Brinza Irina-Carmen INFORMATICA

Antivirusi in informatica

Introducere
Antivirusul sau software-ul antivirus, pe scurt AV, este un software folosit pentru a preveni, detecta
si elimina programele ostile.
AV a fost proiectat pentru a elimina virusii, de unde si denumirea. Cu toate acestea, odata cu
inmultirea tipurilor de malware, AV a inceput sa ofere protectie si impotriva acestor amenintari. AV
modern ne poate proteja de: elemente de bowser ostile, ransomware, spyware, cai troieni, viermi, LPS
ostile, frauda, adware si rootkits. Unele produse includ, de asemenea, protectie impotriva unor
amenintari cum ar fi adrese URL infectate, spam, atacuri de inselatorie, amenintari persistente avansate
(APT) si atacurile bancare.
Istoric
Perioada 1949-1980 (perioada pre-AV)
Desi radacinile virusilor digitali dateaza din 1949, cand omul de stiinta ungar John von Neumann a
publicat Teoria autoreproducerii automate, primul virus cunoscut a aparut in 1971 si s-a numit Creeper.
Virusul Creeper a fost in cele din urma sters de un program creat de Ray Tomlinson, cunoscut sub
numele de The Reaper. Unii oameni considera ca acesta ar fi primul AV, dar este important de retinut
este ca el este tot un virus creat pentru a elimina virusul Creeper.
Inainte ca, conectarea la Internet sa fie larg raspandita, virusii au fost raspanditi prin dischete
infectate. AV a intrat in uz, dar era actualizat foarte rar. Odata cu utilizarea obisnuita a internetului, virusii
au inceput sa se raspandeasca online.
Perioada 1980-1990 (perioada timpurie)
Exista revendicari concurente referitoare la inventatorul primului produs AV. In 1987, Andreas
Luning si Kai Figge au fondat G Data Software ai au lansat primul lor AV pentru platforma Atari ST. Tot
in acest an a fost eliberat si Ultimate Killer Virus, pentru platformele Atari ST si Atari Falcon. In SUA,
John McAfee a fondat compania McAfee, iar la sfarsitul anului a lansat AV VirusScan. In Cehoslovacia,
Peter Pasko, Rudolf Hruby si Miroslav Trnka au creat prima versiune a AV-ului NOD. In final, la sfarsitul
lui 1987, au fost lansate primele doua AV euristice: Flushot Plus de catre Ross Greenberg ai Anti4us de
catre Erwin Lanting.
Primul produs cu un motor euristic care sa semene cu cele din ziua de azi a fost F-PROT in 1991;
motoarele euristice timpurii au fost bazate pe impartirea binara, in sectiuni diferite: sectiunea de date,
sectiunea codurilor.
In 1988 s-a continuat dezvolatrea companiilor de AV. In Germania, Tjark Auerbach a fondat Avira
si a lansat prima versiune a programului AntiVir. In Bulgaria, Dr. Vesselin Bontchev a lansat primul AV
freeware. De asemenea, Frans Veldman a lansat prima versiune ThunderByte Antivirus. In
Cehoslovacia, Pavel Baudis si Eduard Kucera au pus bazele Avast! si au lansat prima varianta a
AV-ului. In Coreea de Sud, Dr. Ahn Cheol-Soo a lansat AV-ul V1. In Regatul Unit, Alan Solomon a
fondat S&S International si a creat AV-ul Dr. Solomon.
In 1989, in Islanda, Friorik Skulason a creat prima versiune a F-PROT. Intre timp, in SUA,
Symantec a lansat primul AV Symantec pentru Macintosh, SAM. SAM 2.0, lansat in martie 1990, a
incorporat tehnologia care permite utilizatorilor sa actualizeze cu usurinta SAM pentru a intercepta si
elimina noi virusi.
La sfarsitul anilor 1980, in Regatul Unit, Jan Hruska si Peter Lammer au infiintat firma de securitate
Sophos si au inceput sa produca produse AV si de criptare. In aceeasi perioada, in Ungaria a fost fondat
VirusBuster.
Perioada 1990-2000 (aparitia industriei AV)
1
Scoala Postliceala Sanitara Spiru Haret – Anul 1 – AMG – 2017
Brinza Irina-Carmen INFORMATICA

In 1990, in Spania, Mikel Urizabarrena a fondat Panda Security. In Ungaria, cercetatorul de

securitate Peter Szor a lansat prima versiune a AV-ului Pasteur. In Italia, Gianfranco Tonello a creat
prima versiune de VirIT eXploreantivirus.
In 1991, in SUA, Symantec a lansat prima varianta de Norton AntiVirus. In Republica Ceha, Jan
Gritzbach si Tomas Hofer au infiintat AVG Technologies, desi au lansat prima versiune AVG abia in
1992. Pe de alta parte, in Finlanda, F-Secure a lansat prima versiune a AV-ului F-Secure.
In 1992, in Rusia, Igor Danilov a lansat prima versiune SpiderWeb, care ulterior a devenit Dr. Web.
In timp au fost infiintate si alte companii. In 1996, in Romania, a fost fondat Bitdefender si a lansat
prima versiune a programului AntiVirus eXpert (AVX). In 1997, in Rusia, Eugene si Natalia Kaspersky au
co-fondat firma de securitate Kaspersky Lab.
In 1999, AV-TEST a raportat ca in baza lor de date au fost 98428 de esantioane malware unice.
Perioada 2000-2005
In 2000, Rainer Link si Howard Fuhs au lansat primul motor AV de tip open source, numit
OpenAntivirus Project.
In 2001, Tomasz Kojm a lansat prima versiune a ClamAV, primul motor AV tip open source. In
2007, ClamAv a fost cumparat de Sourcefire, care, la ransul sau, a fost achizitionat de Cisco Systems in
2013.
In 2002, in Marea Britanie, Morten Lund si Theis Sondergaard au co-fondat firma AV BullGuard.
In 2005, AV-TEST a raportat ca in baza lor de date au existat 333425 de esantioane malware
unice.
Perioada 2005-2014
In 2007, AV-TEST a raportat un numar de 5490960 de noi esantioane malware unice.
De-a lungul anilor a devenit necesar ca AV-urile sa utilizeze mai multe strategii diferite si algoritmi
de detectare, precum si sa verifice o varietate din ce in ce mai mare de fisiere.
In 2005, F-Secure a fost prima firma de securitate care a dezvoltat tehnologia AntRootkit, numita
BlackLight.
Avand in vedere ca majoritatea oamenilor sunt in prezent conectati la Internet, in 2008, Jon
Oberheide a propus, pentru prima data, un design AV bazat pe tehnologia Cloud.
2014-prezent (noua generatie)
Mai recent, dupa lansarea din 2014 a raportului AP1 de la Mandiant, industria a cunoscut o
schimbare spre abordari capabile sa detecteze si sa atenueze atacurile la zero; dintre aceste abordari
mentionam: detectarea comportamentala, inteligenta artificiala, invatarea masinariilor si detonarea
fisierelor bazate pe tehnologia cloud. O alta abordare a SentinelOne si Carbon Black se concentreaza
pe detectarea comportamentala prin construirea unui context complet in jurul fiecarei cai de executie a
procesului in timp real; Cylance utilizeaza un model de inteligenta artificiala bazat pe invatarea
masinariilor.
Metode de identificare
Unul dintre putinele rezultate teoretice solide in studiul virusilor este demonstratia lui Frederick B.
Cohen din 1987, conform careia nu exista niciun algoritm care sa permita detectarea perfecta a tuturor
virusilor posibili. Cu toate acestea, folosind diferite nivele de aparare, se poate obtine o buna rata de
detectie.
Exista mai multe metode pe care motorul AV le poate utiliza pentru a identifica programele
malware. Detectarea sandbox-urilor este o tehnica speciala bazata pe un anumit comportament, care, in
loc sa detecteze amprenta comportamentala in timpul executiei, executa programele intr-un mediu
virtual inregistrand actiunile pe care le efectueaza programul. In functie de actiunile inregistrate, motorul
AV poate determina daca programul este ostil sau nu; daca nu, atunci el este executat in mediul real.

2
Scoala Postliceala Sanitara Spiru Haret – Anul 1 – AMG – 2017
Brinza Irina-Carmen INFORMATICA

Tehnicile de extragere a datelor sunt una dintre cele mai recente abordari aplicate in detectarea
programelor malware. Tehnologiile de extragere a datelor si de invatare a masinariilor sunt folosite
pentru a incerca sa clasifice comportamentul unui fisier.
Detectarea pe baza semnaturii
AV-ul traditional se bazeaza in mare masura pe semnaturi pentru identificarea programelor
malware.
In mod substantial, atunci cand un program malware ajunge in mainile unei firme AV, acesta este
analizat de cercetatori sau de siateme de analiza dinamica. Apoi, odata determinat a fi un program
malware, se extrage si se adauga o semnatura adecvata in baza de date a semnaturilor AV-ului.
Desi abordarea bazata pe semnaturi poate contine, in mod eficient, focare de malware, autorii
acestor programe au incercat sa fie cu un pas inaintea unui astfel de software, scriind virusi oligomorfi,
polimorfi si metamorfi, care cripteaza parti din ei insisi sau se modifica ca o metoda de deghizare, astfel
incat sa nu se potriveasca cu semnaturile din baza de date.
Euristica
Multi virusi incep ca o infectie singulara si, prin mutatii sau rafinari de catre alti atacatori, pot creste
in zeci de tulpini diferite, numite variante. Depistarea generica se refera la detectarea si eliminarea mai
multor amenintari utiliand caracteristicile unui singur virus.
De exemplu, troianulVundo are mai multi membrii ai familiei, in functie de clasificarea furnizorului
de AV. Symantec clasifica membrii in doua categorii distincte: troianul Vundo si troianul Vundo B.
Desi poate fi avantajos sa se identifice un anumit virus, poate fi mai rapid sa se detecteze o familie
de virusi printr-o semnatura generica sau printr-o potrivire inexacta cu o semnatura existenta.
Cercetatorii de virusi gasesc zone comune pe care toti virusii dintr-o familie le prezinta in mod unic,
putand astfel sa creeze o singura semnatura generica. O detectie care foloseste aceasta metoda se
spune ca este detectie euristica.
Detectia rootkit-urilor
AV-ul poate incerca sa scaneze pentru rootkit-uri. Un rootkit este un tip de malware conceput
pentru a obtine control la nivel administrativ asupra unui sistem informatic fara a fi detectat. Rootkit-urile
pot schimba modul in care functioneaza sistemul de operare si, in unele cazuri, pot manipula programul
AV si il poate face ineficient. Rootkit-urile sunt greu de indepartat, in unele cazuri necesitandu-se
reinstalarea completa a sistemului de operare.
Protectia in timp real
Protectia in timp real, scanarea la acces, verificarea de fundal se refera la protectia automata
oferita de cele mai multe programe AV, anti-spyware si anti-malware. Acest lucru monitorizeaza
sistemele informatice pentru activitati suspecte cum ar fi virusii, spyware, adware si alte programe ostile,
in timp ce datele sunt incarcate in memoria activa a calculatorului, atunci cand introducem un CD,
deschidem un e-mail sau navigam pe internet sau cand un fisier deja existent in calculator este deschis
sau executat.
Solutii alternative
Solutiile AV instalate, care ruleaza pe calculatoare individuale, sunt o metoda de protectie
impotriva programelor malware. Sunt utilizate si alte solutii alternative, printre care Unified Threat
Management (UTM), echipamente hardware si firewall-uri de retea, AV bazat pe tehnologia cloud si
scanere on-line.
Echipamente hardware si retele firewall
Retelele de firewall impiedica accesul programelor si proceselor necunoscute in sistem. Cu toate
acestea, nu sunt sisteme AV si nu fac nici o incercare de a identifica sau elimina pericolul. Acestia pot
proteja impotriva infectiilor din afara calculatorului sau retelei protejate si pot limita activitatea oricarui
sofware ostil prin blocarea cererilor de intrare sau de iesire pe anumite port-uri TCP/IP. Un firewall este
3
Scoala Postliceala Sanitara Spiru Haret – Anul 1 – AMG – 2017
Brinza Irina-Carmen INFORMATICA

conceput sa faca fata amenintarilor venite din sfera internetului si a retelei in sistem si nu este o
alternativa la un AV.
AV cu tehnologia cloud
AV tip cloud este o tehnologie care utilizeaza un software agent usor pe calculatorul protejat, in
timp ce datele sunt analizate in infrastructura furnizolrului. O abordare a acestui tip de implementare
implica scanarea fisierelor suspecte utilizand mai multe motoare AV. Acest tip de implementare a fost
propus de CloudAV, care a fost proiectat pentru a trimite programe sau documente catre o retea cloud
sunt folosite mai multe AV-uri si programe de detectie comportamentala, pentru a imbunatati ratele de
detectare. CloudAV poate efectua detectare retrospectiva, prin care motorul de detectare rescaneaza
toate fisierele din istoric cand o noua amenintare este identificata. In final, CloudAV este o solutie pentru
scanarea eficienta a virusilor pe dispozitive care nu dispun de putere de calcul pentru a efectua
scanarile.
Cateva exemple de astfel de produse sunt Panda CloudAV, Crowdstrike, Cb Defense si Immunet.
Grupul Comodo a produs, de asemenea, AV bazat pe tehnologia cloud.
Scanarea online
Unii furnizori de AV intretin website-uri cu capacitatea de scanare online gratuita a intregului
calculator, zonelor critice, discurilor locale, dosarelor sau fisierelor. Periodic scanarea online este o idee
buna pentru cei care ruleaza aplicatii AV pe calculatoarele lor, deoarece aceste aplicatii detecteaza mai
lent amenintarile. Unul din primele lucruri pe care un program ostil il face intr-un atat este dezactivarea
oricarui AV existent si singura modalitate de a cunoaste un atac este apelarea la o resursa de scanare
online, care nu este instalata pe calculatorul infectat.
Instrumente de specialitate
Instrumentele de eliminare a virusilor sunt disponibile pentru a ajuta la eliminarea infectiilor
persistente sau a anumitor tipuri de infectii. Printre exemple se numara Rootkit Buster de la Trend Micro
si rkhunter pentru detectarea rootkit-urilor, Avira ANtiVir Removal Tool, PCTools Threat Removal Tool si
AV-ul de la AVG din 2011.
Un disc de salvare bootabil, cum ar fi un CD sau un dispozitiv USB, poate fi utilizat pentru a rula un
AV in afara sistemului de operare instalat, pentru a elimina infectiile in timp ce acestea sunt latente. Un
disc AB bootabil poate fi util atunci cand, de exemplu, sistemul de operare instalat nu mai este bootabil
sau are programe malware care rezista tuturor incercarilor de a fi eliminate de AV.

4
Scoala Postliceala Sanitara Spiru Haret – Anul 1 – AMG – 2017