Documente Academic
Documente Profesional
Documente Cultură
VIRUȘII INFORMATICII
Clasificarea virusilor
Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o
proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau
fapte ilegale de şantaj si constrângere. In septembrie 1989 existau cam două duzini de viruşi.
Fiecare dintre aceştia avea variante: mici modificări în codul viral sau schimbarea mesajelor
afişate. De exemplu, virusul 17Y4 diferă de virusul 1704 doar cu un octet. În mai 1998 existau
aproximativ 20.000 de viruşi (zilnic apar 3 noi viruşi).
O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite
criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de
declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi.
Virusi hardware
Virusi software
Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu
echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria.
Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si buni
cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si
cel aplicativ.
Virusi de BOOT
Virusi de fisiere
Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar
aceştia sunt în număr foarte mic.
Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului de
operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice disc logic
al hard discului şi orice dischetă care se introduce în unitatea de dischete. Tot în această
categorie intra şi viruşii care infectează tabela de partiţii a hard discului. Găsindu-se în tabela de
partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.
Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM. Cînd
programul infectat este rulat, virusul se activează rămînînd de cele mai multe ori rezident în
memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi numai atît, ar fi
simplu ! Din păcate viruşii de fişiere sunt de mai multe tipuri. Pînă acum am descris tipul
"clasic".
Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt
aproape imposibil de studiat
Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele volumului
dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512 octetil “Data crime”
si “Vienna” se semnau prin respectiv 1168 si 648 octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au
reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
sa infecteze un program, fara ca alterarea sa fie prea ostentativa.
Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze
mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte
prea dramatice.
De exemplu:
Virusul ” KeyPress” duce la aparitia pe ecran a sirului “AAAAA”, daca se apasa tasta “A”.
Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele de
muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love You" sau
"Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere importante
trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua mamei sau cu
subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt mail-uri de la
companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi scapat de virusi insa, de
fapt, ti-i dadea.
Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat numele
dupa o boala care este transmisa de catre sobolani. HPS il face pe cel infectat sa aiba probleme
respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul HPS a fost
lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. Interesant este ca
acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie lansat pe piata.
Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand primele
sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea altceva decat sa
afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana". Insa unele dintre cele
90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii, Rostov, Smithsonian,
StonedMutation) reuseau pana la urma sa-ti blocheze computerul.
Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca iti
infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu
atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se infiltra in
computerele tuturor curiosilor care deschideau aceste fisiere.
Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus la
inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi piratat.
Dar s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub diferite nume ca
Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa pakistaneza acest virus
infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in fisierele infectate. Mai
manca si 7 KB din memoria computerului facandu-l sa meraga foarte greu. Se pare ca cei doi
frati nu mintisera cand au zis ca a fost totul o greseala, pentru ca si-au facut publice numele,
adresele, numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i
contacteze pentru vaccin.
Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat cele
mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei care erau
infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in mici cranii si
oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea sau sa primeasca
telefoane, celelalte functii inteligente fiind neoperabile.
Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in 2004
pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul), joc creat
special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea mesaje text cu
preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul
lucru era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in neregula cu mobilul pana
nu-ti venea prima factura exorbitanta. Cei mai neplacuti virusi sunt aceia care sunt programati
pentru distrugerea datelor: stergeri, formatari de disc, bruiaj de informatii, modificari in bazele
de date,etc.Uneori, virusii atacau dupa o lunga perioada de somnolenta. De exemplu,” Golden
Gate” nu devine agresiv decat dupa ce a infectat 500 de programe, “Cyber TechB” nu a
actionat, in schimb, decat pana la 31 decembrie 1993.Morala: utilizatorul avizat(si patit)
trebuie sa aiba grija ca periodic sa ruleze programe antivitus.
Cei care sunt iniţiaţi în domeniul viruşilor de calculatoare nu vor avea probabil
dificultăti în a spune dacă un calculator este suspect de a fi infectat cu un virus nou. Viruşii se
pot răspândi nestingheriţi doar atâta timp cât rămân nedetectaţi. Din acest motiv, majoritatea
viruşilor nu îşi manifestă prezenţa în sistem. Numai programele antivirus pot detecta prezenta
unei asemenea infecţii. Există, totuşi, mai multi viruşi, ce îsi fac simţită prezenţa în sistem prin
efectele secundare generate.
Câteva "simptome" specifice calculatoarelor virusate (lista este orientativã, cazurile
reale fiind mult mai numeroase si diverse):
blocări frecvente - majoritatea viruşilor sunt extrem de prost scrişi si blochează calculatorul
extrem de des. Viruşii sunt de altfel cunoscuţi ca cele mai incompatibile programe (exceptând
viruşii multiplatformã, ca de exemplu clasa "Concept" - viruşii de .doc Word);
mesaje ciudate, melodii sau sunete suspecte în difuzor. Mulţi viruţi îşi fac anunţatã prezenţa
prin astfel de efecte;
distrugerile de date sunt alt efect al viruşilor. Dispariţia subită a unui fişier sau erori ale
sistemului de fişiere sunt clasice;
încetinirea accesului la disc este produs de unii viruşi stealth care se interpun între programe şi
sistemul de acces la discuri;
la apăsarea tastelor CTRL+ALT+DEL calculatorul boot-ează instantaneu fără a mai trece prin
ecranul de POST (power on, self test);
la comanda chkdsk majoritatea programelor executabile sunt raportate ca având o lungime
incorectă: efect al unor viruşi stealth;
dimensiunea memoriei afişată de programele specializate este mai mică decât 640Kb. Uneori
acest efect este generat de unele managere de memorie fără a fi vorba de un virus, dar de obicei
indică prezenţa unui virus;
programele de tip self-check raportează cã au fost modificate;
nu mai porneşte Windows sau se raportează că accesul la disc se face prin BIOS;
schimbări ale marcajului de timp al fişierelor;
încărcarea mai grea a programelor;
operarea înceată a calculatorului;
sectoare defecte pe dischete.
Odata ajuns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actioneaza
in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind astfel
considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate
evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de
declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre
ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea
activa,usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea
unor fisiere sau chiar reformatatrea hard disk-ului.
Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au nevoie de o
gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul.
Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza. Atasarea se poate face la
inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie.
In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia
sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.
Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta a
invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de
initializare.
O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de
programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume
de control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot
folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in
care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului.
Concluzii:
aria de actiune; memoria si fisierele de interes;
protectia se mnifesta la primul contact cu orice fisier;
permite dezinfectarea;
nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului de
scanare;
timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere
protejate;
exista alarme false, daca semnatura virusului este prea scurta;
foloseste ca resursa memoria calculatorului;
opereaza automat (ca un TSR).
Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in
program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite
blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu permite
recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor,orice fisier
infectat putand fi detectat. In faza activa,insa metoda este neputicioasa.
prevenirea contaminarii;
detectarea virusului;
eliminarea virusului, cu refacerea contextului initial;
In general, exista doua categorii de programe antivirus:
programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de virusi
recunoscuti;
programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau cele care
par dubioase.
In categoria programelor de vierificare se include cele de tip SCANxxx,unde prin xxx s-a
specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108,
SCAN200.
Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe
monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta verificare,
utilizatorul va incerca aliminarea virusului depistat,prin intermediul programelor CLEARxxx,
prin specificarea numelui virusului; de remarcat ca, folosind acest program, nu exista
certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a localizarii acestora in
locuri care nu pot fi intotdeauna reperate.
În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă
proteja sistemul împotriva viruşilor calculatoarelor :
- nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu sunteţi
sigur că ele sunt fără viruşi (eventual aţi văzut pe altcineva folosind programul fără probleme).
- nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau în
regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încărcaţi niciodată un program transmis de curând pe un sistem de buletine informative,
până când el nu a fost verificat de operatorul de sistem. Când încărcaţi programul, faceţi-o pe un
sistem cu două unităţi de dischetă, astfel încât el să nu se apropie de hard disk.
- nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi.
- cumpăraţi şi folosiţi programe recunoscute de detectare a viruşilor
- instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze fişierele
pe care le copiaţi în calculator.
- instalati un firewall.
- asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente.
- pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat.
- niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut provenit
de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere.
- instalati un program anti-spyware pentru a spori protectia antivirus.
- nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o sursa de
incredere.
- verificati in care certificate ale companiilor software puteti avea incredere.
- folositi o carte de credit numai pentru cumparaturi on-line.
- nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.
BIBLIOGRAFIE :