REFERAT

VIRUȘI INFORMATICI ȘI ANTIVIRUȘI

Movila Bogdan
 Virus (Virus) - este un program care are funcţii de infectare, distructive si de
incorporare a copiilor sale în interiorul altor programe. Noţiunea mai generală se referă
adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea
de a se autocopia, astfel încât poate infecta pă rţi din sistemul de operare şi/sau programe
executabile. Probabil că principala caracteristică pentru identificarea unui virus este aceea
că se duplică fă ră acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică
este relativ bună pentru a descrie acţiunea unui virus informatic în lumea reală .
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă , întrucât
autorii ţin foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă .
Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Atunci când
apar, efectele sunt diferite, variind de la mesaje glumeţe, la erori în funcţionarea
programelor de sistem sau ştergeri catastrofice a tuturor informaţiilor de pe un hard disk.
De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult
decât o glumă .
În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă
bogată si cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea
de viruşi este uneori si o activitate de grup, în care sunt selectaţi, antrenaţi si plă tiţi cu
sume uriaşe specialiştii de înaltă clasă .
Există programatori care susţin că pot construi viruşi ce nu pot fi detectaţi si distruşi. Este
cazul unui grup de programatori polonezi care au anunţat pe Internet, în urmă cu câţiva
ani, că pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, conţinea
câteva idei interesante care, dacă ar fi fost duse la capă t, probabil că ar fi dat multă bă taie
de cap utilizatorilor de servicii Internet. Supă raţi de faptul că lumea a exagerat atât de
mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You",
aceşti programatori intenţionau să demonstreze întregii lumi că nu acest mult prea mediat
virus este cel mai "tare".
Virusul este caracterizat de urmă toarele proprietă ţi:
- poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a întregului
cod sau numai a unei pă rţi speciale din codul să u
- modifică rile pot fi provocate nu numai programelor, ci si unor grupuri de programe
- are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea
interzice o nouă modificare a acestuia.
Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o
proiectare corespunză toare a pă rţii distructive, cu ei pot fi realizate si delicte de spionaj
sau fapte ilegale de şantaj si constrângere. In septembrie 1989 existau cam două duzini de
viruşi. Fiecare dintre aceştia avea variante: mici modifică ri în codul viral sau schimbarea
mesajelor afişate. De exemplu, virusul 17Y4 diferă de virusul 1704 doar cu un octet. În
mai 1998 existau aproximativ 20.000 de viruşi (zilnic apar 3 noi viruşi.
O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite
criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare,
modul de declanşare etc. Există unele clasifică ri mai vechi care, desigur, nu mai
corespund astă zi.
In forma cea mai generala virusii se impart in:
 Virusi hardware

1
 Virusi software
Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu
echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria.
Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si
buni cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul
de baza si cel aplicativ.
Cateva dintre efectele pe care le genereaza virusii software:
a) distrugerea unor fişiere;
b) modificarea dimensiunii fişierelor;
c) ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;
d) distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii informaţiei
de pe disc;
e) diverse efecte grafice/sonore inofensive;
f) încetinirea vitezei de lucru a calculatorului pana la bloc.
Virusii se mai pot imparti in doua mari categorii:
 Virusi de BOOT
 Virusi de fisiere
Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar
aceştia sunt în numă r foarte mic.
Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului
de operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice
disc logic al hard discului şi orice dischetă care se introduce în unitatea de dischete. Tot în
această categorie intra şi viruşii care infectează tabela de partiţii a hard discului. Gă sindu-
se în tabela de partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.
Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM.
Cînd programul infectat este rulat, virusul se activează ră mînînd de cele mai multe ori
rezident în memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi
numai atît, ar fi simplu ! Din pă cate viruşii de fişiere sunt de mai multe tipuri. Pînă acum
am descris tipul "clasic".
Viruşii mai pot fi clasificaţi după următoarele criterii:
După modul de infectare:
 viruşi care infectează fişierele cînd un program infectat este rulat;
 viruşi care ră mîn rezidenţi în memorie cînd un program infectat este rulat şi infectează
apoi toate programele lansate în execuţie
Din punct de vedere al capacitatii de multiplicare:
 Virusi care se reproduc, infecteaza si distrug;
 Virusi care nu se reproduc, dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa
lase urme(Worms).
In functie de tipul distrugerilor in sistem:
 Virusi care provoaca distrugerea programului in care sunt inclusi;

2
 Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul se
manifesta prin incetinirea vitezei de lucru, blocarea tastaturii, reinitializarea aleatorie a
sistemului, afisarea unor mesaje sau imagini nejustificate;
 Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar
fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului
directorului radacina, alterarea integrala si irecuperabila a informatiei existente.
Dupa pozitia in cadrul fisierului infectat:
 viruşi care suprascriu fişierul, nemodificîndu-i lungimea (anumiţi viruşi suprascriu numai
zonele rezervate datelor pentru a nu împiedica funcţionarea programului - aceştia se
numesc viruşi de cavitate);
viruşi care îşi adaugă codul la sfîrşitul programului;
 viruşi care îşi adaugă codul la începutul programului
După viteza de infectare:
 viruşi rapizi (fast infector), care infectează toate fişierele care sunt descrise (chiar prin
scanare fişierele pot fi infectate);
 viruşi lenţi, care infectează numai programele care sunt lansate în execuţie.
Există viruşi "blindaţi", a că ror dezasamblare este foarte dificilă , ca urmare sunt
aproape imposibil de studiat
Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele
volumului dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512
octetil “Data crime” si “Vienna” se semnau prin respectiv 1168 si 648 octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi
au reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri
capabile sa infecteze un program, fara ca alterarea sa fie prea ostentativa.
Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa
afiseze mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara
consecinte prea dramatice.
De exemplu:
Virusul ” KeyPress” duce la aparitia pe ecran a sirului “AAAAA”, daca se apasa tasta
“A”.
Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele
de muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love
You" sau "Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere
importante trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua
mamei sau cu subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt
mail-uri de la companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi
scapat de virusi insa, de fapt, ti-i dadea. 
Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat
numele dupa o boala care este transmisa de catre sobolani.  HPS il face pe cel infectat sa aiba
probleme respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos.
Virusul HPS a fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe
ecran. Interesant este ca acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie
lansat pe piata.

3
 Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand
primele sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea
altceva decat sa afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana".
Insa unele dintre cele 90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii,
Rostov, Smithsonian, StonedMutation) reuseau pana la urma sa-ti blocheze computerul. 

Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca

iti infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai
seama, cu atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se
infiltra in computerele tuturor curiosilor care deschideau aceste fisiere.
Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus
la inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi
piratat. Dar s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub
diferite nume ca Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa
pakistaneza acest virus infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in
fisierele infectate. Mai manca si 7 KB din memoria computerului facandu-l sa meraga
foarte greu. Se pare ca cei doi frati nu mintisera cand au zis ca a fost totul o greseala,
pentru ca si-au facut publice numele, adresele, numerele de telefon intr-un mail similar
prin care ii rugau pe toti cei infectati sa-i contacteze pentru vaccin. 
Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat
cele mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei
care erau infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in
mici cranii si oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea
sau sa primeasca telefoane, celelalte functii inteligente fiind neoperabile.
Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in
2004 pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul),
joc creat special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea
mesaje text cu preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de
virus, singurul lucru era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in
neregula cu mobilul pana nu-ti venea prima factura exorbitanta.  Cei mai neplacuti virusi
sunt aceia care sunt programati pentru distrugerea datelor: stergeri, formatari de disc,
bruiaj de informatii, modificari in bazele de date,etc.Uneori, virusii atacau dupa o lunga
perioada de somnolenta. De exemplu,” Golden Gate” nu devine agresiv decat dupa ce a
infectat 500 de programe, “Cyber TechB” nu a actionat, in schimb, decat pana la 31
decembrie 1993.Morala: utilizatorul avizat(si patit) trebuie sa aiba grija ca periodic sa
ruleze programe antivitus.

Cei care sunt iniţiaţi în domeniul viruşilor de calculatoare nu vor avea probabil
dificultă ti în a spune dacă un calculator este suspect de a fi infectat cu un virus nou.
Viruşii se pot ră spândi nestingheriţi doar atâta timp cât ră mân nedetectaţi. Din acest
motiv, majoritatea viruşilor nu îşi manifestă prezenţa în sistem. Numai programele
antivirus pot detecta prezenta unei asemenea infecţii. Există , totuşi, mai multi viruşi, ce îsi
fac simţită prezenţa în sistem prin efectele secundare generate.
Câteva "simptome" specifice calculatoarelor virusate (lista este orientativã,
cazurile reale fiind mult mai numeroase si diverse):
 blocă ri frecvente - majoritatea viruşilor sunt extrem de prost scrişi si blochează
calculatorul extrem de des. Viruşii sunt de altfel cunoscuţi ca cele mai incompatibile
programe (exceptând viruşii multiplatformã, ca de exemplu clasa "Concept" - viruşii
de .doc Word);

4
 mesaje ciudate, melodii sau sunete suspecte în difuzor. Mulţi viruţi îşi fac anunţatã
prezenţa prin astfel de efecte;
 distrugerile de date sunt alt efect al viruşilor. Dispariţia subită a unui fişier sau erori
ale sistemului de fişiere sunt clasice;
 încetinirea accesului la disc este produs de unii viruşi stealth care se interpun între
programe şi sistemul de acces la discuri;
 la apă sarea tastelor CTRL+ALT+DEL calculatorul boot-ează instantaneu fă ră a mai
trece prin ecranul de POST (power on, self test);
 la comanda chkdsk majoritatea programelor executabile sunt raportate ca având o
lungime incorectă : efect al unor viruşi stealth;
 dimensiunea memoriei afişată de programele specializate este mai mică decât 640Kb.
Uneori acest efect este generat de unele managere de memorie fă ră a fi vorba de un virus,
dar de obicei indică prezenţa unui virus;
 programele de tip self-check raportează cã au fost modificate;
 nu mai porneşte Windows sau se raportează că accesul la disc se face prin BIOS;
 schimbă ri ale marcajului de timp al fişierelor;
 încă rcarea mai grea a programelor;
 operarea înceată a calculatorului;
 sectoare defecte pe dischete.
Odata ajuns in calculator, pentru a-si indeplini in mod eficient scopul, virusul
actioneaza in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind
astfel considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o
activitate evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite
conditiile de declansare(rularea de un numar de ori a unui program,atingerea unei anumite
date de catre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc).
Urmatoarea faza este cea activa,usor de recunoscut dupa actiunile sale tipice: modificarea
imaginii de pe ecran,stergerea unor fisiere sau chiar reformatatrea hard disk-ului.
Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au
nevoie de o gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la
un virus la altul. Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza.
Atasarea se poate face la inceputul, la sfarsitul sau la mijlocul codului gazda, ca o
subrutina proprie.
In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei.
Acestia sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.
Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta
a invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din
secventa de initializare.
O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri
de programe cu protectii incluse. Una dintre acestea consta in includerea in program a
unei sume de control care verifica la lansare si blocheaza sistemul daca este infectat. In
perspectiva,se pot folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de
oprerare este UNIX,in care programul utilizator care poate fi infectat nu are acces la toate
resursele sistemului.
Virusii care se inmultesc din ce in ce mai mult, polifereaza datorita urmatorilor
factori:

5
 Punerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi,
pe baza carora s-au scris mai multe variante de noi virusi
 Aparitia si punerea in circulatie, cu documentatie sursa completa, a unor pachete de
programe specializate pentru generarea de virusi. Doua dintre acestea sunt Man’s VCL
(Nuke) si PC-MPC de la Phalcon/Skim; ambele au fost puse in circulatie in 1992.
 Distribuirea in 1992, via BBS-ului bulgar, a programului MTE - “ masina de produs
mutatii”- conceput de Dark Avenger din Sofia. Acest program este insotit de o
documentatie de utilizare suficient de detaliata si de un virus simplu, didactic.
 Link-editarea unui virus existent cu MTE si un generator de numere aleatoare duce la
transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si schimba
secventa de instructiuni la fiecare multiplicare, functia de baza ramanand nealterata,dar
devenind practic de nedectat prin scanare
 Raspandirea BBS-urilor (Bulletin Board System), care permit oricarui utilizator Pc dotat cu
un modem sa transmita programe spre si dinspre un calculator. Un sitem este lipsit de
virusi, daca in memorie nu este rezident sau ascuns nici un virus,iar programele care se
ruleaza sunt curate. In aceasta conceptie, programul antivirus vizeaza atat memoria
calculatoarelor, cat si programele executabile. Cum in practica nu poate fi evitata
importarea de fisiere virusate, metode antivirus cauta sa asigure protectie in anumite cazuri
perticulare, si anume:
 la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste
scanarea. Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi
caracateristice virusilor din biblioteca programului de scanare;
 daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de
control. Aceste sume constituie o semnatura a programului si orice modificare a lui va
duce la o modificare a sumei sale de control;
 in calculator exista o serie de programe care nu se modifica, reprezentand zestrea se soft a
calculatorului, care se protejeaza pur si simplu la scriere.
Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in
faza primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior
(de pe o discheta sistem curata), in faza activa,deoarece in numeroase cazuri poate
recupera fisierele infectate.
Concluzii:

 aria de actiune; memoria si fisierele de interes;

 protectia se mnifesta la primul contact cu orice fisier;
 permite dezinfectarea;
 nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului
de scanare;
 timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de
fisiere protejate;
 exista alarme false, daca semnatura virusului este prea scurta;
 foloseste ca resursa memoria calculatorului;
 opereaza automat (ca un TSR).
Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in
program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite
blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu
permite recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a

6
 virusilor,orice fisier infectat putand fi detectat. In faza activa,insa metoda este
neputicioasa.
Programele de protectie-programe antivirus- au rolul de a realiza simultan urmatoarele
activitati:
 prevenirea contaminarii;
 detectarea virusului;
 eliminarea virusului, cu refacerea contextului initial;
In general, exista doua categorii de programe antivirus:
 programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de virusi
recunoscuti;
 programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau cele
care par dubioase.
In categoria programelor de vierificare se include cele de tip SCANxxx,unde prin xxx s-a
specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108,
SCAN200.
Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand
pe monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta
verificare, utilizatorul va incerca aliminarea virusului depistat,prin intermediul
programelor CLEARxxx, prin specificarea numelui virusului; de remarcat ca, folosind
acest program, nu exista certitudinea curatirii virusilor,datorita fie a nerecunoasterii
acestora, fie a localizarii acestora in locuri care nu pot fi intotdeauna reperate.

În finalul acestui capitol prezentă m alte câteva sfaturi care ar putea fi foarte utile
pentru a vă proteja sistemul împotriva viruşilor calculatoarelor :
- nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu
sunteţi sigur că ele sunt fă ră viruşi (eventual aţi vă zut pe altcineva folosind programul
fă ră probleme).
- nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau
în regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încă rcaţi niciodată un program transmis de curând pe un sistem de buletine
informative, până când el nu a fost verificat de operatorul de sistem. Când încă rcaţi
programul, faceţi-o pe un sistem cu două unită ţi de dischetă , astfel încât el să nu se
apropie de hard disk.
- nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi.

cumpă raţi şi folosiţi programe recunoscute de detectare a viruşilor

- instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze
fişierele pe care le copiaţi în calculator.
- instalati un firewall.
- asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente.
- pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat.
- niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut
provenit de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere.
- instalati un program anti-spyware pentru a spori protectia antivirus.

7
- nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o
sursa de incredere.
- verificati in care certificate ale companiilor software puteti avea incredere.
- folositi o carte de credit numai pentru cumparaturi on-line.
- nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.