc sunt distruse, dupa care pe ecran apare mesajul DEICIDE! Glenn(666) says: BYE BYE HARDDISK!! Next time be carefull with illegal stuf.

Virusi partiali rezidenti

(sau de tip payload), dupa ce se produc infectarea altor fisiere, lasa in memorie un segment al lor care, in general, produce diverse efecte colaterale. Un astfel de virus este Iper. Acesta are 1062 octeti dar, dupa ce se executa, lasa in memorie un cod de 240 de octeti. Virusi rezidenti sunt cei care, dupa ce ajung in memoria calculatorului, raman acolo, in diverse moduri, si continua sa infecteze alte programe care se incarca. Locurile in care se pot ascunde sunt: in vectorul de intreruperi (de exemplu Cinderella.B) in MCB - ul DOS (de exemplu Dir II) in tampoane DOS (de exemplu Int13) prin modificarea unui MCB (de exemplu Dark Avenger) in zona de memorie peste 640 KO (de exemplu EDV) in memoria VIDEO (de exemplu VComm) Unii virusi raman in memorie rezidenti, ca un TSR (de exemplu Jerusalem).

3. Autorecunoasterea in memorie
Un virus care ajunge in memorie pe o cale sau alta, trebuie in primul rand, sa determine daca nu cumva un alt exemplar al sau este deja acolo. Acest lucru numit autorecunoastere in memorie, ii este necesar pentru a nu se produce o suprapunere a mai multor activitati identice, ceea ce ar duce la o autoanihilare printr-o distrugere eventuala a sistemului. Pentru a realiza autorecunoasterea in memorie, un virus trebuie sa puna intr-un fel sau altul o intrebare de tipul "Esti acolo?", si deci sa stie si sa raspunda la o astfel de intrebare. Intrebarea "Esti acolo?" se poate realiza in doua feluri:
13

Prin utilizarea efectiv a unei intrebari "Esti acolo?", bazata pe intreruperea INT 21, punandu-se de exemplu in registrul AX o anumita valoare. Celalalt exemplar va raspunde eventual, cu un anumit cod.
Prin scanarea memoriei pentru a detecta o semnatura (tehnica folosita in fond, si de programele antivirus). Pe post de semnatura, virusul poate folosi eventual tot corpul sau. Un caz special de autorecunoastere il reprezinta asa numitii virusi multicelulari sau sexuati. Un virus multicelular are doua parti (intr-un fel este vorba de fapt de doi virusi), si, pentru a putea functiona, cele doua parti trebuie sa se intalneasca si deci sa se recunoasca individual si reciproc in memorie. Un exemplu de virus multicelular este virusul RMNS. Acest virus are doua parti: partea masculina (297 octeti), si partea feminina (353 octeti). Ambele parti se ataseaza fisierelor COM si dupa incarcare raman rezidente. Partea masculina se autorecunoaste in memorie prin emiterea intrebarii "Esti acolo?" (intreruperea INT 21) cu codul 4BBCh in registrul AX (ceea ce anseamna de fapt 4Bh = functia Load And Execute -- incarca si Executa-iar BCh = sub - functia Esti acolo?). Un alt exemplar (daca este prezent in memorie) interceptand intreruperea INT21 si gasind functia 4Bh in registrul AH, sub - functia BCh (in registrul AL), raspunde cu codul BBB4h in registrul AX. Analog procedeaza partea feminina utilizind codul 4BBDh. Ambele sexe intercepteaza deci intreruperea INT21. Cand un program este incarcat in memorie si deci se executa intreruperea INT21, functia 4Bh (in AH), sub - functia 0, 1, 2, 3 (in AL), virusul RMNS masculin produce la randul sau o intrerupere INT21cu codul 4BBEh in registrul AX. Cand partea feminina intercepteaza la randul sau intreruperea INT21 cu 4Bh in AH si BEh in AL, va produce infectarea fisierului respectiv (cand cu o varianta masculina, cand cu o varianta feminina). Rezulta ca partea masculina este singura care detecteaza incarcarea de programe, iar partea feminina este singura care produce efectiv infectarea.

4. Autorecunoasterea pe disc
In momentul in care un virus decide ca trebuie sa infecteze un alt fisier, el trebuie sa determine daca acel fisier nu este deja infectat cu virusul respectiv. In acest scop el trebuie sa se autorecunoasca in corpul fisierului pe care vrea sa-l infecteze. Daca nu ar face aceasta operatie, ar risca sa reinfecteze un acelasi fisier de mai multe ori, ceea ce ar duce la cresterea peste masura a lungimii fisierului respectiv (ceea ce se si intampla cu anumiti virusi mai putin evoluati). Pentru a se autodetecta pe disc, virusii folosesc diferite metode. Virusul 10_Past_3.748 (ca si altii din aceeasi familie) compara ultimii doi octeti ai fisierului cu 0622h, analog virusii Arriba (valoarea 3156h) sau Barrotes (caracterele SO). Virusul Bit Addict cauta textul BIT ADDICT incepand cu octetul 3 al fisierului - de unde si numele virusului. In paranteza fie spus, acest
14

virus, cand considera ca trebuie sa-si declanseze efectele distructive-adica la al 101-lea apel al intreruperii INT21 cu functia 4Bh - arunca gunoaie in primele 100 de sectoare ale discurilor C si D si, inainte de a intra intr-o bucla fara sfarsit, afiseaza pe ecran mesajul "You have a good taste for hard disks, it was delicious !!!" Un caz particular il reprezinta variantele asemanatoare ale unuia si aceluiati virus. Unele din aceste variante, mai evoluate, se descurca chiar si in situatia in care un fisier a fost deja infectat cu o varianta mai veche. Astfel virusul Yankee(Wobble) poate chiar sa dezinfecteze fisierul infectat cu o versiune a sa mai veche si sa-l infecteze cu versiunea noua. El procedeaza astfel: La adresa 12h intr-un fisier infectat se afla adresa de unde incepe virusul. Virusul are doua tratamente distincte in functie de vechimea versiunilor: Versiunile mai noi au la inceputul lor valoarea 7AF4h. In acest caz la octetul 2 de la inceputul virusului se gaseste numarul de versiune al virusului. Daca acest numar este mai mic decat versiunea virusului care vrea sa faca infectia, atunci el va face mai intai dezinfectia si apoi infectia cu varianta sa. In caz contrar, virusul considera ca s-a recunoscut si abandoneaza infectia. Versiunile mai vechi au la sfarsitul lor valoarea 7AF4h. In acest caz, virusul va face mai intai dezinfectia si apoi va face infectia cu varianta sa.

5. Tehnici de autoaparare
Pentru ca sa fie mai greu de detectat de catre programele antivirus, multi virusi recurg la tehnici speciale care pot fi numite tehnici de autoaparare. In functie de aceste tehnici, virusii pot fi clasificati in felul urmator: >>Virusi cu o codificare speciala pentru a fi greu de dezasamblat (de exemplu Fichv.2.1, PS-MPC.ARCV-8). >>Cei care studiaza virusii si construiesc antivirusi se folosesc de diverse instrumente. Printre acestea se afla si programe de tip dezasamblor (cum ar fi Sourcer). Unii virusi sunt insa astfel programati incat sarcina dezasamblarii nu este deloc usoara. >>Virusi care dezactiveaza intreruperile INT3 si INT1 (de exemplu 10_Past_3.748, DELWIN). >>Virusi care dezactiveaza tastatura (de exemplu Yankee.Wibble, LittleBrother.321) >>Virusi care utilizeaza indicatorii CPU pentru a determina daca se lucreaza pas cu pas. >>Virusi care utilizeaza INT1 sau INT3 in loc de INT21 pentru necesitatile lor.

6. Tehnici de patrundere in sistem

15

Un virus ajuns in memoria calculatorului trebuie sa apeleze la anumite servicii ale sistemului de operare pe care l-a infectat, deoarece el nu poate sa execute singur anumite sarcini (nu contine parti ale sistemului de operare). De aceea exista anumite programe antivirus numite shield, care intercepteaza apelurile functiilor sistem prin intreruperi si analizandu-le, pot deduce daca sunt folosite de un virus (de exemplu, pot determina daca se incearca cumva alterarea unui fisier de tip EXE sau COM sau daca se scrie cumva pe disc in zone mai rar folosite: boot, tabela de partitionare, sectoare ascunse, etc.). La randul lor, anumiti virusi, pentru a nu putea fi detectati in acest fel de programele antivirus de tip shield, au gasit mijloace pentru a apela direct functiile sistem de care au nevoie (si nu ca niste intreruperi), astfel incat sa nu mai poata fi prinsi. Ansamblul mijloacelor prin care un virus recurge in mod direct la serviciile sistemului de operare infectat poarta numele de tehnici de patrundere (tunnelling). Principalele tehnici de patrundere folosite de virusi sunt: >>Virusul gaseste handlerul intreruperii INT21 sau INT13 dorite si il apeleaza direct In acest scop virusul poate proceda in mai multe feluri: Virusul poate avea de la bun inceput o tabela cu adresele necesare cunoscute. La anumite deplasamente fata de aceste adrese, el poate considera ca se afla handlerele dorite. Virusul scaneaza memoria pentru a gasi un anumit sir cu care identifica handlerul cautat, si, la un anumit deplasament fata de pozitia acestui sir, poate considera ca se afla inceputul handlerului dorit. >>Virusul apeleaza direct ROM BIOS Virusul apeleaza direct ROM BIOS folosind un mecanism din cele descrise mai sus pentru INT21 sau INT13. >>Virusul acceseaza direct hardware-ul In acest caz virusul pur si simplu nu mai recurge la serviciile sistemului de operare.

7. Polimorfism
Pentru a face devirusarea cat mai dificila, a aparut polimorfismul. In principiu, polimorfismul consta in capacitatea virusului ca in momentul replicarii in scopul inmultirii, noile exemplare obtinute sa nu fie identice cu originalul, ci cat mai diferite. In felul acesta, nu mai avem de a face cu un singur virus, ci cu o intreaga colectie, cu un numar din ce in ce mai mare de variante de virusi. Exista mai multe tehnici de realizare a polimorfismului. Virusi polimorfi cu criptare, acest tip de virusi polimorfi este cel mai raspandit. Ideea aflata la baza lor consta in urmatoarele: corpul virusului este
16

criptat, cu exceptia unei mici portiuni care este folosita pentru decriptare. Cum criptarea se face folosindu-se o cheie variabila (depinzand in mod aleator de caracteristici ale sistemului, de momentul criptarii, si de multe alte conditii posibile), rezulta ca la fiecare infectare ceea ce se ataseaza agentului (boot sau fisier) este diferit. Unul din primii virusi polimorfi, celebru in felul sau, a fost creat in scop demonstrativ de Mark Washburn in 1987 si numit 1260. Washburn a incercat sa arate ca se pot crea virusi care nu pot fi detectati prin simpla scanare. Autorul a insistat de altfel, pe aceasta cale si a creat si virusii V2P2 si V2P6. Lucrurile nu sunt tocmai usoare, cu atat mai mult cu cat, pe cai obscure, subterane au aparut adevarate instrumente de criptare care se pot atasa relativ simplu la virusii nou creati. Astfel de instrumente sunt: Mutation Engine sau MtE - aparuta in 1991 a ajutat la producerea a peste 33 de virusi. TridentPolimorphicEngine (TPE) scris de Masud Khafir in 1992 in Olanda NuKE Encription Device (NED) a fost realizat in 1992 si este atribuit misteriosului personaj numit Nowhere Man Dark Angel's Multiple Encriptor (DAME) realizat de Dark Angel in 1993. Darwinian Genetic Mutation Engine (DGME) Dark Slayer Mutation Engine (DSME) scris in 1993 de cineva care isi spune Dark Slayer si este originar din Taiwan (documentatia este in engleza si chineza) Gun's'Roses Polymorphic Engine (GPE) apartine unui anume Slash Wu Dark Slayer Confusion Engine (DSCE) - o versiune imbunatatita a lui DSME. Din fericire, programele antivirus pot detecta totusi acesti virusi, chiar daca nu ii pot curata totdeauna. Aceasta se datoreaza faptului ca oricum este necesara o bucata necriptata de la care se porneste decriptarea si deci, si identificarea virusului. Virusi polimorfi cu permutarea unor parti (secvente sau instructiuni), Astfel de virusi sunt constituiti din mai multe module- pe care virusul le amesteca, intr-un mod aleator, in momentul crearii unei noi copii. Virusi polimorfi cu inlocuirea instructiunilor (cu altele echivalente), acelasi efect poate fi obtinut prin executarea unor instructiuni diferite. De exemplu, marirea cu 1 a continutului unui registru se poate face prin incrementare, prin adunarea unei valori pozitive sau prin scaderea unei valori negative. Mizand pe aceste echivalente, un virus poate genera diverse variante ale sale. Virusi polimorfi cu zone de eludare. Zonele de eludare sunt zone neutre, de umplutura. Aceste zone pot fi modificate aleator, producand forme variate ale virusului.
17

8. Tehnici de ascundere
Pentru a nu fi detectati de programele antivirus, unii virusi folosesc tehnici speciale de ascundere. Aceasta ascundere consta, in esenta, in interceptarea anumitor intreruperi si tratarea lor astfel incat virusii sa nu poata fi vazuti. De exemplu, virusul de boot Chinese-Fish foloseste in acest scop intreruperile 13h/02h, 13h/03h. Astfel, cand cineva (de presupus un antivirus) incearca sa citeasca adresa disc (pista 0, cap 0, sector 1) unde se afla MBR-ul (Master Boot Record), pentru a verifica probabil integritatea acestuia, virusul, prin interceptarea citirii, nu va permite citirea a ceea ce se afla la aceasta adresa (caci acolo este corpul sau), ci va directiona aceasta citire catre adresa (pista 0, cap 0, sector 10) unde el a salvat MBR-ul discului. De asemenea, citirile de la adresele (pista 0, cap 0, sector 8) pana la (pista 0, cap 0, sector 10) (zona folosita de virus), sunt directionate la adresa (pista 0, cap 0, sector 11). Virusul scrie pe ecran mesajul Hello! I am a FISH, please don't kill me. Congratulate 80th year of the Republic Of China Building. Fish will help to kill stone. Written by fish in NTIT. Taiwan 80.10.18. Dupa cum se poate remarca din acest mesaj, virusul declara ca distruge (virusul) Stone sau mai exact virusul Michelangelo din familia Stone. Intr-adevar, daca dupa infectia cu Chinese-Fish a avut loc o infectie cu Michelangelo, acesta din urma copiaza sectorul MBR (unde se afla deci Chinese-Fish) la adresa (pista 0, cap 0, sector 7). Cand Chineze-Fish va primi controlul in cursul bootarii, el va verifica daca la adresa (pista 0, cap 0, sector 7) se afla corpul sau, si in caz afirmativ, se copiaza din nou in MBR, distrugandu-l pe Michelangelo. O alta tehnica de ascundere (numita jumper) consta in desprinderea virusului de fisierul infectat chiar inaintea executiei lui, astfel incat programul continut in acel fisier apare ca fiind curat, inseland eventualele incercari ale programului de a determina daca este infectat. Dupa ce programul respectiv se termina, virusul se reataseaza la el, infectandu-l din nou.

Cum va puteti contamina?

Acest lucru este inevitabil datorita schimbului de informatii. Modalitati de infectare, exist dou modalitati principale de infectare:
prin intermediul dischetelor. Se recomand scanarea dischetei inainte de fiecare copiere de pe aceasta si folosirea protectiei la scriere in cazul in care se doreste doar citirea acesteia.

18

prin transferul de fisiere din retea (e-mail, internet, retea local). Se recomand scanarea tuturor fisierelor transferate din retea pe harddisk-ul local.

De obicei, asociem termenul de "computer virus" cu un mic program ticalos a carui tinta este de a distruge informatiile de pe disc. Virusii nu sunt singurele forme intentionate de a atenta la securitatea datelor de pe calculatorul dumneavoastra, mai sunt cai troieni, bombe logice, viermi. Un virus apare in calculator prin diverse mijloace, isi desfasoara activitatea, strica ce poate strica, se inmulteste cat se poate inmulti, molipseste si alte calculatoare daca are ocazia. Daca este un virus rau, va muri in cele din urma odata cu sistemul pe care l-a infectat (si distrus), sau este curatat de un antivirus corespunzator. Daca nu este un virus rau poate sa "convietuiasca" mult si bine cu sistemul pe care l-a infectat, producand numai unele neajunsuri minore. Dar, poti fi sigur oare ca un virus pe care-l ai si care nu face, aparent, decat sa cante din cand in cand cate un cantecel, nu are pus in el un ceas care il face sa-ti formateze discul chiar pe data de "zz:ll:aa".

Cine raspunde de contaminarea fisierelor?

Noi, toti cei care avem acces la calculatorul respectiv. Asa cum am precizat anterior, principala caracteristica a unui virus este aceea de a se inmulti, deci de a infecta si alte fisiere, utilizind copii ale sale. Aceste replici pot fi identice cu el, dar pot fi mai mult sau mai putin diferite de el si diferite intre ele (ca in cazul virusilor polimorfi). Nici inmultirea (din pacate) nu se face in mod haotic. Pentru a se ascunde cat mai mult timp (si a va lasa ragazul sa faceti si dumneavoastra cadou o discheta unui prieten, sau sa-i trimiteti un fisier prin reteaua la care sunteti conectat), virusii isi franeaza in mod voluntar inmultirea, infectand alte fisiere numai din cand in cand sau numai in anumite conditii. Atunci cand considera ca s-au inmultit destul (deci cand se indeplinesc anumite conditii), mai toti virusii incep, in fine, sa-si manifeste prezenta. Uneori, aceste efecte nu sunt chiar atat de grave (efecte nedistructive): calculatorul incepe sa cante (de exemplu, Doodle, cantat de virusul cu acelasi nume), sa spuna glume ("apa depistata in microprocesor. Functionarea poate fi compromisa. Se recomanda oprirea calculatorului cateva ore pentru uscare" - gluma debitata de virusul romanesc Alexander, sau "Critical error 08/15: Too many fingers on keyboard", apartinand virusului Fingers), sau sa realizeze desene obscene
19

(virusul Caibua). Alteori insa, aceste efecte sunt cu mult mai grave (efecte distructive): de la distrugeri aleatoare de zone disc (Dark Avenger) pana la distrugerea completa a informatiilor de pe disc.

Ce se intampla in momentul contaminarii?

Prezenta unui virus poate fi descoperit in urma mai multor simptome: cresterea memoriei utilizate; scaderea vitezei de operare a calculatorului; timp suplimentar la executia programelor; accesarea excesiva a harddiscului sau a unei dischete protejate in unitatea de disc; programele nu mai pot fi executate (cazul virusilor overwrite); erori anormale de protectie la scriere; imposibilitatea de pornire a Windows-ului; blocarea Windows-ului prin accesarea directa a hardware-ului de catre virusi; avertismentul Windows care semnaleaza faptul ca nu se utilizeaza accesul pe 32 de biti; imposibilitatea salvrii documentelor decat ca template. Dac se remarca orice anomalie de functionare a calculatorului (inclus sau nu in lista anterioara) se recomand devirusarea rapida.

Prezentarea virusilor.
20

Exista o mare varietate de virusi. Voi exemplifica cativa virusi.

Win95.CIH.1003.A Ce infecteaza: Fisiere executabile Win32 PE Cand infecteaza: La executie Unde se scrie in fisier. Fisierele executabile Win32 PE sunt structurate pe sectiuni si de cele mai multe ori sectiunile nu sunt utilizate integral. La infectare, virusul cauta spatiile libere din fisierul atacat si le foloseste pentru a-si scrie acolo codul executabil. Astfel, virusul infecteaza fara sa lungeasca fisierele. Dupa aceea modifica punctul de intrare in program in asa fel incat executia sa inceapa cu codul virusului. Executia programului-gazda nu este perturbata deoarece virusul retine in corpul sau unde incepe programul din fisierul parazitat. Cum putem identifica fisierele infectate. Cel mai sigur este sa fie utilizat un antivirus. In lipsa unui antivirus, se poate cauta in primii 1024 octeti din fisier semnatura "KBQPP" virusul nu este polimorf, dar acest lucru nu este sigur pentru ca este posibil sa aveti un fisier dezinfectat care sa mai contina inca semnatura. Actiunea curenta a virusului.Virusul se poate inmulti oricand. Puteti sta cu virusul in calculator luni de zile si puteti sa nu observati nimic. Asta nu inseamna ca virusul nu face nimic in acest timp, el se inmulteste in liniste replicandu-si codul in toate fisierele de tip Win32 PE pe care le executati. De aceea, daca descoperiti acest virus, nu trebuie sa va alarmati. Nu ati pierdut inca nimic. Actiunea distructiva a virusului.Pe 26 aprilie virusul strica in doua feluri: a) incearca sa scrie gunoaie peste flash BIOS, dar reuseste numai la unele calculatoare; b) scrie gunoaie pe primul hard disc in primele sectoare. Consecintele sunt de obicei dezastruoase. a) Daca virusul a distrus continutul flash BIOS-ului, calculatorul nu mai porneste si flash BIOS-ul trebuie inlocuit. Exista posibilitatea repararii, dar fara un flash BIOS bun nu se poate da drumul la calculator. Se poate incerca o reparare astfel: se da drumul la calculator folosind un flash BIOS bun, se scoate din mers, se inlocuieste cu cel defect si se rescrie. Daca se reseteaza calculatorul, atunci procedura trebuie reluata. b) Daca discul este partitionat in mai mult de o partitie, atunci toate partitiile in afara de prima se pot recupera foarte usor, este suficient sa fie refacut primul sector de pe disc folosind programe specializate sau apeland la un specialist. Daca prima partitie este formatata FAT32, atunci zonele sistem, fiind mai extinse, nu se distrug integral si pot fi refacute, informatia fiind redundanta. Daca prima partitie este formatata FAT16, atunci zonele sistem sunt integral distruse si recuperarea datelor este extrem de dificila, chiar imposibila. Cum sa ne ferim de actiunea distructiva a virusului. Cea mai buna solutie este verificarea si eventual dezinfectarea folosind un antivirus. Alte solutii ar fi: salvarea datelor importante, schimbarea datei calculatorului sau nepornirea calculatorului pe 26 aprilie. Win32.HLLP.Bora.11264 Ce infecteaza fisiere EXE (PE-uri) inserandu-si codul la inceputul fisierului. Cand un program infectat este rulat, codul virusului se executa si cauta o noua victima care este infectata. Virusul incearca sa infecteze si fisierul RUNDLL32.EXE din directorul in care este instalat sistemul de operare.Virusul foloseste programul mIRC pentru a se autotrimite pe IRC. In directorul in care este instalat mIRC-ul este creat un fisier infectat numit "WINTEST.EXE" si este modificat scriptul de initializare (al mIRC-ului) astfel incat acest fisier sa fie trimis pe IRC. Pe 15 aprilie virusul afiseaza mesajul: Virus -=Temple=- Build 002 Copyright (c) by
21

Wit AKA CyberViper 1999. Win95.Tip.2475 Este un virus rezident care functioneaza numai pe Windows 95, 98, ME, dar nu pe NT sau Windows 2000. Virusul infecteaza fisierele EXE (PE-urile) atunci cand sunt deschise. Virusul se adauga la sfarsitul fisierului infectat si se cripteaza. Payload-ul este imprumutat de la alt virus (CIH). Pe 26 aprilie virusul incearca sa stearga continutul Flash BIOS-ului. In corpul virusului se gaseste urmatorul text: "This is PFL 32 v1.0". X97M.Barisada.A Este un virus care infecteaza fisierele xls. Virusul insereaza in fiecare fisier infectat un macro ce contine codul viral. Codul este salvat si in fisierul hjb.xls care la infectarea sistemului este creat in directorul in care Microsoft Excel tine fisierele de initializare (XLSTART). Pe data de 24 aprilie (daca se deschide un fisier infectat) virusul afiseaza urmatorul mesaj: Daca se raspunde cu "No", virusul afiseaza alt mesaj: In cazul in care se raspunde cu "Yes" virusul afiseaza: si apoi : Daca se raspunde cu "No", virusul va sterge datele din fisierul Excel pe care l-a infectat. Daca se raspunde cu "Yes", datele nu sunt sterse.

I-Worm.Hybris Tip: Internet-worm, polimorfic, executabil Alte nume: W32/Hybris.A@mm, I-Worm. Hybris.A .. I-Worm.Hybris.E Dimensiune: variablia Mod de infectare: Utilizatorul primeste un mail cu urmatorul format: Subject: Snowhite and the Seven Dwarfs - The REAL story! Body: Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at morning, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter... Atasament: sexy virgin.scr sau joke.exe sau midgets.scr sau dwarf4you. De departe cel mai raspandit virus in acest moment, I-Worm.Hybris are raportate de trei ori mai multe atacuri decat urmatorul de pe lista din AVX "Dangerous Zone". Raportat in peste 120 de tari (primele trei sunt Marea Britanie, SUA si Austria) este declarat cel mai activ virus al lunii februarie. Una dintre manifestarile cele mai enervante este "spirala hipnotica" care va aparea pe calculatorul infectat in fiecare al 59-lea minut din ora. Pentru a se apara, virusul activeaza o rutina care blocheaza accesul pe site-urile producatorilor de antivirusi. Hybris este un virus de tipul Internet-Worm. Se imprastie prin mail interceptand traficul de retea (inclusiv Internet) prin intermediul WSOCK32.DLL. Pentru a se inmulti, virusul cauta adrese de e-mail valide in datele care se transmit/receptioneaza prin intermediul WSOCK32.DLL (pagini HTML, e-mail-uri, etc.) si se trimite la respectivele adrese sub forma
22

unui EXE sau SCR cu nume ales aleator dintr-o lista existenta.

Programe antivirus.

Sunt programe create special pentru combaterea actiunii virusilor, cu scop de a detecta si a dezactiva/sterge/izola virusii. Identificarea se bazeaza pe detectarea unor actiuni specifice virusilor iar activitatile de dezinfectare utilizeaza o list cu definitiile diferitilor virusi. Din aceasta cauz, un antivirus poate s nu dezinfecteze anumiti virusi detectati, care nu se afla in lista sa de definitii. Antivirus KAV (AVP) - Kaspersky Antivirus BitDefender (AVX ) RAV - Romanian Anti-Virus NAV - Norton AntiVirus McAfee ViruScan PC-Cillin Panda Antivirus Norman Virus control ro Panda Software Norman Compania producatoare Kaspersky Softwin GeCAD Symantec McAfee TrendMic

AVP a aparut in lumea vestica pentru prima data in 1994 si chiar de la inceput a fost cotat drept unul dintre cei mai buni antivirusi in urma unor teste credibile: Hamburg University's Virus Test Canter in 1994 si 1995 si independentul Virus Bulletin in 1995 si 1996. http://www.kaspersky.com AVX Professional 6 reprezinta prima solutie antivirus romaneasca care permite verificarea eficienta a breselor de securitate din sistem. Mai mult decat un antivirus, AVX Professional este un firewall personal dedicat protectiei datelor dumneavoastra.

23

o Usor de instalat si de configurat, este un produs dedicat statiilor individuale de lucru dar si statiilor din retele de calculatoare. o Detecteaza peste 55 000 de semnaturi de virus si elimina toti virusii din RoWildList. Suplimentar, Laboratorul Antivirus SOFTWIN actualizeaza zilnic bazele de semnaturi. o Ofera o protectie automata pentru orice client de mail. In premiera mondiala nu necesita nici o configurare suplimentara. o Ofera facilitati Personal Firewall

o Odata ce ati instalat AVX Professional 6 pe un sistem curat si toate modulele sunt active, practic nici o infectie nu mai poate avea loc. o Pentru mai multe detalii despre produsele AVX, http://www.avx.ro/ RAV - antivirus creat in Romania si castigator al numeroase premii internationale, este dezvoltat pe computere Compaq si este in prezent comercializat pe plan global prin site-ul www.ravantivirus.com si alte site-uri software. Produsele RAV includ versiuni pentru Desktop, Enterprise si PDAs (Psion). Symantec ofera o gama larga de solutii de securitate: protectie impotriva virusilor, a intrusilor, filtrare e-mail etc. Norton AntiVirus este unul dintre cei mai buni antivirusi din lume la ora actuala. Folosind tehnologie de ultima ora, VirusScan detecteaza 100% din virusii din floppy PC-cillin's Scan Wizard te conduce pas cu pas, printr-un proces simplu de detectare si eradicare a virusilor din computerul tau. Fisierele infectate sau suspecte pot fi trecute in carantina in siguranta. Fisierele aflate in carantina pot fi trimise mai departe la Trend Virus Hospital pentru analiza, sterse sau tinute pentru analiza mai amanuntita si reparate. Un sistem de backup iti protejeaza fisierele in timp ce sistemul tau este "curatat".
24

Norman Virus Control, antivirus folosit in toata lumea, va asigura protectia

impotriva virusilor si a altor programe rau-voitoare intr-un mediu din ce in ce mai deschis. Sute de virusi apar in fiecare luna si desi multi dintre ei nu sunt distructivi, infectiile pot duce la pierderi majore, de aceea cea mai importanta sarcina a unui antivirus e sa pastreze computerele "curate". Norman Virus Control izoleaza sau sterge asemenea programe imediat, inainte de a fi activat codul distructiv.
Masuri de protectie antivirus.

Cumpararea unui produs antivirus Cumparati soft dintr-o sursa sigura.

Pastrati o discheta dedicata pentru a lucra acasa si la serviciu si scanati-o deseori. Creati-va o discheta imagine a sistemului care sa contina sectorul de boot, FAT-ul hard-discului si alte componente vitale ale sistemului, folosind de exemplu Norton Utilities - RESCUE.EXE. E bine ca discheta sa contina si un program de copiere. Creati si pastrati o discheta curata, bootabila si cu antivirusul instalat pe ea, pentru cazul in care s-a declansat o infectie.

Recomandari generale
Cand descoperiti ca sunteti infectat, executati urmatoarele actiuni: - OPRITI orice activitate a calculatorului si mai ales NU EXECUTATI ALTE PROGRAME. Notati-va mesajul, simptomele, contextul si chiar istoricul utilizarii recente a calculatorului. Nu utilizati acest sistem pana cand nu este verificat, pentru a fi curat. - Contactati un specialist si oferiti-i acestuia toate informatiile corespunzatoare (mesaje, simptome etc.). Daca nu doriti sa procedati ca mai sus, urmati urmatorii pasi: - Porniti calculatorul de pe o discheta sistem curata. - Rulati un utilitar de scanare al virusilor si curatati toate fisierele virusate utilizand un program de dezinfectare. - Rescanati discul infectat pentru a exclude infectari multiple. - Eventual, reinstalati toate aplicatiile de pe dischetele de distributie - Scanati din nou pentru a detecta posibile programe infectate. Daca scanarea nu mai indica nici o urma de virus puteti incepe lucrul din nou. Fiti atenti la
25

aparitia altor simptome. - Dupa ce sistemul este curat, scanati toate dischetele pentru a gasi sursa infectiei.

Metoda RESCUE
Daca ati generat o discheta "RESCUE" (fie RESCUE SYSTEM, fie RESCUE AVX) pentru calculatorul pe care incercati sa-l curatati, utilizati-o impreuna cu programul de pe ea. Atentie! Discheta RESCUE generata pentru un anume calculator nu poate fi folosita decat pe acel calculator. Daca nu aveti o discheta "RESCUE", majoritatea (DAR NU TOTI!!!) virusilor de boot pot fi curatati fara nici o pierdere de date, cu Metoda SYS/FDISK.

Metoda SYS/FDISK
Este o metoda extrem de folosita in cazul sistemelor DOS si este important ca toti pasii sa fie urmati asa cum sunt descrisi in continuare: - obtineti o discheta curata, boot-abila (sistem), protejata la scriere care contine aceeasi versiune de DOS ca si masina pe care intentionati sa o curatati; copiati SYS.COM si FDISK.EXE pe aceasta discheta. - asigurati-va ca CMOS-ul este setat pentru a se face incarcarea sistemului de pe drive-ul A, opriti calculatorul, inserati discheta boot-abila si porniti calculatorul. - verificati ca tabela de partitii si sectoarele de boot ale partitiilor nu au fost stricate, tastand DIR pentru fiecare partitie disc; daca drive-ul are doar o partitie, tastati doar DIR C:. Ar trebui sa vedeti listingul fisierelor din directorul C:. Daca nu puteti accesa drive-ul C: (sau orice alte partitii disc), inseamna ca aveti o tabela de partitii stricata care trebuie reparata inainte de a incerca sa stergeti virusul, cu un utilitar precum NDD. Daca totusi este vorba de un virus care muta tabela de partitii (cum e virusul Monkey), lucrurile se complica si veti avea nevoie de un utilitar mai puternic (de exemplu, KILLMN). ATENTIE ! daca aveti un drive comprimat, probabil ca nu veti putea vedea hard discul decat daca includeti driver-e pentru software de comprimare pe discheta de boot. - de la promptul A:, tastati SYS C:. (se vor transfera 2 fisiere ascunse si command.com si se va suprascrie sectorul de boot unde poate rezida virusul primul sector relativ al partitiei.) - incercati sa constatati daca virusul a fost indepartat. - daca virusul este inca prezent, verificati din nou discheta. Daca aceasta este totusi curata repetati pasii 2 si 3 din nou. Apoi de la promptul A: tastati: FDISK
26

/MBR (va scrie noul cod in MBR la primul sector fizic al drive-ul si va suprascrie codul oricarui virus prezent.) - o data ce DOS returneaza prompt-ul sistem, scoateti discheta boot si porniti din nou calculatorul. Incercati sa va asigurati ca sistemul este curat. Daca totusi nu ati reusit si nici nu ati inrautatit situatia, insemna ca trebuie sa lasati treaba pe seama specialistilor, iar daca nu mai vedeti datele, NU INTRATI IN PANICA, NU STERGETI SI, MAI ALES, NU FORMATATI DISCUL!!! Daca datele de pe discul dumnevoastra sunt importante, mai bine apelati la un specialist si veti astepta cateva ore, decat sa eliminati virusul in 5 minute si apoi sa lucrati cateva zile la refacerea datelor.

Cazuri speciale
Exista virusi putin diferiti de virusii obisnuiti de Master Boot sau Boot prin aceea ca un astfel de virus nu permite accesul la hard disk decat daca el (virusul) este activ in memorie. Daca virusul nu este in memorie, discul C: nu este vizibil, deci nici programul antivirus nu se poate lansa (fiind instalat pe hard disk). Pe de alta parte, daca virusul este activ in memorie, el nu permite modificarea zonelor infectate, deci nu poate fi curatat. Presupunand ca infectia exista deja in momentul in care a fost procurat produsul antivirus (luam ca exemplu AVX), pentru a rezolva aceasta problema se procedeaza astfel: - Se incarca sistemul de operare de pe hard disk-ul virusat - Se instaleaza antivirusul (chiar daca virusul respectiv este activ in memorie!) - Se utilizeaza/creeaza o discheta sistem pe care se copiaza anumite fisiere (in cazul de fata AVXCMD.EXE, AVX.SIG si AVX.KEY) - Se incarca sistemul de operare pe calculatorul virusat - Se curata hard-disk-ul infectat cu comanda: A:>AVXCMD C: /C - Se reincarca sistemul de operare de pe hard-disk.

Cum actioneaza
Daca privim problema din punctul de vedere al cercetatorilor antivirus, vom trece in revista cateva din metodele de detectare a virusilor. Aceste metode sunt perfectionate permanent, pentru a face fata exploziei de clase noi de virusi. Scanarea semnaturilor Un virus de calculatoare este un program, deci este format din instructiuni si date, memorate sub forma de numere. Anumite parti din el sunt unice, ceea ce inseamna ca nu vor fi gasite in alte programe. Deci, atunci cand cineva va gasi o parte specifica a unui virus intr-un program, el poate trage concluzia ca acel
27

calculator contine aproape sigur un virus. Partea unica utilizata pentru a descoperi un virus este deci o secventa de numere, numita semnatura virusului. Un scanner de semnaturi verifica toate fisierele unui disc de prezenta unei semnaturi corespunzatoare unui virus. Limitarea acestei metode este evidenta: numarul de virusi care trebuiesc descoperiti creste practic exponential. In 1991 erau cam de douazeci de ori mai multi virusi decat in 1989. Numarul de infectii raportate sporeste anual. Evident, orice virus nou determina adaugarea unei noi semnaturi la lista de semnaturi cunoscute de virusi. De aceea, orice scanner de semnaturi va avea nevoie de mai mult timp dupa fiecare actualizare a listei de semnaturi. Utilizatorii vor fi inclinati sa nu mai foloseasca acelasi scanner daca sunt nevoiti sa astepte mai mult timp. Alt dezavantaj este ca, pentru ca un virus sa poata fi gasit de catre un scanner, el trebuie mai intai sa fie descoperit. Doar atunci se poate afla o semnatura si poate fi inclusa in listele de semnaturi ale scanner-ului. Intrebarea care se pune, este, daca exista sau nu, un numar semnificativ de virusi nedescoperiti. Parerea noastra este ca, atat timp cat scanarea de semnaturi este metoda de detectie cea mai des folosita, un virus foarte bine scris are toate sansele sa ramana nedescoperit pana la activare. Pentru a identifica un virus polimorfic, el trebuie analizat, si trebuie scris un algoritm specific de detectie. Acest lucru complica si mai mult munca de concepere de software de scanare. La optsprezece luni de la descoperirea lui, cel mai sofisticat virus polimorfic de pani acum, putea fi deja detectat, inclusiv toate formele sale, de aproximativ jumatate din scannerele existente. Acest virus se considera ca este de cateva ori mai simplu decat schema utilizata de "Mutation Engine" (MTE). Scanarea euristica In loc sa incerce sa detecteze orice virus pe baza unei semnaturi unice, un scanner ar putea sa caute operatiile care sunt caracteristice virusilor. Acest tip de scanare se numeste euristica. Un scanner euristic contine un set de reguli care descriu operatii posibile ale virusilor. Exemple de astfel de reguli sunt: > programul incepe cu o instructiune de jump (salt) aproape la sfarsitul fisierului >programul intercepteaza o cerere de executie pentru un anumit proces, si apoi deschide fisierul programului in modul citire/scriere. In prezent, aceasta metoda nu este destul de sigura pentru a putea reprezenta o alternativa reala: principala problema este raportarea de falsi pozitivi si falsi
28

negativi. Un fals pozitiv apare atunci cand scannerul raporteaza cod suspect, care de fapt, nu face parte dintr-un virus. Daca un scanner produce mai multi falsi pozitivi, un utilizator va tinde sa nu mai creada rezultatele sale. Un fals negativ apare atunci cand un scanner considera un fisier "curat", si de fapt, el a fost infectat de un virus. In prezent, metoda de scanare euristica nu este capabila de rate de detectie ca ale celor mai bune scannere de semnaturi existente si chiar daca produce un pozitiv adevarat, mesajul pe care il da utilizatorului, nu este definitiv, ca cel pe care il produce un scanner de semnaturi. Urmatoarele mesaje se refera la acelasi program infectat: Scanarea euristica: "Acest program se modifica el insusi intr-un mod foarte suspect. Este fie infectat, fie un program scris foarte prost care suprascrie codul cu date." Scanarea de semnaturi: "Infectia: noua sau o varianta a lui Cascade" Daca un utilizator a folosit scanarea euristica, probabil ca dupa ce a citit mesajul de mai sus va anunta operatorul de sistem. Daca face asa, operatorul nu va fi capabil ss identifice virusul sau sa-l elimine; pentru asta va avea nevoie de un scanner de semnaturi. Scriitorii de scannere euristice tin o lista cu programele care determina falsi pozitivi, pentru ca sa poata sa-i recunoasca drept falsi negativi pe viitor. Este foarte important ca pentru un astfel de program sa fie definit exact contextul in care poate sa aiba loc o operatie. Daca, de exemplu, programul de DOS FORMAT ar putea sa formateze, atunci un virus ar putea sa-l infecteze si ar putea sa contina cod legitim pentru a formata discul hard. Dupa parerea specialistilor de la AVX, regula euristica va deveni mult mai cuprinzatoare, iar scannerele consecvent euristice vor avea o rata din ce in ce mai mare de detectie. De fapt, in prezent, scannerele euristice au o rata de detectie de 80-95%. Oricum, acest fapt nu elimina problema falsilor pozitivi: in prezent, rata acestora e de aproximativ 1-10%.Principalul avantaj al metodei de scanare euristica este abilitatea ei de a detecta virusii care nu pot fi gasiti de catre scannerele de semnaturi. Printre acestia ar fi virusii care folosesc "mutation engine", virusi inca nedescoperiti si virusi care se scriu acum. Astfel, daca metoda se imbunatateste si rata de falsi pozitivi este redusa semnificativ, ea poate fi o metoda ce se va utiliza in primul rand: dupa ce va raporta un program suspect, va fi folosit un scanner de semnaturi pentru a vedea daca virusul poate fi identificat. Daca scannerul de semnaturi nu va reusi sa identifice virusul, se va avea cel putin in vedere examinarea ulterioara a programului suspect. Verificarea integritatii

29

Utilitarele de verificare a integritatii calculeaza o valoare virtuala unica pentru fiecare fisier din sistem. Prima oara cand se face acest lucru, aceste valori de autentificare (sau date de integritate, bazate pe sume de control), sunt memorate fie intr-un fisier separat, fie in fisiere diferite, cate unul in fiecare subdirector. Odata la catva timp, verificatorul este rulat din nou pentru a constata daca s-au facut sau nu schimbari asupra fisierului. Verificatorul recalculeaza valorile pentru fiecare fisier si le compara cu valorile memorate. Astfel de valori pot fi calculate folosind metoda numita verificarea ciclica a redundantei (CRC). Aceasta metoda asigura o verificare destul de sigura, cu scopul de a constata daca un fisier a fost sau nu modificat: daca se utilizeaza o metoda CRC pe 32 de biti, sansele ca o schimbare sa ramana neobservata sunt de 1 la peste patru miliarde, in afara cazurilor cand valoarea CRC-ului pentru un fisier este aceeasi inainte ca si dupa ce el s-a schimbat. O cale de a evita acest lucru, este de a incarca sistemul de pe o discheta sistem originala, protejata la scriere. Daca presupunem ca fisierele de pe discheta nu sunt infectate, nici un fel de virusi stealth nu vor fi in memorie dupa bootare. Oricum, discul sistemului ar putea sa fie infectat, fie de la producator, fie din timpul cand, pentru un motiv oarecare, nu a fost protejat la scriere. Deci aceasta strategie nu asigura o securitate perfecta, dar este foarte aproape de ea. Un virus ar putea sa infecteze un fisier in asa fel, incat modalitatea de autentificare sa ramana aceeasi, sau ar putea sa o recalculeze. De exemplu daca un scriitor de virusi ar fi avut acces la polinomul care a fost folosit pentru a calcula CRC-ul, acest lucru ar fi relativ usor. Sunt vulnerabile in special valorile care sunt memorate in interiorul fisierului. O solutie ar fi generarea unui polinom aleator cand este instalat software-ul antivirus. Referitor la puterea metodei de verificare a integritatii, Vesselin Bontchev scria in VIRUS-L: "Pe deasupra, nu este posibil ca un virus sa poata evita orice schema de detectie pe care o cunoaste. Un verificator de integritate bine implementat ar trebui sa fie capabil sa reziste oricarui virus, chiar daca autorul (virusului, PM) are sursa completa a intregului program. De aceea, in primul rand, verificatorii de integritate sunt mai puternici decat antivirusii care monitorizeaza activitatea sistemului (rezidenti) si scannerele! Ei pot fi evitati doar de un tip de atac, dar acesta e un atac impotriva verificatorilor de integritate in general, si autorul virusului nu trebuie sa stie cum este implementat in particular un verificator de integritate." Utilizarea unui verificator de integritate de incredere, care il informeaza intotdeauna pe utilizator daca a avut loc o schimbare, nu garanteaza ca nici un virus nu va mai infecta niciodata sistemul. Exista virusi care infecteaza un
30

executabil exact in momentul cand a fost schimbat. Desi verificatorul de integritate va raporta schimbarea, utilizatorul o va permite totusi. Monitorizarea Un program de monitorizare este invocat in timpul pornirii sistemului, si ramane rezident in memorie. El monitorizeaza intreruperile care sunt apelate de obicei de catre virusi, si cer utilizatorului sa confirme orice actiune care ar putea proveni de la un virus. Dificultatea este cum sa determini care actiuni sunt determinate de virusi si care nu. La fel ca si scanarea euristica, acest lucru cauzeaza multi falsi pozitivi. Un monitor trebuie sa pastreze, de asemenea, o lista de falsi pozitivi si sa memoreze ce are voie sa faca un program si ce nu. Utilizatorul este alertat daca un monitor detecteaza o actiune cauzata de un virus. Monitorul ofera apoi posibilitatea de a renunta la actiune sau nu. Datorita naturii tehnice a acestor actiuni, doar un utilizator care este un foarte bun cunoscator al sistemului poate sa ia o actiune responsabila, adica sa permita sau nu operatia in curs. O serie de virusi existenti ataca anumite produse anti-virus, cu scopul de a le dezactiva sau de a le invada. Exista deja virusi inteligenti, care pot detecta prezenta unui program de monitorizare si se pot abtine de la orice actiuni de tip virus in timp ce monitorul este activ. In general, un virus poate manipula oricand un monitor. Pe sistemele DOS un virus poate, de asemenea, sa treaca de un monitor prin apelul direct al ROM BIOS: monitorul intercepteaza doar apeluri de intreruperi. Protectia hardware Protectia hardware contra virusilor este, de obicei, livrata aditional, ca o placa ce este introdusa intr-un slot liber de extensie, in interiorul calculatorului. Un program anti-virus, memorat in ROM pe placa, este apelat la "startup", inainte ca sa i se permita sistemului sa booteze. Principalul avantaj al utilizarii protectiei hardware este ca poti fi sigur de codul de pe placa, cod ce este executat inaintea unui sector boot sau program, eventual infectate. Protectia software apare intotdeauna dupa procesul de bootare, de exemplu: executia unui sector boot, incarcarea de fisiere sistem, drivere de dispozitiv, etc. Avantaje aditionale ale protectiei hard sunt faptul ca programul lui va fi executat intotdeauna, la fiecare startup, codul este rezident in ROM si de aceea nu poate fi modificat, si facilitatea de a include protectie prin parole.
31

Oricum, programul de monitorizare de pe placa hardware are aceleasi probleme ca si monitorul software sau scannerul euristic: problema e cum ss determini ce actiuni pot proveni de la un virus, cu alte cuvinte, ce presupune un comportament tipic virusilor. "Exista o multime de cai prin care se poate trece de astfel de placi. Ideea aici este ca, fara a fi prea evident, placa trebuie sa decida care este un acces "legitim" la disc si sa opreasca doar accesele care crede ca nu sunt "legitime". Din pacate, aceasta problema este neclara si virusul poate sa-si mascheze intotdeauna accesul, ca fiind legitim" (Bontchev) Asa cum un virus poate sa treaca de un monitor software prin apelul direct al BIOS-ului, tot asa poate sa treaca, de o placa hardware printr-un apel direct al ei. Programul de pe placa hardware ramane rezident in spatiul de adrese al PCului. Asta inseamna ca poate fi apelat din orice loc. Intr-un anumit stadiu al programului de verificare, se decide daca o cerere a discului este acceptata. Daca virusul ar apela programul exact in acel loc, accesul sau la disc ar fi, in mod fals, acceptat. "Nu se poate preveni actiunea unui virus de a apela direct placa. Daca are propriul CPU si daca programul sau este complet inaccesibil din spatiul de adrese al PC-ului. Dar acest lucru il va face foarte costisitor." "Versiunea curenta a unor astfel de placi nu este mai scumpa decat un program anti-virus scump, dar nu sunt mult mai sigure. Este posibila o versiune mai sigura, dar ea va fi mult mai scumpa." Protectia la scriere Fisierele pot fi marcate, pentru a indica faptul ca ele nu trebuie sa fie modificate sau sterse. Daca acest lucru este implementat in software, semnul poate fi sters din software. Programul care gestioneaza scrierea protejata este pus in fata problemei daca sa permita sau nu o cerere de stergere a unui semn. Apar aceleasi probleme ca si cele prezente la un program de monitorizare. Vaccinarea Multi virusi marcheaza fisierele pe care le-au infectat, pentru ca ei infecteaza fisierele doar o singura data. Totodata, virusii rezidenti in memorie verifica daca nu sunt deja rezidenti in memorie: acestea sunt asa-numitele apeluri de "esti acolo?". Ideea din spatele vaccinarii este de a pune semne de "infectat", cat mai mult posibil pe toate fisierele, si de a implementa cat mai multe raspunsuri de "da" la toate apelurile "esti acolo" posibile. Asta pentru a
32

face virusii sa creada ca ei au infectat deja un sistem, lucru pe care de fapt nu lau facut. Aceasta metoda creeaza mai multe probleme. In primul rand, nu toti virusii isi verifica prezenta in modul acesta simplu. In al doilea rand, o multime de virusi au teste pentru conflict de prezenta. Si trei, acest tip de protectie este foarte usor de evitat. De exemplu, considerati un virus rezident in memorie care verifica prezenta sa prin apelul unei intreruperi DOS, folosind un numar nefolosit inca. Daca de exemplu se returneaza numarul 100 intr-un anumit registru, virusul presupune ca este deja rezident in memorie. Un program de vaccinare pentru virus ar face exact acelasi lucru. Un mod de a evita acest lucru ar fi intoarcerea unui alt numar (de exemplu 101) drept numarul ce indica prezenta, in versiunile viitoare ale virusului. Programele momeala Un program antivirus care utilizeaza programe momeala creeaza o multime de fisiere executabile in afara fisierului sistem, incearca sa le execute, si apoi compara executabilele cu cele create initial. Daca a aparut vreo schimbare, este probabil din cauza unui virus. Problemele create de aceasta metoda includ faptul ca nu toti virusii se imprastie cand sunt create executabile sau cand sunt executate. Metoda poate oferi un suport pentru detectie si pentru un pachet care utilizeaza alte strategii. Este un fel de metoda euristica, aplicata intr-un mediu relativ sigur. Fiecare din aceste metode are avantajele, dar mai ales dezavantajele sale, care sunt, de cele mai multe ori, exploatate de virusi.

Parerea mea!
Produsele anti-virus se vor maturiza foarte mult. Cele fara interfata utilizator decenta, vor avea zile grele in competitie cu cele cu o interfata atragatoare. Cele cu un timp mare de executie vor fi respinse in favoarea celor care ruleaza in cateva secunde. Exact ce virusi sunt detectati, va avea mai putina importanta (este foarte greu pentru utilizatori sa inainteze plangeri pentru atatea mii de virusi); va prima mai ales utilizarea usoara a unui produs, si marele efect pe care il are interfata in utilizarea calculatorului. Vor apare produse noi, intrucat fiecare firma incearca sa inventeze ceva care sa
33

le faca pe cele existente de prisos. Uneori ingredientul magic va fi software-ul (inteligenta artificiala, retele neuronale, sau orice ultima noutate din acest domeniu) si alteori va fi hardware-ul (care nu poate fi niciodata infectat, cu exceptia cazurilor cand nu aceasta este cauza problemelor). Aceste produse vor aparea pe neasteptate in lume, dar vor disparea la fel de repede si fara urme, atunci cand utilizatorii vor constata ca instalarea lor le face calculatorul inutilizabil sau ca ele nu descopera nici un virus, sau, amandoua la un loc. Dar altele si altele vor urma. Unele calculatoare au fost deja construite cu rezistenta incorporata impotriva virusilor. Unele tipuri de calculatoare sunt deja imune la virusii de sectoare boot, in cazul cand faceti o simpla alegere in setup-ul CMOS (nu bootati de pe discheta). In acest moment, doar cativa utilizatori stiu ca pot seta calculatorul in acest fel, dar oamenii incep, gradat, sa gaseasca calea de a se descurca si singuri. Acest lucru nu rezolva problema virusilor, dar orice lucru care face lumea un loc dificil pentru virusi, este un ajutor. Problema virusilor va exista pentru noi intotdeauna. Nu este acea problema dramatica, zguduitoare asa cum a fost in cazul virusului Michelangelo; si nici nu este problema "scamei-de-pe-haina-dvs". Dar atat timp cat oamenii au probleme cu calculatoarele lor, vor fi alti oameni care vor oferi solutii pentru aceste probleme.
Cam cum va arata viitorul in acest domeniu? Vor fi mai multi virusi - se poate prezice foarte usor acest lucru. Cat de multi, este greu de spus, dar in ultimii ani, numarul de virusi s-a dublat. Acest lucru, in mod sigur va trebui sa inceteze.

Problema "glut" va continua, si ar putea sa devina extrem de grava. Cel mai mare cosmar pentru toti cei angrenati in lupta anti-virus este "glut"-ul. Numarul profesionistilor AV (antivirus) de prima clasa din toata lumea este sub o mie, iar cele mai multe companii de produse sau servicii antivirus au doar cateva zeci dintre acesti oameni (unele nu au nici unul). Ar fi greu de creat mai multi, deoarece curba procesului de invatare este foarte abrupta. Prima oara cand dezasamblezi un virus (de ex. virusul Jerusalem), iti ia o saptamana. Dupa ce ai facut aproximativ o suta de virusi, ai putea trece prin ceva atat de simplu ca Jerusalem in numai 15 minute. Virusii polimorfi de macro vor deveni din ce in ce mai numerosi. Se pare ca ei sunt o problema mult mai mare decat virusii stealth, pentru ca stealth-ul este indreptat spre verificatorii pe baza de sume de control, iar polimorfismul spre scannere, care sunt uneltele cele mai des folosite de oameni. Si fiecare virus polimorfic va fi o sursa de alarme false, si va avea drept rezultat o munca mult mai mare din partea cercetatorilor decat cea depusa pentru virusii normali. Virusii vor continua sa devina din ce in ce mai complecsi, iar autorii de virusi vor invata tehnicile, si vor incerca sa-si imbunatateasca progresiv programele ca sa se asigure ca virusii lor nu vor fi detectati.

34

Scannerele vor deveni mai mari - va fi nevoie de mai mult cod, pentru ca mai multi virusi vor avea nevoie de mai multe instructiuni pentru a-i scana. Bazele de date pe care le vor folosi scannerele vor deveni mai mari; fiecare virus nou va trebui sa fie detectat, identificat si eliminat. Incarcarea bazei de date va dura mai mult, iar unele programe vor avea probleme cu memoria.

BIBLIOGRAFIE: Internet pentru Windows 95 - Galen Grimes Introducere in informatica - Tiberiu Spircu Computer Viruses - Dr. Frederick B. Cohen Initiere in Windows - Florica MoldoveanuPC-WORD nr. 3,4,5,6,8,10,11,12 / 2001PC-WORD nr. 1,2,3,4 / 2002 Radu Marsa - Manual de informatica clasa a IX-a Ed. All2000, 1999
Mariana Milosescu- Manual de informatica clasa a IX-a Editura Teora

ing. Angela Ugran

35