Introducere

Informatia este un bun important care, precum alte bunuri comerciale, are
valoare pentru o organizatie si trebuie protejata. Scopul managementului
securitatii informatiei este de a proteja informatia de o scara larga de amenintari
pentru a asigura continuitatea afacerii si pentru a minimiza daunele.

Pentru ca o informatie sa fie considerata sigura, trebuie sa indeplineasca trei

criterii:

- Confidentialitate : asigura faptul ca informatia este accesibila doar celor

autorizati;

- Integritate : asigura acuratetea si completitudiunea informatiei si metodelor de

procesare;

- Disponibilitatea : asigura accesul la informatie a utilizatorilor autorizati atunci

cand acestia au nevoie.

Securitatea este acum recunoscuta ca parte integrala a nucleului procesului de

business. Abilitatea de a manageria si a proteja informatiile intr-o organizatie
este importanta pana la ultimul succes sau esec al organizatiei. Prin urmare,
securitatea informatiei nu mai este doar responsabilitatea departamentului de IT,
ci este responsabilitatea fiecarui individ din organizatie.

Virusii informatici reprezinta una dintre cele mai evidente si mai prezente
amenintari la adresa securitatii datelor din cadrul firmelor si care necesita luarea
de masuri imediate. Detectarea virusilor informatici si anihilarea acestora
reprezinta prima cerinta in asigurarea securitatii calculatoarelor. Termenul
de virus informatic este atat de bine cunoscut ca termen incat atunci cand se face
referire la acesta se foloseste doar denumirea de virus. In multe cazuri se face
insa confuzie intre diferitele tipuri de programe malitioase, numindu-le pe toate
virus.

Firma McAffee (www.mcafee.com), specializata in produse antivirus, estimeaza

ca doua treimi din companiile americane au fost afectate de virusi in fiecare an.
Virusii au reusit sa scoata din functiune serverele pentru o medie de 5,8 ore
pentru fiecare infectie. Refacerea sistemelor a necesitat pentru 45perioada de cel
putin 19 zile.

Refacerea sistemelor in urma incidentelor a creat cheltuieli uriase. Computer

Economics estimeaza ca s-au cheltuit 10,7 miliarde de dolari pentru repunerea
sistemelor in functiune. Alte surse - revista The Industry Standard - estimeaza
cheltuielile la 266 miliarde dolari. Indiferent care ar fi datele exacte, este clar ca
este nevoie sa se cheltuiasca bani si timp pentru detectarea, eliminarea virusilor,
precum si pentru refacerea datelor afectate.

Individual, fiecare virus a adus aportul sau la aceste sume. Daca primul virus,
Giant Worm, producea, la 2 noiembrie 1988, pagube estimate intre un milion si
100 milioane de dolari, urmasii acestuia faceau ca aceste sume sa creasca.
Conform cu Computer Economics, virusul Nimda a costat firmele 590 milioane
de dolari; virusii CodeReed si LoveLetter au costat fiecare in jur de 2,6 miliarde
dolari. La nivelul firmelor mari s-au cheltuit sume intre 100 mii si un milion de
dolari pe an pentru fiecare infectie cu virusi.

Notiunea de virus informatic este generala. Aceasta descrie un numar de diferite

tipuri de atac asupra calculatoarelor. Un virus reprezinta un cod malitios de
program care se autocopiaza in alte programe si pe care le modifica. Un cod
malitios va lansa in executie operatii care vor avea efect asupra securitatii
datelor din calculator. Un cod malitios mai este intalnit si sub denumirea de cale
de atac, program vagabond, vandalizator. Codul malitios va contribui la
identificarea virusului creand asa-numita "semnatura" a virusului.

Tipuri de amenințări
Pentru ca existenta unui cod malitios in sistemele de calcul are actiune diferita
prin insasi constructia codului, este de preferat ca atunci cand facem referire la
aceste "programe" malitioase sa se tina cont de gruparea acestora in urmatoarele
categorii:

 virusi;
 viermi;
 Cai Troieni;
 bombe;
 cai ascunse (Trap Doors / Back Doors);
 spoofer-e;
 hoax (pacaleli);
 alte tipuri de programe malitioase.

Un program malitios poate sa aiba, si sunt foarte multe astfel de cazuri,

comportamentul mai multor programe malitioase (virusi). In aceasta categorie se
inscriu virusii hibrizi. Datorita acestui comportament este greu de definit carei
categorii ii apartin acestia.

Un virus este un fragment de cod program care se autocopiaza intr-un mare

numar de programe si pe care le modifica. Un virus nu este un program
independent. Un virus isi executa codul program numai atunci cand programul
gazda, in care se depune, este lansat in executie. Virusul se poate reproduce
imediat, infectand alte programe, sau poate astepta, in functie de cum a fost
programat, o anumita data sau un eveniment la care sa se multiplice. Virusul
Vineri 13 (Friday 13th virus) se lansa in executie la orice zi din an care era
vineri si avea numarul 13.

Un virus va infecta discul flexibil, discul dur, CD-ROM-ul si memoria interna.

De aici se poate raspandi cu ajutorul suporturilor de memorie portabile (CD-uri,
pen sau flash drive-uri), conexiune la retea si modem. Foarte multi virusi s-au

raspandit cu ajutorul flash drive-urilor.

Intre virusi si viermi (alt program malitios) se nasc uneori confuzii. Virusii sunt
considerati distructivi, iar viermii nedistructivi. Un virus altereaza sau distruge
datele din calculatorul infectat, in timp ce un vierme afecteaza buna functionare
a calculatorului.

Un vierme este un program independent. El se reproduce prin autocopierea de la

un calculator la altul prin intermediul retelei in cele mai multe cazuri. Spre
deosebire de virus, un vierme nu altereaza sau distruge datele din calculator, dar
poate crea disfunctionalitati in retea prin utilizarea resurselor acesteia pentru
autoreproducere.

Notiunea de vierme informatic a fost introdusa pentru prima data in anul 1975
de catre scriitorul de literatura science fiction John Brunner in cartea The
Shockwave Rider. Autorul descrie un program cu numele "tapeworm" care
"traieste" in interiorul computerelor, se multiplica de la calculator la calculator
atata timp cat exista o conexiune la retea.

John Schoch si Joh Hupp, cercetatori la Xerox Palo Alto Research Center,
dezvolta la inceputul anilor ’80 primul program experimental de tip vierme.
Acest program era destinat sa se multiplice de la un calculator la altul. Cei doi
cercetatori descriau viermele in felul urmator: "Un vierme este un program care
se gaseste intr-unul sau mai multe calculatoare. Programul dintr-un calculator
poate fi descris ca un segment al viermelui. Segmentele viermelui raman in
comunicare unele cu altele; daca un segment al viermelui moare, segmentele
ramase trebuie sa gaseasca un alt calculator, sa-l initializeze si sa-i ataseze

un vierme. Pe masura ce segmentele se unesc si apoi parasesc calculatorul,

viermele pare ca se muta prin retea".

Un Cal Troian (uneori se foloseste denumirea de troian) este un fragment de cod

care se ascunde in interiorul unui program si care va executa o operatie ascunsa.
Un Cal Troian reprezinta cel mai utilizat mecanism pentru a disimula un virus
sau un vierme. Ideea folosirii de astfel de programe vine din mitologie. in timpul
razboiului Troian, grecii, sub conducerea lui Odiseu, au atacat fara succes
cetatea Troia. Atunci, acestia au construit un cal mare din lemn in care au
introdus soldati greci si pe care l-au lasat in dar la poarta cetatii. Troienii au adus
"darul" in cetate. Noaptea grecii au iesit din cal si au deschis portile pentru
ceilalti soldati care au cucerit cetatea.

Un Cal Troian se va ascunde intr-un program cunoscut sau o functie apelabila,

care nu creeaza suspiciuni utilizatorului, dar care va lansa alte operatii ilegale.
Utilizatorul poate sa lanseze in executie un program aparent inofensiv, dar care
are incorporat in el un cod neautorizat. Functiile neautorizate realizate de codul
program inclus pot sa lanseze un virus sau un vierme.

Termenul de "Cal Troian"(Troian Horse) a fost folosit pentru prima data de Dan
Eduards de la NSA. Cazul clasic de atac cu un Cal Troian este descris de Dennis
M. Ritchie. Un atacator va crea un program care captureaza parolele (password
grabber). Acesta va afisa pe ecranul terminalului prompterul: login:. O data
introduse contul si parola, acestea sunt preluate de programul care contine Calul
Troian si copiate sau trimise la o destinatie de unde vor putea fi citite. Pe ecran
se afiseaza mesajul login incorrect. In timp ce utilizatorul, crezand ca a introdus
gresit contul sau parola, reintroduce combinatia stiuta, programul care contine
calul Troian se opreste din executie si urmele sunt sterse. In acest fel au fost
capturate contul si parola utilizatorului fara ca acesta sa banuiasca ceva.

Exista cai troieni care nu lasa urme ale prezentei lor, nu creeaza distrugeri
detectabile, pot sa stea nelimitat in programe si pot sa se autodistruga inainte de
a fi detectati. O bomba este un tip de Cal Troian folosit cu scopul de a lansa un
virus, un vierme sau un alt tip de atac. O bomba poate fi un program
independent sau o bucata de cod care va fi instalata de un programator. O bomba
se va activa la o anumita data sau atunci cand anumite conditii sunt indeplinite.

Cai ascunse (Back Doors) se pot crea cu ajutorul cailor Troieni. Mecanismul
presupune introducerea in calculatorul-tinta a unui program care ulterior sa
deschida cai de acces catre resursele acestuia. Caii Troieni sunt cei mai folositi
pentru atingerea acestor scopuri.

Spoofer-ele reprezinta un nume generic dat unor programe care permit unui
utilizator, folosind anumite siretlicuri, sa aiba acces la informatiile din sistem.
De regula, spoofer-ele, sunt posibile cu ajutorul mecanismelor Cal Troian care
vor activa programe care dau acces la informatii.

Hoax (pacalelile) sunt mesaje trimise prin e-mail care contin avertizari false
despre un virus existent si care cer sa fie avertizate toate persoanele cunoscute.
Uneori aceste avertizari contin si fisiere atasate care sunt menite, chipurile, sa
stopeze sau sa elimine presupusul virus. Retrimiterea mesajului la alte destinatii
face ca virusul sa se multiplice fara ca cel care l-a creat sa-l proiecteze sa se
multiplice.
Virușii in fișiere tip media
Fișierele video nu sunt de obicei considerate tipuri de fișiere potențial
dăunătoare sau infectate, dar este posibil ca malware-ul să fie încorporat sau
deghizat ca fișier video. Din cauza acestei concepții greșite, fișierele audio și
video sunt vectori de amenințare incredibil de interesanți pentru scriitorii de
programe malware.

Motive pentru introducerea virușilor in fișiere tip media

 Playerele media sunt foarte frecvent utilizate; utilizatorii tind să le

folosească pentru o perioadă mai lungă de timp, lăsându-i deschisi în
timpul altor sarcini și schimbând frecvent fluxurile media.
 Există o gamă largă de playere audio diferite și multe codecuri și
pluginuri de fișiere audio - toate scrise de persoane care nu sunt în general
de securitate.
 Formatele de fișiere implicate sunt fluxuri binare și tind să fie destul de
complexe. Sunt necesare multe analize pentru a le manipula, iar calculele
de redare pot duce cu ușurință la bug-uri întregi.
 Playerele media iau informații din surse diferite și uneori susceptibile (de
multe ori din rețea) și le execută cu privilegii și priorități destul de
ridicate. De exemplu, în Windows Vista, o instanță IE cu privilegii reduse
poate lansa conținut într-un WMP privilegiat.
 Ele sunt percepute ca fiind relativ inofensive - utilizatorii dau de obicei
play cu ușurință unor fișiere de tip media primite.
 Acestea sunt frecvent invocate fără confirmarea explicită a utilizatorului
(de exemplu video-uri încorporate într-o pagină web).
Vulnerabilități
Vectorii tipici de vulnerabilitate sunt: 1) fuzzingul media player-ului de către un
fișier video modificat și 2) încorporarea de hyperlink-uri într-un fișier video.

Fuzzing este o metodă generică care obligă un program să se comporte în mod

neașteptat prin furnizarea datelor nevalide, neașteptate sau aleatorii către intrări.
Fuzzing este conceput pentru a găsi bug-uri adânci și este folosit de dezvoltatori
pentru a asigura robustețea codului, însă cel mai bun instrument al
dezvoltatorului poate fi folosit pentru exploatare.

Pentru playerele media, care se presupune că sunt au "formate stricte", un fișier

video real corupt poate expune multe bug-uri, cel mai mult cauzat de dereferența
nulă a indicilor. Rezultatul, care permite accesul necorespunzător în memorie,
indică posibilitatea de a scrie în memorie lucruri ce nu s-au intentionat. Din
fericire, fuzzingul playerelor media necesită o cunoaștere aprofundată a
formatului de fișier sau altfel fișierul "corupt", va fi pur și simplu ignorat de

O metodă mai directă este obținută prin încorporarea unei adrese URL în
fișierele media moderne. De exemplu, Microsoft Advanced System Format
(ASF) permite efectuarea unor comenzi simple de script. În acest caz,
"URLANDEXIT" este plasat la adresa 0x1329-133B și accesează orice adresă
URL. Când acest cod se execută, utilizatorul este îndrumat să descarce un fișier
executabil, de multe ori deghizat ca un codec și îndemnând utilizatorul să se
descarce pentru a reda fișierul media.

MetaDefender Cloud, instrumentul multi-scanare anti-malware al OPSWAT, are

un exemplu de un astfel de fișier:

https://www.MetaDefender.com/#!/results/file/c88e9ff9e59341eba97626d5beab
7ebd/regular

Numele general al amenințării este "GetCodec", în acest exemplu specific,

media player-ul a fost redirecționat la microsoftmediaplayer.net/pluginerror/
(site-ul a fost scos din cauza programelor malware) și a descărcat un troian.
Trojan.Brisv.A este un cal troian care infectează fișiere media care pot
determina Windows Media Player să acceseze un URL malware.

Acest virus cauta in computerul compromis fișierele .asf, .mp2, .mp3, .wma și
.wmv, pe care mai apoi le infectează. Când este deschis în Windows Media
Player, fișierele infectate determină conectarea programului la o adresă URL rău
intenționată, care poate duce la descărcarea mai multor programe malware pe
computerul compromis. Fișierele media infectate pot fi descărcate pe computer
prin programe de partajare de fișiere.

Fișierele infectate cu Trojan.Brisv.A sunt detectate ca Trojan.Brisv.A! Inf.

Symantec recomandă descărcarea și difuzarea Instrumentului de eliminare
Trojan.Brisv.A! Inf pentru a dezinfecta fișierele media afectate.

Exemple de exploatare a tipurilor de fișiere

Mai jos este un tabel care enumeră formatele populare de fișiere media care au
fost recent exploatate prin direcționarea utilizatorului către site-uri rău
intenționate.
Tip fisier Detectare Descriere Prima
Raportare
Windows Downloader-UA.b Exploateaza o eroare în gestionarea January,
.wma/.wmv drepturilor digitale 2005
Real Media W32/Realor.worm Infectează fișierele Real Media Novembe
.rmvb pentru a încorpora link-uri către site- r, 2006
uri rău intenționate
Real Media Human crafted Lansează pagini web rău December
.rm/.rmvb intenționate fără a solicita , 2007
permisiunea
QucikTime.mov Human crafted Lansează hyperlink-uri încorporate April,
în site-uri pornografice 2008
Adobe Exploit-CVE-2007- Vulnerabilitatea în tagul June,
Flash.swf 0071 DefineSceneAndFrameLabelData 2008
Windows.asf W32/GetCodec.worm Infectează fișierele .asf pentru a July, 2008
încorpora linkuri către pagini web
rău intenționate
Adobe Exploit-SWF.c Vulnerabilitate în opțiunea "new June,
Flash.swf function" a AVM2 2010
QuickTime.mov Human crafted Execută un cod arbitrar pe sistemul August,
 utilizatorului țintă 2010
Adobe Exploit-CVE-2010- Vulnerabilitate în mașina virtuală Septembe
Flash.swf 2885 ActionScript 2 r, 2010
Adobe Exploit-CVE2010- Vulnerabilitate în clasa butonului October,
Flash.swf 3654 “MultiName” a AVM2 2010

Solutii
Nu toate media player-ele au protecție împotriva linkurilor malițioase, deci
recomandarea este evidentă: nu trebuie să se vizualizeze fișiere obscure,
niciodată nu trebuie rulate playerele media cu privilegii ridicate și nu trebie să se
accepte descărcări de codecuri necunoscute sau licențe ciudate.

Mulți furnizori antivirus au adăugat acum detectarea prin căutarea semnăturilor

URL din interiorul fișierelor de tip media, însă acest lucru poate fi evitat, de
asemenea, de scriitorii de programe malware prin încorporarea în fișierele de
dimensiuni mai mari, de câțiva gigabytes, ceea ce poate duce la o durata mare de
scanare a acestor fișiere de către softurile de protecție.

Concluzii

Media nu este adesea considerată o zonă sensibilă la securitate; totuși,

ubicuitatea și complexitatea codecurilor media le face deosebit de sensibile la
erorile de securitate, unele dintre ele fiind obscure și dificil de detectat prin
revizuirea sursei, analiza statică sau simpla fuzzare.

Instrumentele existente nu expun bine aceste erori, deoarece nu sunt orientate

spre formatele de flux implicate. Datorită cantităților mari de software media de
tip dubios, trebuie să devină o practică standardă pentru vânzătorii și
programatorii de codecuri media, playere și software asemănătoare pentru a
scrie propriile lor coduri și instrumente pentru a ajuta la prevenirea acestui
proces.
 Bibliografie

1. David Thiel. "Exposing Vulnerabilities in Media Software".

December 2013. http://www.blackhat.com/presentations/bh-europe-
08/Thiel/Whitepaper/bh-eu-08-thiel-WP.pdf

2. Colleen Lewis, Barret Rhoden, Cynthia Sturton. "Using Structured

Random Data to Precisely Fuzz Media Players". December 2013.
http://www.eecs.berkeley.edu/~brho/fuzz/fuzz_media_players.pdf

3. Rahul Mohandas, Vinoo Thomas, and Prashanth Ramagopal.

"Malicious Media Files: Coming to a Computer Near You".
December 2013. http://www.mcafee.com/us/resources/reports/rp-
malicious-media-files.pdf

4. https://www.symantec.com/security-center/writeup/2008-071823-
1655-99

5. "URLANDEXIT tag in WMV". December 2013.

http://www.woodmann.com/forum/showthread.php?13187-
URLANDEXIT-tag-in-WMV