Sunteți pe pagina 1din 10

Virus vs.

Antivirus
Virusii de calculator au produs pana in prezent pagube de ordinul zecilor de miliarde de
euro, dar in acelas timp, au dus la perfectionarea programelor software si antivirus din intreaga
lume.
VIRUSI IN FAZA INCIPIENTA
Totul a inceput in 1986 . Atunci a avut loc prima atestare a unui virus . Doi frati
pakistanezi, Basit si Amjad, au constatat ca sectorul boot al unei dischete contine un cod
executabil si ca acesta este rulat de fiecare data cand se porneste calculatorul utilizand o discheta
in drive-ul A.
In anul 1986, un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier
putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier .
El a scris o demonstratie a acestui efect, pe care a numit-o VIRDEM (Virus Demonstration) si a
distribuit-o la conferinta pe tema virusilor Chaos Computer Club, in luna decembrie a acelui an .
VIRDEM ar fi infestat orice fisier de tip COM . Din nou pagubele erau destu de nesemnificative.
Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte .

REVOLUTIA VIRUSILOR
In 1989, un scotian a contactat cercetatori din Anglia si le-a comunicat ca a gasit un
virus in hard disk-ul sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va
declansa din nou pe data de 13 luna viitoare . Cand virusul a fost dezansamblat, s-a constatat ca
in orice zi dupa octombrie el declansa o formatare low level a cilindrului zero de pe hard disk,
care determina pe cele mai multe hard disk-uri eliminarea tabelei de alocare a fisierelor si lasa
utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A fost publicata o analiza
a efectelor virusului dar s-a constataca ca era vorba, de fapt, de un alt virus, nerezident in
memorie . In America oameni au inceput sa-l numeasca ‘Columbus Day Virus ‘ (12 octombrie)
si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel Rosu a
descoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era de a rula un
detector .
DUPA 1990
Mark Washburn a analizat in 1990 virusul Viena si a creat pe baza lui primul virus
polimorf . Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si
ca exista un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama larga de forme si,
in primi virusi, cel mai lung sir de cautare posibil era doar de doi octeti (V2P6 a elaborat acest
prag pana la octet ) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi
aplicat teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posibilii
descriptori .
Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era acea
de ‘infector rapid’ . In cazul acestora daca virusul era in memorie, atunci simpla deschidere a
unui fisier pentru citire ducea la infectare . Hard disk-ul este infectat foarte repede . Cea de-a
doua idee noua in acest virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie
ocazional un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda de
timp, se face un back-up al fisierelor corupte si, cand este refacut back-up-ul, datele sunt de
nefolosit .

MODALITATI DE PROTECTIE. PROGRAME ANTIVIRUS

Odata ajuns in calculator,pentru a-si indeplini in mod eficient scopul,virusul actioneaza


in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind astfel considerabil
potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate evidenta. O
parte a codului de virus testeaza constant daca au fost indeplinite conditiile de declansare (rularea
de un numar de ori a unui program,atingerea unei anumite date de catre ceasul sistemului vineri
13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea activa, usor de recunoscut
dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea unor fisiere sau chiar
reformatatrea hard disk-ului.
Pe langa fisierele executabile sunt atacate si datele de baza. Desi virusii au nevoie de o
gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul.
Exista virusi paraziti care nu altereaza codul gazdei, ci doar se atasaza. Atasarea se poate face la
inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie.
In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia
sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.
Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta
a invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de
initializare.
O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de
programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume de
control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot
folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in
care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului.

Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila
in faza primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior (de
pe o discheta sistem curata), in faza activa,deoarece in numeroase cazuri poate recupera fisierele
infectate.
Concluzii:
• aria de actiune; memoria si fisierele de interes;
• protectia se mnifesta la primul contact cu orice fisier;
• permite dezinfectarea;
• nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a
programului de scanare;
• timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu
numarul de fisiere protejate;
• exista alarme false, daca semnatura virusului este prea scurta;
• foloseste ca resursa memoria calculatorului;
• opereaza automat (ca un TSR).

Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in
program, chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite
blocarea lansarii in executie a programelor infectate, chiar de virusi necunoscuti, dar nu permite
recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor, orice fisier
infectat putand fi detectat. In faza activa, insa metoda este neputicioasa.

Programele de protectie –programe antivirus- au rolul de a realiza simultan urmatoarele


activitati:
• prevenirea contaminarii;
• detectarea virusului;
• eliminarea virusului, cu refacerea contextului initial;
In general, exista doua categorii de programe antivirus:
•programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de
virusi recunoscuti;
•programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau
cele care par dubioase.
In categoria programelor de vierificare se include cele de tip SCANaaa,unde prin xxx s-
a specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108,
SCAN200.
Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica,
afisand pe monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta
verificare, utilizatorul va incerca aliminarea virusului depistat,prin intermediul programelor
CLEARaaa, prin specificarea numelui virusului; de remarcat ca, folosind acest program, nu
exista certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a localizarii
acestora in locuri care nu pot fi intotdeauna reperate.

CLASIFICAREA VIRUŞILOR
În septembrie 1989 existau cam două duzini de viruşi. Fiecare dintre aceştia avea
variante: mici modificări în codul viral sau schimbarea mesajelor afişate. De exemplu, virusul
17Y4 diferă de virusul 1704 doar cu un octet. În mai 1998 existau aproximativ 20.000 de viruşi
(zilnic apar 3 noi viruşi).
Aceştia se împart în două mari categorii:

1. viruşi de BOOT
2. viruşi de fişiere
Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar aceştia
sunt în număr foarte mic.

Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului de


operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice disc logic
al hard disck-lui şi orice dischetă care se introduce în unitatea de dischete. Tot în această
categorie intra şi viruşii care infectează tabela de partiţii a hard disk-ului. Găsindu-se în tabela de
partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.

Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM. Cînd
programul infectat este rulat, virusul se activează rămînînd de cele mai multe ori rezident în
memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi numai atît, ar fi simplu
! Din păcate viruşii de fişiere sunt de mai multe tipuri. Pînă acum am descris tipul "clasic".
Cei mai mulţi dintre viruşii de fişiere actuali sunt poliformi (se mai numesc mutanţi sau
evolutivi). Ei sunt codificaţi, conţinînd doar o mică parte - modulul de decodificare -
necodificată. În momentul activării virusului, modulul de decodificare intră în acţiune şi
decodifică restul virusului. Corpul virusului mai conţine - evident, veţi zice - şi un modul de
codificare. Folosind un generator de numere pseudoaleatoare acest modul îşi schimbă algoritmul
de codificare la fiecare infectare a unui fişier, modificînd modulul de decodificare. Ca urmare, nu
există o secvenţă comună mai mare de cîţiva octeţi între două contaminări succesive.
Complicată e mintea şi bogată imaginaţia omului, veţi gîndi! Şi nu aţi aflat încă totul!
Diabolicul bulgar care-şi zice Dark Avenger (Războinicul Întunecat) a realizat un program numit
MutaTion Engine (MtE) care poate transforma orice virus "clasic" într-un virus poliform.
Un tip aparte de viruşi de fişiere îl constituie viruşii Stealth (de furişare). Aceştia sunt
capabili să păcălească programele antivirus, simulînd toate apelurile de sistem DOS care ar duce
la detectarea lor şi făcîndu-le să întoarcă acele informaţii care s-ar obţine în lipsa atacului. Dacă
un virus Stealth este rezident în memorie, el va păcăli un program antivirus care citeşte un fişier
infectat cu acest tip de virus, deoarece virusul îşi ascunde propriul cod, arătînd numai codul
fişierului. Termenul Stealth provine de la aviaţia "clandestină" a SUA care a reuşit să evite
detectarea prin radar în Razboiul din Golf. Această tehnică are o analogie biologică

Viruşii mai pot fi clasificaţi după următoarele criterii:

1. după modul de infectare:


• viruşi care infectează fişierele cînd un program infectat este rulat;
• viruşi care rămîn rezidenţi în memorie cînd un program infectat este rulat şi
infectează apoi toate programele lansate în execuţie.

2. după poziţia în cadrul fişierului infectat:


• viruşi care suprascriu fişierul, nemodificîndu-i lungimea (anumiţi viruşi
suprascriu numai zonele rezervate datelor pentru a nu împiedica funcţionarea programului -
aceştia se numesc viruşi de cavitate);
• viruşi care îşi adaugă codul la sfîrşitul programului;
• viruşi care îşi adaugă codul la începutul programului.

3. după viteza de infectare:


• viruşi rapizi (fast infector), care infectează toate fişierele care sunt descrise (chiar
prin scanare fişierele pot fi infectate);
• viruşi lenţi, care infectează numai programele care sunt lansate în execuţie.
Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt aproape
imposibil de studiat.

De asemenea, există următoarele tipuri de programe cu comportament asemănător cu al


viruşilor:
• caii troieni, care de fapt sunt programe ce au efecte secundare nedocumentate;
• viermi - programe care se reproduc dar pot sa nu aibă efecte distructive (pot fi
însă folosişi la culegerea de informaţii, aflarea de parole, etc.).

Virusi. Programe antivirus

Virusii informatici – sunt, in esenta, microprograme greu de depistat,ascunse in alte


programe,care asteapta un moment favorabil pentru a provoca defectiuni ale sistemului de
calcul(blocarea acestuia,comenzi sau mesaje neasteptate,alte actiuni distructive).
Se poate aprecia ca un virus informatic este un microprogram cu actiune distructiva
localizat in principal in memoria interna,unde astepta un semnal pentru a-si declansa activitatea.
O clasificare riguroasa nu exista inca,dar se poate face tinand seama de anumite criterii.
In forma cea mai generala virusii se impart in:
• Virusi hardware
• Virusi software
Virusii hardware sunt mai rar intalniti,acestia fiind de regula, livrati o data cu
echipamentul. Majoritatea sunt virusi software,creati de specialisti in informatica foarte abili si
buni cunoscatoari ai sistemelor de calcul,in special al modului cum lucreaza software-ul de baza
si cel aplicativ.
Din punct de vedere al capacitatii de multiplicare,virusii se impart in doua categorii:
• Virusi care se reproduc, infecteaza si distrug
• Virusi care nu se reproduc,dar se infiltreaza in sistem si provoaca distrugeri
lente,fara sa lase urme(Worms).
In functie de tipul distrugerilor in sistem se disting:
• Virusi care provoaca distrugerea programului in care sunt inclusi
• Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul;
se manifesta prin incetinirea vitezei de lucru,blocarea tastaturii,reinitializarea aleatorie a
sistemului, afisarea unor mesaje sau imagini nejustificate
• Virusi cu mare putere de distrugere,care provoaca incideante pentru intreg
sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea
continutului directorului radacina,alterarea integrala si irecuperabila a informatiei existente
Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele volumului
dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512 octetil “Data crime”
si “Vienna” se semnau prin respectiv 1168 si 648 octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au
reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
sa infecteze un program,fara ca alterarea sa fie prea ostentativa.
Odata introdus pe disc,a doua faza a vietii unui virus este autoprogramarea. Virusii
incearca sa infecteze cat mai multe programe,inainte de a ataca propriu-zis. Pentru a opera cat
mai eficient, virusii isi lasa semnatur in fiecare program infectat,pentru a nu-l contamina inca o
data. Pe acest principiu lucreaza si antivirusii,adica pe reperarea unei intruziuni. Ei analizeaza
unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect
major: virusul trebuie indentificat,deci tabela de senaturi trebuie permanent reactualizata.

Virusi cu mare putere de distrugere,care provoaca incideante pentru intreg sistemul, cum
ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului
directorului radacina,alterarea integrala si irecuperabila a informatiei existente

Primii virusi atacau programele gazda. De exemplu, "Brain" inlocuia numele volumului
dischetei cu al sau; "Vendredi 13" crestea dimensiunea programelor cu 512 octetil "Data crime"
si "Vienna" se semnau prin respectiv 1168 si 648 octeti.

Primele programe antivirus puteau repera usor acesti invadatori.Creatorii de virusi au


reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
sa infecteze un program,fara ca alterarea sa fie prea ostentativa.

Odata introdus pe disc,a doua faza a vietii unui virus este autoprogramarea. Virusii
incearca sa infecteze cat mai multe programe,inainte de a ataca propriu-zis.Pentru a opera cat
mai eficient, virusii isi lasa semnatur in fiecare program infectat,pentru a nu-l contamina inca o
data.Pe acest principiu lucreaza si antivirusii,adica pe reperarea unei intruziuni.Ei analizeaza
unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect
major: virusul trebuie indentificat,deci tabela de senaturi trebuie permanent reactualizata.

Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze


mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte
prea dramatice. De exemplu." KeyPress" duce la aparitia pe ecran a sirului "AAAAA",daca se
apasa tasta "A". Cei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea
datelor: stergeri,formatari de disc, bruiaj de informatii, modificari in bazele de date,etc.

Uneori,virusii atacau dupa o lunga perioada de somnolenta. De exemplu," Golden Gate"


nu devine agresiv decat dupa ce a infectat 500 de programe, "Cyber TechB" nu a actionat, in
schimb, decat pana la 31 decembrie 1993.

Morala: utilizatorul avizat(si patit) trebuie sa aiba grija ca periodic sa ruleze programe
antivitus.In manualul de utilizare al MS-DOS,Microsoft imparte virusii in trei categorii:
* Virusi care infecteaza sistemul de boot
* Virusi care infecteaza fisierele
* Virusi Cal Troian

Ultimii sunt acele programe care aparent au o anumita intrebuintare,dar sunt inzestrati cu
proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata
astfel:Armati - o forma mai recenta de virusi, care contin proceduri ce impiedica dezasamblarea
si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta
antidotul (ex:" Whale"); Autoencriptori - inglobeaza in corpul lor metode de criptare sofisticate
facand detectia destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o
rutina de decriptare( ex: "Cascade");Camarazi - sunt avantajati de o particularitate a DOS-ului,
care executa programele .com inaintea celor .exe.

Acesti virusi se ataseaza de fisierele .exe,apoi le copiaza schimband extensia in .com.


Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. Odata lansat in
executie fisierul respectiv,ceea ce se execua nu este fisierul .com, ci fisierul .exe infectat. Acest
lucru determina propagarea virusilor si la alte aplicatii.

INTOCMIT :
Roman Irina Stanescu Mihai

Clasa a-IX-a E

COLEGIUL NATIONAL ‘CANTEMIR VODA’