VIRUSI SI ANTIVIRUSI

Virusul informatic sau virus de calculator - este un program malware de dimensiuni mici

care în general se instalează singur, fără voia utilizatorului, atașându-se altor programe și
poate provoca pagube atât în sistemul de operare cât și în elementele hardware (fizice)
ale computerului.
În general, cei care concep viruși de calculator sunt programatori cu experiență și cunoștințe
avansate în limbajul de programare pe care îl folosesc.

În ultimii ani, virușii de calculator au fost aproape complet înlocuiți de viermii informatici.

Sistemul de operare utilizat are un impact major asupra probabilității unei infecții locale sau
la nivelul întregului sistem. Practic, orice sistem de operare este vulnerabil dacă permite unui
program să manipuleze un alt fișier. Deoarece sistemele Windows dețin cea mai mare
distribuție pe PC-uri, acestea sunt în prezent ținta principală a virușilor. Deși sunt cunoscuți
peste 100.000 de viruși pentru sistemele Windows, numărul de viruși pentru Linux și Mac
OS este mult mai mic.

Caracterisitici

Scopul principal al unui virus de calculator este coruperea sistemului de operare și/sau
distrugerea datelor. Ei pot infecta fișierele de date sau chiar sectorul de boot al unității hard
disk.
Câteva dintre efectele pe care le generează virușii sunt:

 distrugerea unor fișiere

  modificarea dimensiunii fișierelor prin inserarea în acestea a întregului cod sau numai
a unei părți speciale din codul său; modificările pot fi provocate nu numai
programelor, ci și unor grupuri de programe.

 poate să recunoască dacă un program a fost deja infectat pentru a interzice o nouă
modificare a acestuia
 poate să recunoască dacă un program a fost deja infectat pentru a interzice o nouă
modificare a acestuia
 ștergerea totală a informaților de pe disc, inclusiv formatarea acestuia
 distrugerea tabelei de alocare a fișierelor, care duce la imposibilitatea citirii
informației de pe disc
 diverse efecte grafice/sonore, inofensive sau și dăunătoare
 încetinirea vitezei de lucru (utilă) a calculatorului, până la blocarea acestuia
 înmulțirea fișierelor până la umplerea memoriei
 ascunderea fișierelor și blocarea anumitor spații.

Viruși software - afectează fișierele și programele aflate în memorie sau pe disc, inclusiv
sistemul de operare sau componente ale acestuia. Virușii de fișiere se fixează de regulă pe
fișierele cu extensia .BIN, .COM, .EXE, .OVL, .DRV, .SYS. Cei mai mulți dintre virușii de fișiere
actuali sunt poliformi. Ei sunt codificați, conținînd doar o mică parte - modulul de
decodificare - necodificată. În momentul activării virusului, modulul de decodificare intră în
acțiune și decodifică restul virusului. Folosind un generator de numere pseudoaleatoare
acest modul își schimbă algoritmul de codificare la fiecare infectare a unui fișier, modificînd
modulul de decodificare (exemple: Sunday, Cascade.)

Acestia pot fi:

o Viruși de boot - sunt printre cei mai vechi viruși de calculator. Se încarcă în
memorie înaintea sistemului de operare, transferă conținutul de boot în alt
sector, amestecă datele. Poate infecta orice partiție a hard discului. Nu sunt
foarte frecvenți în prezent, afectează PC-uri vechi, cu floppy. (ex: Polyboot.B și
AntiEXE, Form, Disk Killer, Michelangelo, Stone).
o Viruși de legătură - sau viruși de fișiere sunt cel mai frecvent tip de virus. Ei
infectează fișiere executabile sau biblioteci de programe de pe un sistem de
operare. Virușii de legătură nu modifică conținutul însuși al fișierelor
executabile, însă alterează structura de directoare.

o Virus cu infecție multiplă - este un virus care infectează atât sectorul de boot,
cât și fișierele executabile. Acest tip de virus se atașează la fișierele
executabile, dar își plasează codul și în sistemul de operare, de obicei în MBR
sau în sectoarele ascunse. Un virus cu infecție multiplă devine activ dacă un
fișier infectat este executat sau dacă PC-ul este încărcat de pe un disc infectat
(ex. Ghostball, Invader, Flip).

o Viruși de atac binar - sunt viruși care operează în sistemul "cal troian",
conținând doar câțiva biți pentru a se putea lega de sistem, restul fiind de
regulă mascat ca un “program neexecutabil”.

o Viruși de macro - infectează documente, nu programe. Ei pot infecta numai

documentele create cu programe care folosesc limbaje macro (Word, Excel).
Un exemplu de limbaj macro este WordBasic, care este inclus оn Microsoft
Word (ex: O97M/Y2K, Bablas, Melissa.A, Relax).

o Virus companion - este un virus care infectează fișiere de tip .EXE prin crearea
unui fișier .COM având același nume și conținând codul viral. El speculează o
anumită caracteristică a sistemului DOS prin care, dacă două programe, unul
de tip .EXE și celălalt de tip .COM, au același nume, atunci se execută mai întâi
fișierul de tip .COM.
o Virus polimorf - virus care se poate reconfigura în mod automat, pentru a
ocoli sistemele de protecție. Virusurile polimorfe utilizează o metodă specială
de codare sau criptare de fiecare dată când infectează un sistem. (ex: Satan
Bug, Elkern, Tuareg, Marburg, Involuntary, Stimulate, Cascade, Phoenix, Evil,
Proud, Virus 101, DMV, Nuclear, Word Concept).

o Virus detașabil - este un virus care se desprinde de fișierul infectat exact

înaintea deschiderii sau execuției acestuia și se reatașează atunci când
programul este închis sau se termină. Această tehnică numită stealth este
foarte eficientă împotriva multor programe de scanare, deoarece programul
de scanare va vedea un fișier „curat”.

o Virus morfic - care își schimbă constant codul de programare și configurare în

scopul evitării unei structuri stabile care ar putea fi ușor identificată și
eliminată.

o Virus parazit - este un virus informatic, care se atașează fie la începutul

programului, fie la sfârșitul său, ori poate chiar să suprascrie o parte din codul
programului. Virușii paraziți pot fi rezidenți și nerezidenți.

o Virus rezident - este un virus care se autoinstalează în memorie, astfel încât,

chiar mult timp după ce un program infectat a fost executat, el poate încă să
infecteze un fișier, să invoce o rutină de declanșare a unei anumite acțiuni sau
să monitorizeze activitatea sistemului. Aproape toți virușii care infectează
MBR-ul sunt viruși rezidenți (ex: CMJ, Meve, MrKlunky, Randex).

o Virus nerezident - este opusul virusului rezident. Virușii nerezidenți în

memorie nu rămân activi după ce programul infectat a fost executat. Ei
 operează după un mecanism simplu si infectează doar executabilele atunci
când un program infectat se execută. Acțiunea tipică a unui astfel de virus
este de a căuta un fișier gazdă atunci când fișierul infectat se execută, să-l
infecteze și apoi să redea controlul programului gazdă.

o Virus criptografic - un virus care se infiltrează în memoria sistemului și

permite folosirea absolut normală a intrărilor și transmiterilor de date, având
proprietatea că, la o anumită dată, se autodistruge, distrugând în același timp
toate datele din sistem și făcându-l inutilizabil. Un astfel de atac poate fi
activat sau anihilat de la distanță chiar de către emițător.

Viruși hardware - care produc un atac strict orientat spre hardware (PDoS - Permanent
Denial-of-Service) cum ar fi routere, module de memorie, placă grafică, și placă de bază, disc
dur. Exemple de atacuri hardware:

 upgrade de firmware la o versiune greșită sau nevalidă în mod intenționat, ducând

astfel la blocarea dispozitivului
 limitarea memoriei flash
 overclocking prin intermediul software-ului la placa grafică și placa de bază, care
poate suprasolicita componentele
 blocarea hard disk-urilor din cauza anumitor comenzi neoficiale ATA
 reducerea vitezei ventilatorului pentru a cauza supraîncălzirea componentelor.

Viruși pe sistemele Linux

xistă viruși de calculator și pentru sisteme de operare altele decât Microsoft Windows, cum
ar fi Linux, Mac OS și BSD, însă datorită modului în care sunt instalate, este dificil pentru
viruși să se instaleze în sistemele Unix/Linux. Aceasta deoarece conturile de utilizator se
execută pe baza unor privilegii foarte stricte, iar fișierele sunt greu de accesat de către viruși.
De asemenea, sistemele Unix/Linux se actualizează extrem de frecvent, astfel încât
eventualele defecte sunt reparate aproape imediat. Un alt motiv este prevalența mai redusă
a acestor platforme, distribuția acestora fiind la începutul lui 2009 de aproximativ 5%.
Majoritatea acestor viruși infectează sistemele de fișiere ELF (Executable and Linkable
Format). (exemple: Staog, Bliss, Alaeda, Koobface, Kaiten, OSF.8759, Ramen, Zipworm).
Sistemele Unix/Linux sunt acum o țintă comună a atacurilor cu viruși datorită cotei de piață
ridicate a serverelor web, e-mail și proxy.

Viruși de telefonie mobilă

Primii viruși care au vizat telefonia mobilă au fost Cabir apărut în 2004 și CommWarrior în
2005 prin conexiuni Bluetooth. Acești viruși atacau sistemul de operare Symbian, cel mai
răspândit sistem de operare pentru telefoane mobile de atunci.

Odată cu apariția sistemului de operare Android, virușii vizează smartphone-uri și tablete

Android. Unele tipuri de infecții pot afișa anunțuri intruzive sau pot fi redirecționate către
site-uri suspecte, în timp ce amenințări mai grave, cum ar fi troieni, sau atacuri DoS, pot
prelua controlul dispozitivului, obține acces root, descărca alte programe malware și elimina
complet programul antivirus de pe telefon.

Rata de infectare a sistemului Android a înregistrat 116,5 milioane de infecții numai în 2018.

Protecție antivirus
Ca regulă generală, utilizatorii nu ar trebui să ruleze fișiere sau programe necunoscute din
surse nesigure, în special fișierele primite prin e-mail. Sistemul de operare și aplicațiile ar
trebui să fie actualizate în mod regulat, iar pachetele de servicii furnizate de producător
(patch-urile și remedieri) ar trebui să fie încărcate imediat.

Programe antivirus
O infecție cu virus poate fi prevenită prin instalarea unui program antivirus, de scanare a
conținutului de pe hard disk, care ar trebui actualizat în mod regulat cu semnăturile noilor
viruși. De asemenea, ar trebui implementat un firewall. Programele antivirus oferă de obicei
două moduri de funcționare: unul manual în care programul verifică toate fișierele o singură
dată la cererea utilizatorului și unul automat.

Modul de denumire a virușilor informatici

Lipsa unei denumiri comune pentru același virus, induce confuzie în rândul utilizatorilor, care
află de noua amenințare din media sau din Internet, dar nu o regăsesc și în lista
amenințărilor recunoscute de propria aplicație antivirus deoarece are altă denumire.

În funcție de compania producătoare de soluții antivirus, malware-ul poate avea mai multe
denumiri. În mod normal, denumirea virusului este un substantiv comun ușor de memorat.
Atunci când o nouă amenințare malware este descoperită, prima prioritate a unei companii
producătoare de soluții antivirus, este de a produce o contramăsură eficientă și cea de a
doua este de a-i da un nume.

Deși există recomandări pentru modalitatea de denumire a unei amenințări malware,

producătorii de soluții antivirus nu le respectă datorită faptului că mențin baze de date
separate ce conțin denumirile și efectele amenințărilor malware.

Pentru a putea corela denumirile amenințărilor malware între diferiți producători, există
baze de date ce pot fi consultate pe Internet. Una din aceste baze de date este realizată cu o
aplicație software denumită VGrep.

VGrep este un sistem conceput pentru a ajuta la clarificarea confuziilor din jurul denumirii
virușilor informatici. Funcționează rulând scanere într-o colecție mare de fișiere infectate cu
virus și analizând ieșirea lor într-o bază de date. [9][10]

De exemplu, rezultatele interogării bazei de date VGrep pentru malware-ul Generic.dx

detectat de McAfee este următorul:

 Alwil=[undetected]
 Avira=[undetected]
 AVG(Grisoft)=[undetected]
 SOFTWIN=Adware.Relevance.I
 Frisk Software=W32/Adware.OEK
 McAfee=application Adware-Relevance
 IKARUS=not-a-virus:AdWare.Win32.WinAD
 Microsoft=[undetected]
 Symantec=Spyware.Relevancy
 Norman=W32/Relevance.H
 Trend Micro=Adware_Relevance
 CA VET=[undetected]
 VirusBuster=Adware.Relevance.D

Produsele antivirus cu ajutorul cărora s-a făcut corelarea sunt:

 ALWIL avast! ashCmd 4.8/081127-127-Nov-2008

  Avira AntiVir/Win32-Console Version 7.4.0.1527-Nov-2008
 GRISoft AVG 7.5.516/181627-Nov-2008
 SOFTWIN BitDefender BDSCAN 1.0127-Nov-2008
 Frisk Software FPCMD 4.4.427-Nov-2008
 McAfee Scan 5.20.027-Nov-2008
 IKARUS T3SCAN V1.32.4 T3 V1.01.4427-Nov-2008
 Microsoft MP CL 1.410427-Nov-2008
 Symantec SAVCLS 1.0.0.127-Nov-2008
 NormanNVCC 5.99.0227-Nov-2008
 Trend Micro VSCANTM 3.00-1009/67926-Nov-2008
 CA VET RESCUE 8.3.0.027-Nov-2008
 VirusBuster vbscan 1.4.3 4.5.11/10.94.827-Nov-2008

La o interogare ulterioară a VGrep, rezultatul poate fi diferit funcție de modificările aduse

bazei de date.