Viruși informatici

Autor: Oleg Nastas, cl. 7B

 CUPRINS:
1. CE ESTE UN VIRUS DE CALCULATOR?
2. ISTORIA VIRUȘILOR
3. CLASIFICAREA VIRUȘILOR
4. MODUL DE INFECTARE CU VIRUȘI
5. SIMPTOMELE UNUI SISTEM VIRUSAT
6. MODALITAȚI DE PROTECȚIE, PROGRAMELE ANTIVIRUS
 1. CE ESTE UN VIRUS DE CALCULATOR?
Virus - este un program care are funcţii de infectare, distructive si de incorporare a copiilor sale
în interiorul altor programe.
Noţiunea mai generală se referă adesea cu termenul de "virus informatic". Este de fapt un
program care are proprietatea de a se autocopia, astfel încât poate infecta părţi din sistemul de
operare şi/sau programe executabile. Principala caracteristică pentru identificarea unui virus este
aceea că se duplică fără acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică
este relativ bună pentru a descrie acţiunea unui virus informatic în lumea reală.
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii ţin
foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă.
Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Atunci când apar, efectele
sunt diferite, variind de la mesaje glumeţe, la erori în funcţionarea programelor de sistem sau
ştergeri catastrofice a tuturor informaţiilor de pe un hard disk. De aceea nu este indicat să se plece
de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată si cu
cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este uneori
si o activitate de grup, în care sunt selectaţi, antrenaţi si plătiţi cu sume uriaşe specialiştii de înaltă
clasă.

Virusul este caracterizat de următoarele proprietăţi:

 poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod
sau numai a unei părţi speciale din codul său
 modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe
 are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o
nouă modificare a acestuia.
 2. ISTORIA VIRUȘILOR
Istoria viruşilor de calculatoare este lungă şi interesantă. Dar ea a devenit cu adevărat palpitantă
abia din momentul în care a început să se dezvolte industria PC-urilor. Pe măsură ce dezvoltarea
acestor calculatoare noi progresa, a devenit posibilă si accesarea a mai mult de un program într-un
singur computer. În acelaşi timp, s-a manifestat şi o reacţie împotriva a tot ceea ce însemna
computerul. Această tendinţă are rădăcini mai vechi, dar impactul computerelor de tip PC a fost
aşa de mare, încât si reacţiile împotriva acestora au început să se facă mai evidente.

Iată o scurtă dar spectaculoasă evoluţie a fabricării în serie în toate colturile lumii si lansării pe
piaţă a viruşilor:

1949
Sunt puse pentru prima oara bazele teoriilor legate de programele care se autoreproduc.

1981
Virusii Apple 1, 2, si 3 sunt printre primii virusi in lume. Descoperiti in sistemul de operare Apple
II, virusii se raspandesc in Texas A&M prin intermediul jocurilor piratate.

1983
In teza sa de doctorat, Fred Cohen defineste pentru prima oara formal un virus de calculator ca
fiind "un program ce poate afecta alte programe de calculator, modificandu-le intr-un mod care
presupune abordarea unor copii evoluate ale lor."
 2. ISTORIA VIRUȘILOR
1986
Doi programatori Basit si Amjad(frati pakistanezi) au descoperit că un anumit sector dintr-un
floppy disk conţine un cod executabil care funcţiona de câte ori porneau computerul cu discheta
montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un program
propriu. Floppy-urile infectate aveau "© Brain" ca eticheta de disc (volume label). Acest program
putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de pe orice calculator
de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un floppy disc.

1988
Scapă din lesă unul dintre cei mai cunoscuţi viruşi: Jerusalem. Activat în fiecare vineri 13, virusul
afectează fişierele .exe şi .com şi şterge toate programele rulate în cursul acelei zile.

1990
Symantec lansează pe piaţă Norton AntiVirus, unul dintre primele programe antivirus dezvoltate
de către una dintre marile companii.

1991
Tequila este primul virus polimorf cu răspândire pe scara largă găsit "in the wild". Viruşii
polimorfi fac ca detectarea lor de către scanerele de viruşi sa fie dificilă, prin schimbarea modului
de acţiune cu fiecare noua infecţie.

1992
Există 1300 de viruşi, cu aproape 420% mai mulţi decât în decembrie 1990. Previziunile sumbre
ale virusului Michelangelo ameninţă colapsul a circa 5 milioane de calculatoare pe data de 6
martie. Insă doar 5,000-10,000 de calculatoare se întâmplă “să cedeze”.
 2. ISTORIA VIRUȘILOR
1994
Erau inregistrati peste 4000 de virusi.
Farsa de proportii din partea email-ului hoax (alarma falsa) Good Times. Farsa se bazeaza pe
amenintarea unui virus sofisticat care e capabil sa stearga un intreg hard prin simpla deschidere a
emailului al carui subiect este "Good Times". Desi se stie despre ce e vorba, hoasul revine la un
interval de 6-12 luni.

1995
Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de macrovirus,
devenind în scurt timp o adevărată ameninţare, deoarece erau mult mai uşor de fabricat decât
părinţii lor viruşii. Aceştia nu erau adresaţi numai anumitor platforme specifice, precum
Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi folosiţi pentru
orice program, uşurându-se calea de apariţie a cunoscuţilor microvirusi care au infestat fişierele la
acea vreme produsul Lotus AmiPro. Primul dintre macroviruşi a fost cel folosit în Word si Word
Basic.
Word Concept, virus de Microsoft Word, devine unul dintre cei mai raspanditi virusi din anii '90.

1996
In luna iulie a acestui an a aparut si primul microvirus cunoscut sub numele ZM.Laroux care era
destinat distrugerii produsului Microsoft Excel.

1998
StrangeBrew, actualmente inofensiv si totusi raportat, este primul virus care infecteaza fisierele
Java. Virusul modifica fisierele CLASS adaugand la mijlocul acestora o copie a sa si incepand
executarea programului din interiorul sectiunii virusate.
 2. ISTORIA VIRUȘILOR
Virusul Cernobal se raspandeste rapid prin intermediul fisierelor ".exe". Dupa cum o sugereaza si
notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un anumit cip din
interiorul computerelor infectate.

1999
Virusul Melissa, W97M/Melissa, executa un macro dintr-un document atasat emailului, care
transmite mai departe documentul la 50 de adrese existente in Outlook address book. Virusul
infecteaza si documente Word pe care le trimite ca atasamente. Melissa se imprastie mult mai
rapid decat alti virusi anteriori infectand cam 1 milion de calculatoare.
Bubble Boy este primul virus care nu mai depinde de deschiderea atasamentului pentru a se
executa. De indata ce userul deschide email-ul, Bubble Boy se si pune pe treaba.

2000
Love Bug, cunoscut si sub numele de ILOVEYOU se raspandeste via Outlook, asemanator
modului de raspandire al Melissei. Acest virus e primit ca un atasament .VBS, sterge fisiere,
inclusiv MP3, MP2 si JPG si trimite username-uri si parole gasite in sistem autorului virusului.
W97M.Resume.A, o noua varianta a Melissei, este "in the wild". Virusul se comporta cam ca
Melissa, folosindu-se de un macro Word pentru a infecta Outlook-ul si pentru a se raspandi.
Virusul Stages deghizat intr-un email gluma despre etapele vietii, se raspandeste prin Internet.
Deloc specific celorlalti virusi anteriori, Stages este ascuns intr-un atasament cu extensie falsa
.txt, momind utilizatorii sa-l deschida. Pana la aparitia sa, fisierele text erau considerate fisiere
sigure.

2006
Starbucks este un virus care infectează StarOffice și OpenOffice.
 2. ISTORIA VIRUȘILOR
2013
Trojanul Gameover ZeuS este descoperit. Acest tip de virus fură detaliile de autentificare pe site-
urile Web populare care implică tranzacții monetare. Funcționează detectând o pagină de
conectare, apoi procedează la injectarea unui cod rău intenționat în pagină, apăsarea tastei
înregistrând detaliile utilizatorului computerului.

2017
Atacul ransomware WannaCry se răspândește la nivel global.
Atacul Petya (malware) se răspândește la nivel global asupra sistemelor Windows.

In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an. Din 2-3 milioane pe
an doar 2-3 virusi pot face probleme serioase in lume. De cand au aparut virusii, companiile au
pierdut miliarde de dolari . In 2001 pierderi de 12 miliarde, in 2002 pierderi de 25 de miliarde
iar in 2003 - 55 miliarde. Pe 2004 100 miliarde si cifrele cresc in continuare an de an.
 3. CLASIFICAREA VIRUȘILOR
In forma cea mai generala virusi se impart in:

 Virusi hardware
 Virusi software

Virusi hardware sunt mai rar intalniti, acestia fiind de regula livrati odata cu echipamentul.
Majoritatea sunt virusi software, creati de specialistii in informatica, foarte abili si buni
cunoscatori ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si cel
aplicativ.

Din punct de vedere al capacitati de multiplicare virusi se impart in doua categorii:

• Virusi care se reproduc, infecteaza si distrug
• Virusi care nu se reproduc, dar se infiltreaza in sistem si provoaca distrugeri fara sa lase urme
(Worms).

In functie de tipul distrugerilor in sistem se disting:

• Virusi care provoaca distrugerea programelor in care sunt inclusi
• Virusi care nu provoaca distrugeri, dar incomodeaza lucrul cu sistemul de calcul, se manifesta
prin incetinirea vitezei de lucru, blocarea tastaturii, afisarea unor mesaje sau imagini
nejustificate.
• Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi:
distrugerea tablei de alocare a fisierelor de pe hard disk, modificarea continutului directorului
radacina, alocarea integrala si irecuperabila a informatiei existente.
 3. CLASIFICAREA VIRUȘILOR
Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt aproape imposibil
de studiat

In manualul de utilizare al MS-DOS, Microsoft imparte virusii in trei categorii:

 Virusi care infecteaza sistemul de boot
 Virusi care infecteaza fisierele
 Virusi Cal Troian

Ultimii sunt acele programe care aparent au o anumita intrebuintare, dar sunt inzestrati cu
proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata astfel:

Armmati – o forma mai recenta de virusi, care contin proceduri ce implica dezasamblarea si
analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta
antidotul ex.: “Whale”.
Autoecriptori – inglobeaza in corpul lor metode de criptare sofisticare facand detectita destul de
dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare ex.:
“Cascade”.
Camarazii – sunt avantajati de o particularitate a DOS-ului, care executa programele .com
inaintea celor .exe. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. O
data lansat fisierul respectiv, ceea ce se executa nu este fisierul .com, ci fisierul .exe infectat. Acest
lucru determina propagarea virusilor si la alte aplicatii.
Furisati (stealth) – acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel,
comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut, deci
este infectat. Exemplu: “512”, “Atheus”, “Brain”, “Damage”, “Gremlin”, “Holocaust” si
“Telecom”.
 3. CLASIFICAREA VIRUȘILOR
Infectie multipla – cu cativa ani in urma virusi erau repartizati in doua grupuri bine separate: cei
care infectau programele si cei care operau asupra sectorului de boot si a tabelelor de partitii.
Poliformi – sunt cei mai sofisticati virusi dintre cei intalniti pana acum. Un “motor” de mutatii
permite transformarea lor in mii de variante de cod diferite. Exemplu: “Andre”, “Cheeba”, “Dark
Avenger”, “Phoenix 2000”, “Maltese Fish” etc.
Virusi ai sectorului de boot ai tabelelor de partitii – ei infecteaza si/sau cealalta dintre aceste zone
critice ale dischetei sau hard disk –ului. Infectarea sectorului de boot este periculoasa, deoarece la
pornirea calculatorului codul special MBP (Master Boot Program) de per discheta de executie inainte
de DOS. Daca acolo este present un virus, s-ar putea sa nu fie reperabil. Tabelele de partitii contin
informatii despre organizarea structurii discului, ele ne putand fi contaminate ci doar stricate.
Majoritatea antivirusilor actuali pot detecta o infectie in MBP, propunand in general suprimarea
MBP-ului si inlocuirea lui cu oforma sanatoasa. Exemplu: ”Alameda”, “Asthar”, “Bloodie”,
“Cannabis”, “Choos”.
 4. MODUL DE INFECTARE CU VIRUȘI
Mecanismul de contaminare clasic consta in ramanerea rezistenta in memoria interna a secventei
purtatoare a virusului, ascunsa intr-un program care se executa. Programul modificat prin actiunea
virusului cu de virus incorporata, este salvat pe discul care a fost lansat, constituind la randul sau un
nou purtator de virus. Virusarea este relativ rapida, avand ca efect infectarea tuturor programelor
lansate in executie, atat timp cat virusul este rezident in memoria interna.

O tehnica mai evoluata de contaminare conta in introducerea secventei de program ce contine virusul,
in urma procesului de instalare a unui produs; in momentul instalari produsului, acestuia I se adauga
instructiuni intr-o secventa ce defineste un cod de virus.

Cele mai vulnerabile fisiere sunt fisierele executabile de tip .exe si .com, deoarece acestea contin
programele in forma executabila, care se incarca in memoria interna pentru executie, unde se
localizeaza, initial virusul; deasemenea, pentru a patrunde in zonele protejate ale sistemului, virusul
are nevoie de drepturi de acces per care nu le are, in timp ce programul per care s-a implantat ii mai
gireaza aceste drepturi, fara ca utilizatorul sa aiba cunostinta de acest lucru.
 5. SIMPTOMELE UNUI SISTEM VIRUSAT
Câteva "simptome" specifice calculatoarelor virusate (lista este orientativã, cazurile reale fiind mult mai
numeroase si diverse):
 fişierele sistem cresc în lungime (de exemplu în DOS 6.20 fişierul command.com are 54619 octeţi,
iar pe un calculator virusat el poate avea, să zicem cu 1200 de octeţi mai mult, respectiv 55819);
 blocări frecvente - majoritatea viruşilor sunt extrem de prost scrişi si blochează calculatorul extrem
de des. Viruşii sunt de altfel cunoscuţi ca cele mai incompatibile programe (exceptând viruşii
multiplatformã, ca de exemplu clasa "Concept" - viruşii de .doc Word);
 mesaje ciudate, melodii sau sunete suspecte în difuzor. Mulţi viruţi îşi fac anunţatã prezenţa prin
astfel de efecte;
 distrugerile de date sunt alt efect al viruşilor. Dispariţia subită a unui fişier sau erori ale sistemului de
fişiere sunt clasice;
 încetinirea accesului la disc este produs de unii viruşi stealth care se interpun între programe şi
sistemul de acces la discuri;
 la apăsarea tastelor CTRL+ALT+DEL calculatorul boot-ează instantaneu fără a mai trece prin
ecranul de POST (power on, self test);
 la comanda chkdsk majoritatea programelor executabile sunt raportate ca având o lungime incorectă:
efect al unor viruşi stealth;
 dimensiunea memoriei afişată de programele specializate este mai mică decât 640Kb. Uneori acest
efect este generat de unele managere de memorie fără a fi vorba de un virus, dar de obicei indică
prezenţa unui virus;
 programele de tip self-check raportează cã au fost modificate;
 nu mai porneşte Windows sau se raportează că accesul la disc se face prin BIOS;
 schimbări ale marcajului de timp al fişierelor;
 încărcarea mai grea a programelor;
 operarea înceată a calculatorului;
 6. MODALITAȚI DE PROTECȚIE, PROGRAMELE ANTIVIRUS
O data ajuns in calculator, pentru a-si indeplini in mod efficient scopul, virusul actioneaza in doua etape.
In prima faza de multiplicare, virusul se reproduce marind astfel potentialul pentru infectari ulterioare,
din exterior nu se observa nici o activitate. O parte a codului de virus testeaza constant daca au fost
indeplinite conditiile de declansare (rularea de un numar de ori a unui program, atingerea unei anumite
date de catre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc.).
Urmatoarea faza este cea activa, usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de
per ecran, stergerea unor fisiere sau chiar reformarea hard disk-ului.
Per langa fisierele executabile sunt atacate si datele de baza. Desi virusii au nevoie de o gazda pentru a
putea supravietui, modul de coexistenta cu ea este diferit de la un virus la altul. Exista virusi paraziti
care nu alerteaza codul gazdei, ci doar se ataseaza. Atasarease poate face la inceputul, la sfarsitul, sau la
mijlocul codului gazda, ca o subrutina proprie. In contact cu acestia, altii se inscriu pur si simplu per o
parte din codul gazdei.Acestia sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de
recuperat.
Pentru ca virusul sa se extinda, codul trebuie sa fie executat fie ca urmare indirecta a invocarii de catre
utilizator, a unui program infect, fie direct, ca facand parte din secventa de initializare.
Virusii care se imultesc din ce in ce mai mult, polifereaza datorita urmatorilor factori:

 Punerea in circulatie, prin retele internationale a unei colectii de programe, sursa de virusi, per baza
carora s-au scris mai multe variante de noi virusi.
 Aparitia si punerea si punerea in circulatie a unor pachete de programe specializate pentru generarea
de virusi. Doua dintre acestea sunt: Man’s VCL (Nuke) si PC-MPC de la Phalcon/Skim; ambele au
fost puse in circulatie in 1992.
 6. MODALITAȚI DE PROTECȚIE, PROGRAMELE ANTIVIRUS
 Raspandirea BBS-urilor (Buletin Board System), care permit orcarui utilizator sa transmita
programe spre si dinspre calculator. Un sistem este lipsit devirusi daca in memorie nu este rezident
sau ascuns nici un virus, iar programele care se ruleaza sunt curate. In aceasta conceptie, programul
antivirus vireaza atat memoria calculatoarelor, cat si programele executabile.
Cum in practica nu poate fi evidenta importarea de fisiere virusate, metodele antivirus cauta sa asigure
protectie in anumite cazuri si anume:
 la un prim contact cu un program, in care se recunoaste semnatura virusului, se foloseste scanarea.
Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi carecteristice
virusilor din biblioteca programului de scanare;
 daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de control. Aceste
sume constituie o semnatura a programului, si orice modificare a lui va duce la o modificare a sumei
sale de control;
 in calculator exista o serie de programe care nu se modifica, reprezentand zestrea de soft a
calculatorului, care se protejeaza pur si simplu la scriere.
Scanarea - se aplica preventiv la prelucrarea fisierelor din afara sistemului, deci este utila in faza
primara la raspandire a virusilor. Ea poate fi salvatoare chiar daca se aplica ulterior de pe o discheta
sistem curata in faza activa deoarece in numeroase cazuri poate recupera fisierele infectate.
TOP Programe Antivirus 2020