REFERAT

VIRUȘII INFORMATICII

Ce este un virus de calculator ?

 Virus (Virus) - este un program care are funcţii de infectare, distructive si de
incorporare a copiilor sale în interiorul altor programe. Noţiunea mai generală se referă adesea
cu termenul de "virus informatic". Este de fapt un program care are proprietatea de a se
autocopia, astfel încât poate infecta părţi din sistemul de operare şi/sau programe executabile.
Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără
acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică este relativ bună pentru
a descrie acţiunea unui virus informatic în lumea reală.
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii
ţin foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă.
Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Atunci când apar,
efectele sunt diferite, variind de la mesaje glumeţe, la erori în funcţionarea programelor de
sistem sau ştergeri catastrofice a tuturor informaţiilor de pe un hard disk. De aceea nu este
indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată
si cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este
uneori si o activitate de grup, în care sunt selectaţi, antrenaţi si plătiţi cu sume uriaşe specialiştii
de înaltă clasă.
Există programatori care susţin că pot construi viruşi ce nu pot fi detectaţi si distruşi. Este cazul
unui grup de programatori polonezi care au anunţat pe Internet, în urmă cu câţiva ani, că pot
construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, conţinea câteva idei
interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap
utilizatorilor de servicii Internet. Supăraţi de faptul că lumea a exagerat atât de mult cu costurile
pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceşti programatori
intenţionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare".

Virusul este caracterizat de următoarele proprietăţi:

 - poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a
întregului cod sau numai a unei părţi speciale din codul său
 - modificările pot fi provocate nu numai programelor, ci si unor grupuri de
programe
 are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a
putea interzice o nouă modificare a acestuia.

Clasificarea virusilor
 Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o
proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau
fapte ilegale de şantaj si constrângere. In septembrie 1989 existau cam două duzini de viruşi.
Fiecare dintre aceştia avea variante: mici modificări în codul viral sau schimbarea mesajelor
afişate. De exemplu, virusul 17Y4 diferă de virusul 1704 doar cu un octet. În mai 1998 existau
aproximativ 20.000 de viruşi (zilnic apar 3 noi viruşi).
O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite
criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de
declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi.

o In forma cea mai generala virusii se impart in:

 Virusi hardware
 Virusi software

Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu
echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria.
Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si buni
cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si
cel aplicativ.

Cateva dintre efectele pe care le genereaza virusii software:

 distrugerea unor fişiere;
 modificarea dimensiunii fişierelor;
 ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;
 distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii
informaţiei de pe disc;
 diverse efecte grafice/sonore inofensive;
 încetinirea vitezei de lucru a calculatorului pana la bloc.
 Virusii se mai pot imparti in doua mari categorii:

 Virusi de BOOT
 Virusi de fisiere
 Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar
aceştia sunt în număr foarte mic.
Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului de
operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice disc logic
al hard discului şi orice dischetă care se introduce în unitatea de dischete. Tot în această
categorie intra şi viruşii care infectează tabela de partiţii a hard discului. Găsindu-se în tabela de
partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.
Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM. Cînd
programul infectat este rulat, virusul se activează rămînînd de cele mai multe ori rezident în
memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi numai atît, ar fi
simplu ! Din păcate viruşii de fişiere sunt de mai multe tipuri. Pînă acum am descris tipul
"clasic".

Viruşii mai pot fi clasificaţi după următoarele criterii:

După modul de infectare:

 viruşi care infectează fişierele cînd un program infectat este rulat;
 viruşi care rămîn rezidenţi în memorie cînd un program infectat este rulat şi infectează apoi
toate programele lansate în execuţie

Din punct de vedere al capacitatii de multiplicare:

 Virusi care se reproduc, infecteaza si distrug;
 Virusi care nu se reproduc, dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase
urme(Worms).

In functie de tipul distrugerilor in sistem:

 Virusi care provoaca distrugerea programului in care sunt inclusi;
 Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul se manifesta
prin incetinirea vitezei de lucru, blocarea tastaturii, reinitializarea aleatorie a sistemului,
afisarea unor mesaje sau imagini nejustificate;
 Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi:
distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului
radacina, alterarea integrala si irecuperabila a informatiei existente.
 Dupa pozitia in cadrul fisierului infectat:
 viruşi care suprascriu fişierul, nemodificîndu-i lungimea (anumiţi viruşi suprascriu numai
zonele rezervate datelor pentru a nu împiedica funcţionarea programului - aceştia se numesc
viruşi de cavitate);
 viruşi care îşi adaugă codul la sfîrşitul programului;
 viruşi care îşi adaugă codul la începutul programului

După viteza de infectare:

 viruşi rapizi (fast infector), care infectează toate fişierele care sunt descrise (chiar prin scanare
fişierele pot fi infectate);
 viruşi lenţi, care infectează numai programele care sunt lansate în execuţie.

Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt
aproape imposibil de studiat
Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele volumului
dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512 octetil “Data crime”
si “Vienna” se semnau prin respectiv 1168 si 648 octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au
reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
sa infecteze un program, fara ca alterarea sa fie prea ostentativa.
Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze
mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte
prea dramatice.
De exemplu:
Virusul ” KeyPress” duce la aparitia pe ecran a sirului “AAAAA”, daca se apasa tasta “A”.
Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele de
muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love You" sau
"Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere importante
trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua mamei sau cu
subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt mail-uri de la
companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi scapat de virusi insa, de
fapt, ti-i dadea.
 Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat numele
dupa o boala care este transmisa de catre sobolani. HPS il face pe cel infectat sa aiba probleme
respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul HPS a fost
lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. Interesant este ca
acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie lansat pe piata.
Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand primele
sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea altceva decat sa
afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana". Insa unele dintre cele
90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii, Rostov, Smithsonian,
StonedMutation) reuseau pana la urma sa-ti blocheze computerul.

Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca iti
infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu
atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se infiltra in
computerele tuturor curiosilor care deschideau aceste fisiere.
Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus la
inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi piratat.
Dar s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub diferite nume ca
Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa pakistaneza acest virus
infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in fisierele infectate. Mai
manca si 7 KB din memoria computerului facandu-l sa meraga foarte greu. Se pare ca cei doi
frati nu mintisera cand au zis ca a fost totul o greseala, pentru ca si-au facut publice numele,
adresele, numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i
contacteze pentru vaccin.
Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat cele
mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei care erau
infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in mici cranii si
oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea sau sa primeasca
telefoane, celelalte functii inteligente fiind neoperabile.
Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in 2004
pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul), joc creat
special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea mesaje text cu
preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul
lucru era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in neregula cu mobilul pana
nu-ti venea prima factura exorbitanta. Cei mai neplacuti virusi sunt aceia care sunt programati
 pentru distrugerea datelor: stergeri, formatari de disc, bruiaj de informatii, modificari in bazele
de date,etc.Uneori, virusii atacau dupa o lunga perioada de somnolenta. De exemplu,” Golden
Gate” nu devine agresiv decat dupa ce a infectat 500 de programe, “Cyber TechB” nu a
actionat, in schimb, decat pana la 31 decembrie 1993.Morala: utilizatorul avizat(si patit)
trebuie sa aiba grija ca periodic sa ruleze programe antivitus.

Care sunt simptomele unui sistem virusat?

Cei care sunt iniţiaţi în domeniul viruşilor de calculatoare nu vor avea probabil
dificultăti în a spune dacă un calculator este suspect de a fi infectat cu un virus nou. Viruşii se
pot răspândi nestingheriţi doar atâta timp cât rămân nedetectaţi. Din acest motiv, majoritatea
viruşilor nu îşi manifestă prezenţa în sistem. Numai programele antivirus pot detecta prezenta
unei asemenea infecţii. Există, totuşi, mai multi viruşi, ce îsi fac simţită prezenţa în sistem prin
efectele secundare generate.
Câteva "simptome" specifice calculatoarelor virusate (lista este orientativã, cazurile
reale fiind mult mai numeroase si diverse):
 blocări frecvente - majoritatea viruşilor sunt extrem de prost scrişi si blochează calculatorul
extrem de des. Viruşii sunt de altfel cunoscuţi ca cele mai incompatibile programe (exceptând
viruşii multiplatformã, ca de exemplu clasa "Concept" - viruşii de .doc Word);
 mesaje ciudate, melodii sau sunete suspecte în difuzor. Mulţi viruţi îşi fac anunţatã prezenţa
prin astfel de efecte;
 distrugerile de date sunt alt efect al viruşilor. Dispariţia subită a unui fişier sau erori ale
sistemului de fişiere sunt clasice;
 încetinirea accesului la disc este produs de unii viruşi stealth care se interpun între programe şi
sistemul de acces la discuri;
 la apăsarea tastelor CTRL+ALT+DEL calculatorul boot-ează instantaneu fără a mai trece prin
ecranul de POST (power on, self test);
 la comanda chkdsk majoritatea programelor executabile sunt raportate ca având o lungime
incorectă: efect al unor viruşi stealth;
 dimensiunea memoriei afişată de programele specializate este mai mică decât 640Kb. Uneori
acest efect este generat de unele managere de memorie fără a fi vorba de un virus, dar de obicei
indică prezenţa unui virus;
 programele de tip self-check raportează cã au fost modificate;
 nu mai porneşte Windows sau se raportează că accesul la disc se face prin BIOS;
 schimbări ale marcajului de timp al fişierelor;
 încărcarea mai grea a programelor;
 operarea înceată a calculatorului;
 sectoare defecte pe dischete.

Modalitati de protectie. Programe antivirus

Odata ajuns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actioneaza
in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind astfel
considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate
evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de
declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre
ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea
activa,usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea
unor fisiere sau chiar reformatatrea hard disk-ului.
Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au nevoie de o
gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul.
Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza. Atasarea se poate face la
inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie.
In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia
sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.
Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta a
invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de
initializare.
O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de
programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume
de control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot
folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in
care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului.

Virusii care se inmultesc din ce in ce mai mult, polifereaza datorita urmatorilor

factori:
  Punerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi,
pe baza carora s-au scris mai multe variante de noi virusi
 Aparitia si punerea in circulatie, cu documentatie sursa completa, a unor pachete de
programe specializate pentru generarea de virusi. Doua dintre acestea sunt Man’s VCL
(Nuke) si PC-MPC de la Phalcon/Skim; ambele au fost puse in circulatie in 1992.
 Distribuirea in 1992, via BBS-ului bulgar, a programului MTE - “ masina de produs
mutatii”- conceput de Dark Avenger din Sofia. Acest program este insotit de o
documentatie de utilizare suficient de detaliata si de un virus simplu, didactic.
 Link-editarea unui virus existent cu MTE si un generator de numere aleatoare duce la
transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si schimba
secventa de instructiuni la fiecare multiplicare, functia de baza ramanand nealterata,dar
devenind practic de nedectat prin scanare
 Raspandirea BBS-urilor (Bulletin Board System), care permit oricarui utilizator Pc dotat cu
un modem sa transmita programe spre si dinspre un calculator. Un sitem este lipsit de
virusi, daca in memorie nu este rezident sau ascuns nici un virus,iar programele care se
ruleaza sunt curate. In aceasta conceptie, programul antivirus vizeaza atat memoria
calculatoarelor, cat si programele executabile. Cum in practica nu poate fi evitata
importarea de fisiere virusate, metode antivirus cauta sa asigure protectie in anumite cazuri
perticulare, si anume:
 la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste
scanarea. Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi
caracateristice virusilor din biblioteca programului de scanare;
 daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de
control. Aceste sume constituie o semnatura a programului si orice modificare a lui va duce
la o modificare a sumei sale de control;
 in calculator exista o serie de programe care nu se modifica, reprezentand zestrea se soft a
calculatorului, care se protejeaza pur si simplu la scriere.
 Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in
faza primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior
(de pe o discheta sistem curata), in faza activa, deoarece in numeroase cazuri poate
recupera fisierele infectate.

Concluzii:
 aria de actiune; memoria si fisierele de interes;
 protectia se mnifesta la primul contact cu orice fisier;
 permite dezinfectarea;
 nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului de
scanare;
 timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere
protejate;
 exista alarme false, daca semnatura virusului este prea scurta;
 foloseste ca resursa memoria calculatorului;
 opereaza automat (ca un TSR).
Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in
program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite
blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu permite
recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor,orice fisier
infectat putand fi detectat. In faza activa,insa metoda este neputicioasa.

Programele de protectie-programe antivirus- au rolul de a realiza simultan urmatoarele

activitati:

 prevenirea contaminarii;
 detectarea virusului;
 eliminarea virusului, cu refacerea contextului initial;
In general, exista doua categorii de programe antivirus:
 programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de virusi
recunoscuti;
 programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau cele care
par dubioase.
In categoria programelor de vierificare se include cele de tip SCANxxx,unde prin xxx s-a
specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108,
SCAN200.
Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe
monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta verificare,
utilizatorul va incerca aliminarea virusului depistat,prin intermediul programelor CLEARxxx,
prin specificarea numelui virusului; de remarcat ca, folosind acest program, nu exista
 certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a localizarii acestora in
locuri care nu pot fi intotdeauna reperate.
În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă
proteja sistemul împotriva viruşilor calculatoarelor :
- nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu sunteţi
sigur că ele sunt fără viruşi (eventual aţi văzut pe altcineva folosind programul fără probleme).
- nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau în
regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încărcaţi niciodată un program transmis de curând pe un sistem de buletine informative,
până când el nu a fost verificat de operatorul de sistem. Când încărcaţi programul, faceţi-o pe un
sistem cu două unităţi de dischetă, astfel încât el să nu se apropie de hard disk.
- nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi.
- cumpăraţi şi folosiţi programe recunoscute de detectare a viruşilor
- instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze fişierele
pe care le copiaţi în calculator.
- instalati un firewall.
- asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente.
- pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat.
- niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut provenit
de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere.
- instalati un program anti-spyware pentru a spori protectia antivirus.
- nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o sursa de
incredere.
- verificati in care certificate ale companiilor software puteti avea incredere.
- folositi o carte de credit numai pentru cumparaturi on-line.
- nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.

BIBLIOGRAFIE :

 Primii Pasi in securitatea retelelor - Tom Thomas

 Computer Viruses - Dr. Frederick B. Cohen
 http://ro.wikipedia.org/wiki/Virus_informatic
 www.computerworld.ro
 arhiva.wall-street.ro