Documente Academic
Documente Profesional
Documente Cultură
Informatia este un bun important care, precum alte bunuri comerciale, are
valoare pentru o organizatie si trebuie protejata. Scopul managementului
securitatii informatiei este de a proteja informatia de o scara larga de amenintari
pentru a asigura continuitatea afacerii si pentru a minimiza daunele.
Virusii informatici reprezinta una dintre cele mai evidente si mai prezente
amenintari la adresa securitatii datelor din cadrul firmelor si care necesita luarea
de masuri imediate. Detectarea virusilor informatici si anihilarea acestora
reprezinta prima cerinta in asigurarea securitatii calculatoarelor. Termenul
de virus informatic este atat de bine cunoscut ca termen incat atunci cand se face
referire la acesta se foloseste doar denumirea de virus. In multe cazuri se face
insa confuzie intre diferitele tipuri de programe malitioase, numindu-le pe toate
virus.
Individual, fiecare virus a adus aportul sau la aceste sume. Daca primul virus,
Giant Worm, producea, la 2 noiembrie 1988, pagube estimate intre un milion si
100 milioane de dolari, urmasii acestuia faceau ca aceste sume sa creasca.
Conform cu Computer Economics, virusul Nimda a costat firmele 590 milioane
de dolari; virusii CodeReed si LoveLetter au costat fiecare in jur de 2,6 miliarde
dolari. La nivelul firmelor mari s-au cheltuit sume intre 100 mii si un milion de
dolari pe an pentru fiecare infectie cu virusi.
Tipuri de amenințări
Pentru ca existenta unui cod malitios in sistemele de calcul are actiune diferita
prin insasi constructia codului, este de preferat ca atunci cand facem referire la
aceste "programe" malitioase sa se tina cont de gruparea acestora in urmatoarele
categorii:
virusi;
viermi;
Cai Troieni;
bombe;
cai ascunse (Trap Doors / Back Doors);
spoofer-e;
hoax (pacaleli);
alte tipuri de programe malitioase.
Intre virusi si viermi (alt program malitios) se nasc uneori confuzii. Virusii sunt
considerati distructivi, iar viermii nedistructivi. Un virus altereaza sau distruge
datele din calculatorul infectat, in timp ce un vierme afecteaza buna functionare
a calculatorului.
Notiunea de vierme informatic a fost introdusa pentru prima data in anul 1975
de catre scriitorul de literatura science fiction John Brunner in cartea The
Shockwave Rider. Autorul descrie un program cu numele "tapeworm" care
"traieste" in interiorul computerelor, se multiplica de la calculator la calculator
atata timp cat exista o conexiune la retea.
John Schoch si Joh Hupp, cercetatori la Xerox Palo Alto Research Center,
dezvolta la inceputul anilor ’80 primul program experimental de tip vierme.
Acest program era destinat sa se multiplice de la un calculator la altul. Cei doi
cercetatori descriau viermele in felul urmator: "Un vierme este un program care
se gaseste intr-unul sau mai multe calculatoare. Programul dintr-un calculator
poate fi descris ca un segment al viermelui. Segmentele viermelui raman in
comunicare unele cu altele; daca un segment al viermelui moare, segmentele
ramase trebuie sa gaseasca un alt calculator, sa-l initializeze si sa-i ataseze
Termenul de "Cal Troian"(Troian Horse) a fost folosit pentru prima data de Dan
Eduards de la NSA. Cazul clasic de atac cu un Cal Troian este descris de Dennis
M. Ritchie. Un atacator va crea un program care captureaza parolele (password
grabber). Acesta va afisa pe ecranul terminalului prompterul: login:. O data
introduse contul si parola, acestea sunt preluate de programul care contine Calul
Troian si copiate sau trimise la o destinatie de unde vor putea fi citite. Pe ecran
se afiseaza mesajul login incorrect. In timp ce utilizatorul, crezand ca a introdus
gresit contul sau parola, reintroduce combinatia stiuta, programul care contine
calul Troian se opreste din executie si urmele sunt sterse. In acest fel au fost
capturate contul si parola utilizatorului fara ca acesta sa banuiasca ceva.
Exista cai troieni care nu lasa urme ale prezentei lor, nu creeaza distrugeri
detectabile, pot sa stea nelimitat in programe si pot sa se autodistruga inainte de
a fi detectati. O bomba este un tip de Cal Troian folosit cu scopul de a lansa un
virus, un vierme sau un alt tip de atac. O bomba poate fi un program
independent sau o bucata de cod care va fi instalata de un programator. O bomba
se va activa la o anumita data sau atunci cand anumite conditii sunt indeplinite.
Cai ascunse (Back Doors) se pot crea cu ajutorul cailor Troieni. Mecanismul
presupune introducerea in calculatorul-tinta a unui program care ulterior sa
deschida cai de acces catre resursele acestuia. Caii Troieni sunt cei mai folositi
pentru atingerea acestor scopuri.
Spoofer-ele reprezinta un nume generic dat unor programe care permit unui
utilizator, folosind anumite siretlicuri, sa aiba acces la informatiile din sistem.
De regula, spoofer-ele, sunt posibile cu ajutorul mecanismelor Cal Troian care
vor activa programe care dau acces la informatii.
Hoax (pacalelile) sunt mesaje trimise prin e-mail care contin avertizari false
despre un virus existent si care cer sa fie avertizate toate persoanele cunoscute.
Uneori aceste avertizari contin si fisiere atasate care sunt menite, chipurile, sa
stopeze sau sa elimine presupusul virus. Retrimiterea mesajului la alte destinatii
face ca virusul sa se multiplice fara ca cel care l-a creat sa-l proiecteze sa se
multiplice.
Virușii in fișiere tip media
Fișierele video nu sunt de obicei considerate tipuri de fișiere potențial
dăunătoare sau infectate, dar este posibil ca malware-ul să fie încorporat sau
deghizat ca fișier video. Din cauza acestei concepții greșite, fișierele audio și
video sunt vectori de amenințare incredibil de interesanți pentru scriitorii de
programe malware.
O metodă mai directă este obținută prin încorporarea unei adrese URL în
fișierele media moderne. De exemplu, Microsoft Advanced System Format
(ASF) permite efectuarea unor comenzi simple de script. În acest caz,
"URLANDEXIT" este plasat la adresa 0x1329-133B și accesează orice adresă
URL. Când acest cod se execută, utilizatorul este îndrumat să descarce un fișier
executabil, de multe ori deghizat ca un codec și îndemnând utilizatorul să se
descarce pentru a reda fișierul media.
https://www.MetaDefender.com/#!/results/file/c88e9ff9e59341eba97626d5beab
7ebd/regular
Acest virus cauta in computerul compromis fișierele .asf, .mp2, .mp3, .wma și
.wmv, pe care mai apoi le infectează. Când este deschis în Windows Media
Player, fișierele infectate determină conectarea programului la o adresă URL rău
intenționată, care poate duce la descărcarea mai multor programe malware pe
computerul compromis. Fișierele media infectate pot fi descărcate pe computer
prin programe de partajare de fișiere.
Mai jos este un tabel care enumeră formatele populare de fișiere media care au
fost recent exploatate prin direcționarea utilizatorului către site-uri rău
intenționate.
Tip fisier Detectare Descriere Prima
Raportare
Windows Downloader-UA.b Exploateaza o eroare în gestionarea January,
.wma/.wmv drepturilor digitale 2005
Real Media W32/Realor.worm Infectează fișierele Real Media Novembe
.rmvb pentru a încorpora link-uri către site- r, 2006
uri rău intenționate
Real Media Human crafted Lansează pagini web rău December
.rm/.rmvb intenționate fără a solicita , 2007
permisiunea
QucikTime.mov Human crafted Lansează hyperlink-uri încorporate April,
în site-uri pornografice 2008
Adobe Exploit-CVE-2007- Vulnerabilitatea în tagul June,
Flash.swf 0071 DefineSceneAndFrameLabelData 2008
Windows.asf W32/GetCodec.worm Infectează fișierele .asf pentru a July, 2008
încorpora linkuri către pagini web
rău intenționate
Adobe Exploit-SWF.c Vulnerabilitate în opțiunea "new June,
Flash.swf function" a AVM2 2010
QuickTime.mov Human crafted Execută un cod arbitrar pe sistemul August,
utilizatorului țintă 2010
Adobe Exploit-CVE-2010- Vulnerabilitate în mașina virtuală Septembe
Flash.swf 2885 ActionScript 2 r, 2010
Adobe Exploit-CVE2010- Vulnerabilitate în clasa butonului October,
Flash.swf 3654 “MultiName” a AVM2 2010
Solutii
Nu toate media player-ele au protecție împotriva linkurilor malițioase, deci
recomandarea este evidentă: nu trebuie să se vizualizeze fișiere obscure,
niciodată nu trebuie rulate playerele media cu privilegii ridicate și nu trebie să se
accepte descărcări de codecuri necunoscute sau licențe ciudate.
Concluzii
4. https://www.symantec.com/security-center/writeup/2008-071823-
1655-99