Study of the most significant types of malware

Stan Cristina Iuliana

stan.cristinaiuliana25@gmail.com

Abstract
Nowadays, Internet users are becoming increasingly more the target of the so-called
malware. But what is a malware? What this term means exactly and how varied and harmful for
information system they are? Those are some questions on which this article aims to respond.
This paper presents a detailed classification of malware, specification of each type and
malicious actions that cybercriminals are taking through them, in order to steal private information
and damage users information systems. In the end, there will be more about different types of
defense mechanism against certain malware, that will show protection and will make the system to
be immune when an attack occurs.

Keywords: malware, cybercriminal

1. Introducere
O întrebare des întalnită în zilele noastre este “Ce este un malware?”. Acest termen este o
prescurtare pentru malicious software (într-o traducere mot-a-mot : software dăunator) și este o
denumire generica pentru viruși, viermi, cal troian, spyware, scareware, boți, DoS (Denial of
Service) sau orice este creat special pentru a dauna unui sistem informatic.
Încercarea de a pătrunde într-un sistem cu scopul preluării controlului acestuia și efectuarea
unor acțiuni diverse după penetrarea acestuia poartă denumirea de atac informatic. Un atac poate fi
definit, conform Internet Engineering Task Force, RFC 2828, ca fiind un asalt al unui sistem de
securitate care derivă dintr-un pericol posibil care ar putea exploata o vulnerabilitate prin încălcarea
securității, un act inteligent care deliberează încercarea de a evita serviciile de securitate și de a
viola politicile de securitate ale sistemului. Comittee on Nationall Security Systems of America
defineste un atac, prin intermediul CNSS Instruction No. 4009, ca fiind orice activitate malițioasă
care încearcă să colecteze, să întrerupă, să nege, să degradeze sau să distrugă resursele unui sistem
informatic sau a informației în sine. Printr-un atac se încearcă violarea unuia dintre următoarele
criterii: confidențialitate, integritate și accesibilitate. Persoanele care initiază astfel de atacuri se
numesc cybercriminals. De-a lungul timpului, cybercriminal-ii au ajuns să iși dezvolte organizații
profitabile, fiind capabili să efectueze orice tip de atac.
Un atac informațional printr-un malware poate dăuna sistemului informațional într-un mod
diversificat: poate cauza iritări minore (precum reclamele din paginile web), poate fura informații
confidențiale sau bani, poate distruge date, poate compromite sau dezactiva în întregime sisteme si
rețele. Pe de altă parte, un malware nu poate dăuna părții hardware a sistemelor, dar poate distruge
date sau întregul software de pe echipament. [1]

2. Tipuri de malware
2.1. Virusul este un cod dăunator care se replică prin copierea sa repetată într-un alt program, în
sectorul de încărcare al sistemului informațional sau într-un document și schimbă modul de
funcționare al acestuia. De asemenea, un virus se poate extinde de la un calculator la altul cand
fisierele afectate sunt copiate.
Termenul virus este folosit interschimbabil cu malware, deși cele două nu au același înțeles.
Majoritatea virușilor se extind la nivelul fișierelor executabile dar pot ataca și o partiție, scripturi

1
sau fisiere arbitrare. Un virus poate fi raspândit în sistem prin deschiderea unui atașament dintr-un
e-mail, click la un fisier executabil, vizitarea site-urilor infectate sau prin vizualizarea unor reclame
infectate pe un site web. O altă metodă de răspândire a virusului este prin intermediul
echipamentelor de stocare virusate, prcum stick USB. Odată ce un virus este împrăștiat pe un host,
acesta poate infecta alte sisteme software sau resurse, poate modifica sau dezactiva funcțiile de bază
ale acestuia, precum copierea, ștergerea sau criptarea datelor sau poate afecta alte aplicații. Unii
viruși încep să se replice imediat ce au infectat host-ul, în timp ce alții vor astepta un anumit
declanșator pentru a determina executarea codului malware.
Mulți viruși au evoluat, fiind capabili să evite atât antivirusi și sisteme antimalware, cât și
alte sisteme de aparare a securității.
Cele mai răspândite tipuri de virusi sunt:
a. Fișiere infectate (file infectors). Virușii care infectează fișiere se adaugă singuri în program
files, de obicei în fișierele cu extensia .com sau .exe. Există astfel de viruși care infectează
orice program a cărui execuție este necesară, inclusiv fisiere .sys, .prg, .mnu. Când
programul este încărcat, virușii sunt încărcați și ei. Alți viruși ajung în sistemul
informațional prin scripturi trimise, atașate în e-mail.
b. Macro viruși (macro viruses). Acești viruși visează în mod special comenzi ale limbajului
macro în aplicații precum Microsoft Word și alte programe. În Word, macro sunt secvențe
salvate pentru comenzi sau intrări de la tastatură care sunt încorporate în documente. Virușii
macro pot adăuga codul dăunător la secvențele macro într-un fișier Word. Microsoft
dezactivează macro în mod implicit în ultimele versiuni de Word, așadar hackerii folosesc
sisteme de inginerie pentru a convinge utilizatorii să activeze macro, astfel încât să lanseze
virușii. Dat fiind faptul că virușii macro au evoluat în ultimii ani, Microsoft a adăugat o
nouă caracteristică în Office 2016, care permite administratorilor de securitate să activeze
selectiv utilizarea macro numai pentru fluxurile de lucru de încredere, precum și blocarea
macrocomenzilor dintr-o organizație.
c. Viruși de suprascriere (overwrite viruses). Viruși special creați pentru a distruge fișiere sau
date din aplicații. După infectarea sistemului, un virus de suprascriere începe să suprascrie
fișiere cu propriul cod. Acești viruși pot ținti fișiere specifice sau aplicații sau pot să
suprascrie toate fișierele unui echipament infectat. Un virus de suprascriere poate să
instaleze un cod nou în fișiere și aplicații care va împrăștia virusul în fișiere adiționale,
aplicații și sisteme.
d. Viruși polimorfi (polymorphic viruses). Un virus polimorf este un tip de malware care are
abilitatea de a-și schimba codul de bază fără să-și schimbe funcțiile sau caracteristicile sale
de bază. Acest procedeu ajută virusul să evite să fie detectat de antimalware-uri instalate și
de alte produse de detecție care se bazează pe semnăturile malware identificate; odată ce
semnătura unui virus polimorf este identificată de un produs de securitate, virusul se poate
modifica astfel încât să nu mai fie detectat folosind semnătura respectivă.
e. Viruși rezidenți (resident viruses). Acest tip de viruși se încorporează el însuși în memoria
unui sistem. Nu este necesar ca programul virus original să infecteze fișiere noi sau aplicații;
chiar dacă virusul original este șters, versiunea este stocată în memorie iar virusul poate fi
activat când sistemul de operare încarcă o anumită funcție a aplicației. Virușii rezidenți
ridică problema deoarece pot să evite acțiunea antivirusului sau a antimalware-ului prin
faptul că se pot ascunde in memoria RAM a sistemului.

2
 f. Virusi rădăcină (rootkit viruses). Un virus rădăcină este un tip de malware care instalează un
rootkit (rădăcină) neautorizat pe un sistem infectat, oferind atacatorului control complet
asupra sistemului și abilitatea de a modifica fundamental sau de a dezactiva funcții și
programe. Virușii rădăcină au fost creati pentru a putea trece de acțiunea antvirusului, care
scanează, în mod normal doar aplicatii și fișiere. Versiunile mai recente ale antivirusurilor și
a programelor antimalware includ scanarea rădăcinii pentru identificarea și mitigarea acestor
tipuri de viruși.
Cei mai cunoscuti virusi aparuti de-a lungul timpului sunt :
 Virusul “Brain” a aparut initial in 19886 si este considerat primul virus personal al
computerului MS-DOS. Acest virus se imprastia prin intermediul floppy diks infectate si
odata instalat pe un nou calculator se instala singur in memoria sistemului si infecta
orice disk inserat in calculator.
 Virusul “Jerusalem” cunoscut si sub numele “Friday the 13th”, a fost descoperit in 1987
si s-a imprastiat in Israel prin intermediul floppy disks si a atasamentelor email.. Acest
virus avea posibilitatea de a infecta sistemul si de a sterge toate fisierele si programele
cand calendarul sistemul ar fi ajuns pe data de 13 Februarie.
 Virusul “Melissa” a aparut pentru prima data in anul 1999 si a fost imprastiat prin
intermediul atasamentelor din email. Daca sistemul infectat ar fi avut Microsoft Outlook,
virusul era trimis mai departe primelor 50 de persoane din lista de contacte. Acest virus
afecta macro in Microsoft Word si putea dezactiva sau micsora securitatea programului.
2.2. Viermii (worms) sunt similari cu virusii in sensul ca se pot replica din punct de vedere
functional si pot provoca acelasi tip de deteriorare asistemului. In comparatie cu virusii, care pentru
a se putea imprastia necesita fisier gazda (host) infectat, viermii sunt software-uri de sine statatoare
si un necesita un program gazda sau ajutor uman pentru a se propaga. Pneutr a se imprastia, viermii
fie exploateaza o vulnerabilitate a sistemului tinta sau folosesc un tip de inginerie sociala pentru a
pacali utilizatorii pentru executarea acestora. Un vierme intra intr-un calculator printr-o
vulnerabilitate a sistemului si foloseste functiile de transport ale fisierelor sau de transportul
informatiilor din sistema, permitandu-i sa calatoreasca fara ajutor. Deseori, viermii folosesc retele
de calculatoare pentru a se imprastia, bazandu-se pe eororile de securitate are calculatorului care il
acceseaza. Viermii cauzeaza aproape intotdeauna daune retelei, precum consumul de bandwidth.
Viermele Conficker (Conficker worm) este un vierme care vizeaza sistemul de operare
Microsoft Windows. Utilizeaza defecte in sistemul de operare Windows si atacuri de dictionare
(dictionary attack = tehnica pentru a distruge un mecanism de autentificare prin incercarea de a
determina cheia de decriptare prin incercarea a sute, mii sau chiar milioane de posibilitati, asemenea
cuvintelor dintr-un dictionar) pe parolele de administrator in scopul propagarii in acelasi timp cu
formarea unui botnet (dispozitive conéctate prin Internet, fiecare dintre acestea ruland pe unul sau
mai multi bots). [2], [3]

3
 Fig. 1. Modul de imprastiere al viermielui Conficker

2.3. Calul troian (Trojan Horse) este un malware care a capatat acest nume dupa calul folosit de
greci pentru a se infiltra in Troya. Este o parte a unui software care pare normal. Userii sunt, de
regula, pacaliti sa il incarce si sa il execute in sistemele lor. Dupa ce este activat poate atinge orice
numar de atacuri pe sistemul gazda, de la iritarea userului prin actiuni simple precum schimbarea
imaginii de fundal sau a ferestrei in care se afla, la defectarea sistemului gazda prin stergere de
fisiere, furtul datelor sau activarea si imprastierea altor malware-uri, precum virusi. Troienii sunt
cunoscuti si pentru modul in care pot permite accesul in sisteme private a unor useri cybercriminals.
Spre deosebire de virusi si viermi, troienii nu se reproduc prin infectarea altor fisiere si nu se
replica. Troienii trebuie sa se imprastie prin interatiunea cu userul, precum deschiderea unui
atasament din e-mail sau descarcarea si rularea unui fisier de pe Internet.
Unii troieni folosesc calculatorul ca un proxy anonim (anonymizer proxy sau anonymous
proxy) pentru a permite acestuia controlul internetului si folosirea acestuia in scopuri ilegale. Un
proxy anonim este un echipament care incearca sa impiedice urmarirea activitatii pe internet a
gazdei. Din punct de vedere fizic, un proxy anonim este un calculator, un server proxy care se
comporta ca un intermediar, ca un scut de confidentialitate intre computerul client si restul
internetului si are rolul de a proteja informatiile de identificare ale calculatorului utilizatorului.
Computerul gazda poate sa arate sau sa ascunda istoria site-urilor vizitate de utilizator, folosindu-se
de proxy. Primele generarii ale cailor troieni isi lasau urma in historia browser-ului calculatorului
gazda. Acestia au evoluat si au inceput sa isi acopere urmele mult mai eficient.
Dintre cei mai imprastiati troieni fac parte :
 Troianul “Archiveus” a aparut in 2006 si este primul caz cunoscut de virus care foloseste
atacuri ransomware si care a folosit o criptare puternica pentru a cripta fisierele si datele
utilizatorilor.
 Troinaul “Zeus” este unul dintre cei mai cunoscuti si mai imprastiati cai troieni din
istorie si a aparut pentru prima data in 2006. De-a luangul timpului a evoluat si a
continuat sa apara in diverse versiuni. Initial a fost dezvoltat sa infecteze sistemele
Windows si poate fi folosit pentru a folosi in diverse scopuri cybercriminal-ilor: furtul
4
 informatiilor bancare si a informatiilor personale ale victimelor. Acest malware se
imprastie prin diverse metode : prin intermediul atacurilor phishing (phishing attacks -
acest tip de atac implica email-uri care par legitime in relatie cu activitatile utilizatorului
si descarcarea unor fisiere corupte), sau prin intermediul atacurilor man in browser (MIB
– infecteaza iun browser web folosindu-se de vulnerabilitatile securitatii acestuia si
modifica paginile web,modifica tranzactiile de continut sau adauga noi tranzactii, aceste
actiuni fiind invizibile atat utilizatorului cat si aplicatiei web). Malware-ul Zeus a fost
adaptat de cybercriminali pentru a avea noi functionalitati care sa evite actiunea
programelor antivirus, astfel au fost lansate diverse versiuni ale ascestuia, precum “Zeus
VM”, care foloseste tehnica steganografiei (steganography – actiunea de a ascudere a
unui mesaj secret intr-un mesaj obisnuit si extragerea acestuia la destinatie). [2]
2.4. Boti (bots). Cuvantul “bot” este derivat de la “robot” si este un process automat
care interactioneaza cu alte servicii de retea. Botii deseori automatizeaza sarcini si furnizeaza
informatii sau servicii care altfel ar fi fost efectuate de finite umane. O utilizare tipica a botilor este
de a aduna informatii sau de a interactiona in mod automat cu mesageria instantanee (IM) sau chat-
ul Internet Relay (IRC) ori cu alte interfete web. Pot fi folositi si pentru interactiunea dinámica cu
site-urii web.
Botii pot fi folositi atat in scoputi bune cat si cu intentii malitioase. Un bot cu intentii
malitioase este un malware care se propaga singur, creat cu intentia de a infecta gazda si sa se
conecteze inapoi la un server central sau un server care se comporta ca si centru de comanda si
control (C&C) pentru o intreaga retea de echipamente compromise (bootnet). Avand o retea
bootnet, cybercriminal-ii pot lansa atacuri “de la distanta” (remote) catre tintele lor. Comparativ cu
alte tipuri de malware, precum viermii, botii au abilitatea de a loga intrarile de la tastatura, de a
colecta parle, de a capta si de a analiza pachete, de a aduna informatii financiare si de a lansa atacuri
DOS. Botii prezinta toate avantajele viermilor dar sunt in general mult mai versatili in ceea ce
priveste modul de infectare al echipamentelor, si sunt modificati foarte rapid, in cateva ore de la
publicarea unui nou exploit (parte a unui software care ataca o vulnerabilitate particulara din punct
de vedere al securitatii). Botii exploateaza vulnerabilitatile gasite de viermi si virusi, ceea ce le
permite accesul la retele, avand un bun control al perimetrului.
2.5. Adware nu este un malware propriu zis ci este un software care foloseste o forma de
prezentare a reclamelor. Uneori forma in care reclamele sunt difuzate pot fi deranjante deoarece
acestea urmaresc sau dezvaluie mai multe informatii despre utilizator decat acesta isi doreste. De
obicei, utilizatorul isi da acordul pentru vizualizarea reclamelor in momentul instalarii software-ului
cu care adware-ul vine si poate fi sters prin dezinstalarea software-ului la care este atasat.
2.6. Scareware este un software care foloseste manipularea psihologica a utilizatorilor in scopul
vanzarii catre acestia a unor software-uri de care un au nevoie. Scareware pacaleste de fapt
utilizatorii ca au in calculator un virus si le sugereaza sa descarce si sa plateasca un antivirus fals
pentru a-l inlatura. Tot prin manipularea psihologica a utilizatorilor acest malware ii convinge sa
dezactiveze alte software-uri sau firewall care ar puteea preveni actiunea malware-ului. In unele
cazuri scareware inlocuieste imaginea desktop a utilizatorului cu o fereastra text galbena, cu textul
“Warning! You have spyware!” si screensaver-ul este schimbat in “virusi” care se plimba pe ecran.
2.7. Spyware este un software instalat pe un calculator care doreste sa obtina informatii despre o
persoana sau organizatie si sa trimita aceste informatii mai departe, de obicei la cybercriminal, fara
ca utilizatorul sa stie, sau care preia controlul asupra calculatorului, fara consintamantul
utilizatorului. Spyware poate fi calificat deasemenea ca si malware de tip scareware deoarece pot
5
schimba imaginea desktop, sa intaleze icoane in calculator care sa genereze notificari in care
utilizatorul sa fie anuntat ca are un virus in calculator si ca software-ul de tip scareware il va ajuta
sa elimine virusul.
2.8. Ransomware este un malware care modifica sistemul astfel incat utilizatorul nu il mai poate
accesa in mod normal. Va afisa pe ecran amenintarea cu publicarea datelor cu caracter personal sau
cu blocarea accesului pana la plata unei rascumparari. Atacurile ransomware sunt purtate de troieni
care apar sub forma unor fisiere de care utilizatorul are nevoie, si prin urmare porneste descarcarea
acestor fisiere (in general prezentate sub forma unor atasamente la email-uri). [9]

3. Actiuni ale malware-urilor

Atacuri DoS (denial-of-service attack). Atacurile DoS sunt atacuri informatice in care
cybercriminal-ii incearca sa faca un echipament sau o resursa al retelei indisponibila utilizatorilor
inaccesibila utilizatorilor prin intreruperea temporara sau pe termen nedeterminat al serviciilor, prin
conexiunea la internet. Actiunea care se realizeaza in timpul acestor atacuri este trimiterea de cereri
inútile catre resursa vizata, in incercarea de a supraincarca sistemul cu cereri inutle astfel incat sa fie
impiedicate cererile legitime. [5]
Atacuri DDoS (distributed denial-of-service). In cazul acestui tip de atac, traficul care este
trimis catre sistemul tinta este mare si poate proveni din surse diferite. Acest lucru face imposibila
stoparea atacului prin blocarea unei singure surse. Atacurile DDoS pot implica multiplicarea
adreselor IP ale expeditorului astfel incat indentificarea si infrangerea atacului sa devina si mai
dificila. [6]
Cybercriminal-ii care lanseaza atacuri DoS sau DDoS vizeaza, in general, site-uri sau
servicii gazduite pe servere web de inalta calitate, precum banci sau Gateway-uri de placa cu
carduri de credit.
In ultimii ani, atacurile DDoS au continuat sa creasca, rata cu care se trimit cererile catre
gazda depasind un terabit pe secunda.
Atacurile DDoS la nivel de layer in stiva OSI, este o forma de atac care tinteste nivelul
Aplicatie (Nivelul 7) al stivei OSI. Atacul are ca tinta anumite caracteristici sau functii ale unui site
web cu interntia de a le dezactiva. Acest atac de tip aplicatie este diferit de atacul unei intregi retele
si este adesea folosit impotriva institutiilor financiare, cu scopul distrugerii personalului IT si de
securitate. Asadar, un atac DDoS la nivel de aplicatie, are cel mai frecvent scopul intreruperii
tranzactiilor sau obtinerea accesului la bazele de date. Incepand cu anul 2013, atacurile DDoS la
nivel de aplicatie reprezinta 20% din numarul atacurilor de tip DDoS. Junade Ali, cercetator la
Cloudflare, a observat in urma unei analiza ca in timp ce capacitatea atacurilor la nivel de retea
creste, frecventa acestora scade. Atacurile la nivel de aplicatie insotesc adesea atacurile la nivel de
retea, fiind perceput ca trafic legitim si vizand pachete specifice de aplicatii. Astfel de atacuri pot
perturba recuperarea informatiilor sau functia de cautare a unui browser web, precum si serviciul de
e-mail.
Pentru a putea fi considerat un atac DDoS, ar trebui folosite mai mult de 3-5 noduri pe
diferite retele. Daca se folosesc mai putin de 3-5 noduri, atacul se califica drept un atac DDoS.
Atacurile APDoS este un atac de tip DoS care reprezinta o amenintare clara, emergente, care
necesita servicii specializate de monitorizare si interventie in caz de incidente. Furnizorii trebuie sa
prezinte capacitati defensive specializate pentru a putea atenua si evita astfel de atacuri. Acest tip de
atac implica atacuri masive de nivel DDoS in retea si atacuri in straturi de aplicatii (precum HTTP),
urmate de atacuri SQLi (injectari SQL) si XSS (Cross-Site Scripting) repetate la intervale variabile

6
de timp. [7] In mod obisnuit, cybercriminal-ii pot folosi simultan de la 2 la 5 vectori de atac care
implica cateva milioane de solicitari pe secunda care pot ataca atat o victima cat si un furnizor de
servicii care se apara prin implementarea mai multor tipuri de metode de aparare impotriva
atacurilor DDoS. Atacurile pot persista pana la cateva saptamani. Atacatorii pot schimba in mod
tactic intre ei mai multe tinte cu scopul evitarii masurilor defensive insa concentrarea principala a
atactatorului va ramane asupra unei singure victime. Astfel, atacatorii sunt capabili sa sustina o
campanie prelungita, generand niveluri enorme de trafic DDoS. Se poate concluziona ca atacurile
de tip APDoS au urmatoarele caracteristici: metode avansate de recunoastere a sistemelor de
detectie a atacurilor; executie tactica, atacul realizandu-se asupra mai multor victime, insa doar una
este tinta reala; motivatie explicita, obiectivul final este setat; capacítate mare de calcul, isi asegura
accesul la resursele de baza ale calculatoarelor si resursele de latime de banda ale retelei; realizarea
atacurilor simultane cu straturi multiple la nivel aplicatie – OSI, beneficiind si de instrumente
avansate care functioneaza in straturile 3-7; persistenta pe perioade lungi de timp, realizand atacuri
concéntrate, bine gestionate, intr-o serie de tinte.
Flux ICMP (Internet Control Message Protocol flood). Acest tip de atac se bazeaza pe faptul
ca anumite echipamente din retea permit trimiterea unor pachete gresite catre toate gazdele din
retea, folosind adresa de difuzare a retelei. Cybercriminal-ul va trimite un numar mare de pachete IP
cu o adresa sursa falsificata care sa para a fi adresa victimei. Latimea de banda se va consuma
repede, in acest mod pachetele legitime fiind impiedicate sa ajunga la destinatie. Flux ping este un
atac care consta in trimiterea catre victima a unui numar mare de pachete ping, de la gazdee
asemanatoare Unixului. Cerinta pentru ca acest atac sa poata fi lansat este ca largimea de banda sa
fie mai mare decat cea pe care o are victima in retea. Doua astfel de exemple de flux ICMP sunt asa
numitele ping-ul mortii (ping of death), care se bazeaza pe trimiterea unui pachet ping cu informatii
corupte catre victima, care va duce la un accident de sistem, in cazul unui sistem vulnerabil, si
atacul BlackNurse, atac care profita de portul destinatie de neurmarit (Destination Port
Unreachable) ale pachetelor ICMP. [11]

4. Metode de aparare ale sistemelor impotriva atacurilor informatice [8], [10]

Scopul solutiilor de aparare ale sistemelor impotriva atacurilor informatice este sa anticipeze
si sa pregateasca sistemul in cazul aparitiilor unor potentiale situatii problematice provocate de
diverse tipuri de malware, in ciuda oricaror conditii nefavorabile in sistemul informatic sau a
greselolor comise de utilizatori.
Strategiile de eliminare a potentialeleor pericole se pot imparti in doua categorii care vizeaza
pe de o parte securitatea retelelor, si pe de alta parte, backup-ul si restaurarea datelor.

4.1. Metode de aparare ale securitatii retelei

Application front end hardware (aplicatie hardware frontala) este un hardware inteligent
plasat in retea inainte ca traficul sa ajunga la servere. Poate fi utilizat in retele in legatura cu routere
si switch-uri. Aplicatia hardware frontala analizeaza pachetele de date pe masura ce acestea ajung in
system si apoi le identifica ca prioritate, regulate sau periculoasa. Exista mai mult de 25 de furnizori
de gestionare a latimii de banda
Firewall este reprezentat printr-o serie de masuri de securitate care protejeaza sistemul
informatic de traficul daunator pe internet si impiedica accesul neautorizat al sistemelor
informatice. Aceste masuri de securitate sunt integrate sub forma unui software specializat care
ruleaza in mod autonom, fie pe sisteme individuale, fie extern, prin intermediul software-ului
incorporat in cadrul routerelor si modemurilor. Nu toate software-urile firewall vor proteja
7
sistemele impotriva trimiterii de trafic neautorizat sau daunator. Pentru rezultate mai bune, ar trebui
instalate firewall-uri de calitate, care filtreaza atat traficul de intrare cat si pe cel de iesire.
Anti-malware software. O strategie mai buna pentru utilizatorii care doresc sa isi protejeze
calculatorul este instalarea unui software anti-malware deoarece firewall-ul nu ofera o protectie
satisfacatoare. Instalarea unui software anti-malware precum anti-virus, anti-pishing, e-mail, ofera o
anumita protectie impotriva malware-ului care a trecut de firewall si a ajuns in calcultatorul
utilizatorului. Avand in vedere ca pe internet cantitatea de software daunator creste constant este
importanta folosirea unor sisteme anti-malware care sa fie usor de actualizat de catre utilizator,
astfel incat malware-urile dezvoltate sa poata fi usor combatute.
Blackholding and sinkholing. In cazul rutelor nule, tot traficul catre adresa DNS sau IP
atacata este trimis catre o asa numita “gaura neagra” (black hole), o interfata nula sau un server
inexistent. O “sinkhole” DNS ruteaza traficul catre o adresa IP valida care analizeaza traficul si
rejecteaza pachetele gresite. Pentru atacuri puternice, sinkholing un este o solutie eficienta.
Preventia bazata pe ISP (ISP=intrusion prevention systems – sisteme pentru prevenirea
intrusilor) este eficienta daca atacurile au semnaturi asociate cu acestea. Problema acestui tip de
preventie este ca atacurile au evoluat si au tendinta sa aiba continut legitim si intentie proasta.
Sistemele de prevenire a intrusilor care lucreaza la recunoasterea continului un pot bloca, de
exemplu, atacurile DoS bazate pe comportamentul acestora. Un IPS bazat pe ASIC (application-
specific integrated circuit – circuit integrat configurat pentru uz personalizat) poate detecta si bloca
atacurile DoS deoarece au putere mare de procesare si granularitate astfel incat pot realiza o analiza
complexa a atacurilor si actioneaza ca un intrerupator automat. Un IPS bazat pe tarife trebuie sa
analizeze traficul, monitorizand in mod granular si continuu modelul de trafic si sa determine daca
exista o anomalie a traficului, astfel incat sa recunoasca fluxul legitim si sa il lase sa treaca, in timp
ce blocheaza traficul de atac al DoS.
DDS based defense (DoS defense system – sistem de aparare DoS) este un sistem mai
concentrat pe problema atacurilor DoS decat IPS. DDS poate bloca atacuri DoS bazate pe
conexiune si pe cele cu continut legitim dar intentie malitioasa.
Upsteam filtering (filtrarea in amonte) este o metoda prin care tot traficul este trecut printr-
un “centru de curatare” sau “centru de spalare” prin intermediul unor proxy-uri, túneluri, conexiuni
digitale, sau chiar circuite directe care separa traficul malitios (DDoS si alte atacuri din Internet) de
cel bun si trimite doar traficul bun spre server. Furnizorul are nevoie, in general, de conectivitate
centrala la internet pentru a gestiona acest tip de serviciu, cu exceptia situatiei in care se afla in
aceleasi locatii ca si “centrul de curatare” sau “centrul de spalare”.
Skeptikism (scepticism). Pentru o mai buna protectie a sistemelor, utilizatorii ar trebui sa fie
mai sceptici fata de datele la carea u acces prin intermediul internetului. Malware-uri exista in
forme diverse, iar multe dintre ele sunt inselatoare pentru utilziatorii de computer si chiar pentru
unele programe anti-malware. Utilizatorii sceptici folosesc o gandire critica in ceea ce priveste
informatia pe care o pot accesa, astfel reducand sansele descarcarii si imprastierii de mallware.
Strategiile unor astfel de utilizatori includ scanarea atasamentelor din e-mail-uri inainte de a le
deschide si filtrarea manuala a e-mail-urilor suspecte din mesajele primite. Utilizatorii ar trebui sa
fie atenti la subiecte si titluri persuasive de la adrese oarecare, deoarece acestea pot contine de fapt
un malware, ceea ce poate duce la furtul de intitate. O alta masura de precautie ar fi configurarea
calculatoarelor utilizatorilor astfel incat sa fie afisate extensiile fisierelor, astfel dezvaluindu-se
fisiere potential periculoase care par inofensive. Scepticismul utilizatorilor poate fi aplicat, intr-un

8
mod benefic, si in cazul site-urilor web deoarece si acesta este un mediu in care utilizatorii sunt
pacaliti usor prin reclame false, si astfel se poate infecta sistemul.

4.2. Proceduri de backup si restaurare a datelor

In ciuda eforturilor utilizatorilor pentru a-si apara sistemele, si a software-urilor instalate in
acest sens, pierderea datelor importante din cauza malware-urilor, intreruperi de alimentare,
defectiunile echipamentelor si utilizarea necorespunzatoare a acestora. Desi pierderea datelor nu
poate fi evitata complet, utilizatorii pot lua masuri pentru a minimiza cantitatea de date pierdute si
pentru restaurarea sistemelor la starea lor anterioara.
Backup-ul este o strategie impotriva pierderii neintentionate a datelor este folosirea unei
copii de siguranta a fisierelor importante. Utilizatorii pot face mai multe copii ale datelor
importante, pe care sa le stocheze fie pe acelasi calculator, fie pe un alt dispozitiv de stocare,
precum un hard disk extern. Fisierele importante pot fi incarcate, deasemenea, pe internet, cu
conditia ca utilizatorii sa aiba acces la serviciile de sotcare pe Internet.
Restaurarea datelor este o optiune pe care unele sisteme de operare o ofera utilizatorilor
pentru a putea restabili un calculator la o stare anume. Daca un exista nici o optiune oferita de
sistemul de operare, un utilizator poate achizitiona un software de restaurare adecvat pentru
sistemul sau. In cazul unui esec al sistemului in urma caruia utilizatorul isi pierde datele, acesta
poate restaura orice fisier pierdut sau modificat si poate elimina orice malware care un a existat
anterior.
Protectia datelor poate fi realizata si evitarea raspandirii de malware in sistemele informatice
poate fi realizata de catre utilizator:
 cu ajutorul realizarii backup-ului in mod regulat a fisierelor, documentelor si e-mail-urilor
importante;
 prin evitarea utilizarii unui cont de administrator pentru activitatile zilnice;
 prin actualizarea software-ului folosit la ultima versiune;
 cu ajutorului unui antivirus actualiza la ultima versiune constant;
 prin folosirea de parole diferite;
 dezactivarea citirii automate a flash drive-urilor;
 prin conexiunea la internet prin intermediul unui firewall;
 crescand doza de scepticism.

5. Concluzii
Avand in vedere ca exista o varietate mare de malware la nivel global si ca fiecare astfel de
tip se dezvolta constant, luand forma unui nou virus, articolul scris nu acopera aceasta varietate,
tratand doar o parte dintre acestia.
Metodele de atac asupra sistemelor informationale au evoluat astfel incat sa un poata fi
recunoscute de sistemele antivirus si de sistemele antimalware care un pot anticipa modul de
evolutie al acestora.
Pentru apararea sistemelor si a informatiilor personale ale utilizatorilor au fost descrise
strategii de eliminare sau chiar evitare ale potentialelor pericole la un nivel de baza, de-a lungul
timpului acestea devenind metode complexe care anticipeaza miscarile unui posibil cybercriminal.

9
BIBLIOGRAFIE
[1] Dr. Wjeb GHARIBI, Studying and Classification of the Most Significant Malicious
Software.
[2] J. Markoff, Defying experts, Rogue Computer Code Still Lurks, New York Times, 2009
[3] What is the Difference: Virsuses, Worms, Trojans, and Bots? [Online] Available:
https://www.cisco.com/c/en/us/about/security-center/virus-differences.html
[4] M. BARWISE. What is an internet worm?, 2010.
[5] Understanding Denial-of-Service Attacks, US-CERT, 2013
[6] M. Prince, Empty DDoS Threats: Meet the Armada Collective, 2016
[7] Kiyuna and Conyers, Cyberwarfare, 2015
[8] S.V. Raghavan, An investigation into the Detection and Mitigation of Denial of Service
(DoS) Attacks, 2011
[9] J. Schofield, How can I remove a ransomware infection?, The Guardian, 2016
[10] M. Curtin, Introducrion to Network Security, 2015
[11] Distributed Denial of Service Attacks (DDoS) Resources, Pervasive Technology Labs at
Indiana University, 2009

10