Securitatea Terminalelor Mobile Cap. 3.

Vectori ai atacurilor informatice

Cap. 3. Vectori ai atacurilor informatice

3.2. Ameninţări informatice de tip spyware şi adware

Fără să reprezinte programe cu activitate direct distructivă, programele de tip spyware sau adware
reprezintă ameninţări informatice potenţial tot aşa de periculoase.

3.2.1. Programe spyware

Spyware este un termen care iniţial era folosit pentru echipamente (de obicei electronice) folosite
pentru spionaj.
In ultimii ani însă, termenul se foloseşte în principal pentru programe instalate fără ştirea
utilizatorului (sau fără ca acesta să înţeleagă pe deplin toate funcţiile programului pe care îl
instalează) pentru a intercepta interacţiunea sa cu calculatorul.
In mod concret, Spyware este un program, de obicei descărcat din Internet, care trimite informaţii
despre calculatorul utilizatorului fără ştirea acestuia, ori de cate ori se conectează la Internet. De
obicei, pachetele transmise conţin informaţii de marketing şi nu informaţii confidenţiale, deşi unele
programe pot face şi acest lucru. În acest caz este vorba despre programe care înregistrează tastele
apăsate, punând la dispoziţia celui care a produs (sau a instalat programul) textul introdus de
utilizator (de exemplu, intre altele, parolele si numerele de card), sau care transmit periodic imagini
cu ce este afişat pe ecranul calculatorului, sau care înregistrează paginile de web vizitate, conţinutul
e-mailurilor transmise şi aşa mai departe.
În plus, programele spyware pot instala viruşi, pot modifica setările calculatorului astfel încât
utilizatorul să fie re-directat către anumite site-uri, sau pot înlocui anumite părţi din site-urile
vizitate de utilizator (de obicei reclamele) cu alte reclame, din a căror afişare beneficiază
producătorul programului spyware.
Aceste programe constituie la ora actuala una dintre cele mai importante ameninţări pentru
securitatea calculatoarelor cu sistem de operare Microsoft Windows. Dacă browserul principal este
Internet Explorer, vulnerabilitatea sistemului este mai ridicata, si asta nu doar pentru ca IE este cel
mai răspândit browser (ceea ce a făcut sa fie şi ţinta principala a celor care scriu programe
spyware), ci şi datorită strânsei integrări dintre IE şi sistemul de operare, ceea ce permite
programelor spyware să aibă acces, prin intermediul sau, la aspecte cruciale ale sistemului de
operare.
De regulă, programele spyware nu se auto-multiplica in mod direct ca viruşii sau viermii
informatici, si un calculator infectat nu încearcă să transmită infecţia altui calculator. De cele mai
multe ori, aceste programe sunt instalate prin înşelarea utilizatorului (cal troian), prin exploatarea
unor vulnerabilităţi software sau de către o alta persoana. Uneori aceste programe sunt instalate
pentru a monitoriza pe ascuns activitatea electronica a partenerului, de cele mai multe ori pentru a
obţine dovezi privind o presupusa infidelitate. Un exemplu in acest sens este programul Loverspy,
însă în multe ţări folosirea acestor programe este ilegala.
În general, căile uzuale de acces pentru spyware sunt componentele ActiveX din browser (cel puţin
înainte de Internet Explorer 7) şi găurile de securitate din Javascript şi Sun Microsystems Java
runtime.
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
Exemple de programe spyware:
- CoolWebSearch, un grup de programe care profita de vulnerabilităţile din Internet Explorer pentru
a se instala şi a dirija utilizatorul calculatorului pe site-uri ca coolwebsearch.com. Afişează reclame
in pop-up, modifica rezultatele returnate de motoarele de căutare, şi face modificări în fişierul hosts
al calculatorului infestat pentru a dirija căutările DNS către aceste site-uri.
- Internet Optimizer, cunoscut si sub denumirea DyFuCa, redirijează paginile de eroare ale Internet
Explorer catre pagini cu reclame.
- Zlob, care se instalează prin intermediul unui ActiveX, înregistrează ce anume aţi căutat în
internet, ce site-uri aţi vizitat, ce aţi tastat si trimite aceste informaţii către serverul de control.
Uneori si producătorii software cu renume recurg la tehnici asociate in mod tradiţional cu
programele spyware.
Spre exemplu, aplicaţia Genuine Advantage Notification instalata pe majoritatea PC-urilor
Windows drept "update de securitate cu importanta critica" începând din 25 aprilie 2006 transmite
date zilnic către Microsoft. Scopul principal al acestei aplicaţii (care in mod normal nu poate fi
dezinstalata) este să asigure faptul că sistemul de operare nu este pirat, dar modul în care
funcţionează ea are foarte multe similitudini cu programele spyware.
În 2005, s-a descoperit ca Sony BMG Music Entertainment folosea programe rootkit ca parte a
tehnologiei sale de management al drepturilor digitale XCP. Programele rootkit sunt cele care se
instalează pe calculator cu drepturi depline asupra sistemului.
Ca şi programele spyware, acestea nu numai ca erau foarte dificil de detectat şi dezinstalat, dar erau
şi prost realizate, astfel încât majoritatea eforturilor de a le dezinstala duceau la blocarea
calculatorului. Ulterior Sony a fost dat în judecată şi a publicat o modalitate de dezinstalare.
Alexa Toolbar, un plug-in pentru Internet Explorer, publicat de Amazon.com, este descris de unii
observatori ca fiind un produs spyware, deoarece înregistrează lista site-urilor vizitate şi transmite
aceste informaţii către producător, şi ca urmare unele programe anti-spyware ca Ad-Aware îl
raportează ca atare.
De asemenea, Google Toolbar, un plug-in gratuit oferit de motorul american de căutare Google Inc.,
transmite către firma mama lista tuturor paginilor accesate de utilizatori. Motivul declarat este
asigurarea funcţionalităţii privind afişarea valorilor PageRank pentru paginile vizitate, dar există
suspiciuni privind scopul real şi prelucrarea acestor date.

3.2.2. Programe adware

Adware este orice aplicaţie software în care sunt afişate banner-e cu reclame pe tot parcursul
funcţionarii sale. De asemenea, programul adware poate instala componente care să transmită
informaţii despre utilizator si comportamentul sau în lucrul la PC. Spre deosebire de programele
spyware, utilizatorul este înştiinţat despre acest lucru atunci când modulul este instalat. De fapt, o
aplicaţie adware este aceea care, pe lângă funcţionalitatea ei de baza, mai are încă una - de a afişa
reclame, de cele mai multe ori descărcate periodic de pe anumite servere din Internet.
Chiar dacă unele aplicaţii adware sunt şi spyware, acesta nu este un lucru general valabil. De cele
mai multe ori aplicaţiile spyware s-au instalat şi funcţionează fără ştirea utilizatorului, spre
deosebire de cele adware, unde utilizatorul este înştiinţat şi a fost de acord cu acest lucru.
Foarte multă vreme software de calitate putea fi instalat şi folosit gratuit dar odată cu creşterea
complexităţii sale au crescut şi costurile de implementare, iar dezvoltatorii au fost obligaţi sa caute
metode de diminuare a lor. Una dintre cele mai la îndemână a fast aceea de a livra împreună cu
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
programele şi aplicaţii de tip adware sau spyware. Pe de alta parte foarte multe programe
comerciale au devenit utilizabile gratuit în mod legal prin trecerea lor în categoria adware.
De la inofensiva intenţie de afişare periodică a unor reclame şi până la elemente de analiza si
stocare a informaţiilor despre comportamentul utilizatorului si configuraţia hardware/software a
calculatorului, a fost nevoie de crearea şi instalarea pe calculatorul ţintă a unor module
suplimentare.
Daca la început nu a fost vorba decât despre un motor ce descarcă reclame şi le afişa în ferestre
prestabilite, industria adware a progresat foarte mult.
Acum sunt folosite diverse alte instrumente, de la modificări în browser şi/sau setările acestuia şi
pana la diverse componente ce rulează ascuns în fundal şi monitorizează activitatea la PC,
transmiţând informaţiile unor servere din Internet.
Printre efectele cauzate de instalarea de spyware şi adware se numără:
 adăugarea de link-uri către mari magazine
 adăugarea de noi reclame pe paginile web, uneori chiar înlocuindu-le pe cele existente
 monitorizarea comportamentului browserului in scopuri comerciale (componenta spyware)
 obţinerea de acces la parole şi coduri pentru cărtile de credit (componenta spyware)
 încetinirea performantelor computerului datorită utilizării resurselor
 în unele cazuri pot apela numere telefonice cu tarif ridicat (componenta spyware)
 schimbarea paginii de start a browserului şi adăugarea de bookmark-uri noi
 apariţia de icon-uri ciudate şi software nou pe desktop.

Următoarele aplicaţii anti-adware sunt gratuite:

 AdAware este o aplicaţie gratuita specializată în înlăturarea de Adware si Spyware.
 GIANT AntiSpyware
 SpywareBlaster oferă protecţie pentru Internet Explorer/Mozilla/Firefox, dar opreşte şi
controalele ActiveX şi alte elemente damnatoare înainte de a fi instalate pe calculator.
 Spybot - Search and Destroy poate detecta elemente pe care alte programe de eliminare
adware nu le recunosc drept ameninţări.
 HouseCall on-line scan poate înlătura cei mai mulţi troieni care vin împreună cu produsele
spyware/adware.
 Zone Alarm Firewall limitează accesul la calculator şi previne instalarea troienilor.

Deşi variantele comerciale pot dispune de unele avantaje în plus faţă de cele gratuite acestea sunt
suficiente pentru a vă proteja computerul cu condiţia să nu uitaţi să le faceţi update săptămânal
pentru a fi mereu la curent cu noile apariţii de potenţiale pericole.

3.3. Proceduri de detecţie şi eliminare a vectorilor atacurilor informatice

Pornind de la conceptul bine experimentat ca este mai puţin costisitor să previi decât sa tratezi, este
necesar să se acorde o atenţie deosebită problemei viruşilor. Într-o formă simplistă, lupta împotriva
viruşilor s-ar putea rezuma la o singură frază: trebuie îmbunătăţite programele şi curăţate dischetele
înaintea introducerii lor în unitatea centrală.
Exista astăzi mai multe organizaţii internaţionale care se ocupă cu problemele viruşilor pe
calculator. Una dintre acestea se numeşte CARO - Computer Anti-virus Researcher Organisation, si
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
este o organizaţie constituită din cei mai reputaţi experţi din lume care se ocupă cu standardizarea şi
clasificarea viruşilor.
Încă din anul 1990 a fost înfiinţată o instituţie specializată în acest domeniu, numita EICAR -
Institutul European pentru Cercetarea Programelor Anti-Virus. Aceasta organizaţie s-a bucurat de
un real succes, mai ales în întâlnirile cu vânzătorii de programe.
În decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software, astăzi foarte la
modă. Tot în acelaşi an, dar în luna aprilie, firma Central Point Anti-Virus a lansat produsul CPAV.
Exista mai multe publicaţii internaţionale pe aceasta tema, iar Internet-ul abunda de materiale si
informaţii. Cea mai importanta revista internaţională dedicată raportării şi analizei viruşilor se
numeşte Virus Bulletin. De la lansarea sa în iulie 1989, revista a monitorizat noile dezvoltări din
domeniul programării viruşilor şi a evaluat cele mai actualizate instrumente si tehnici pentru
combaterea ameninţării reprezentate de viruşi.
În lupta împotriva viruşilor este necesar să se cunoască cele mai importante şi eficiente mijloace,
metode şi tehnici care pot fi utilizate in acest scop. Pentru aceasta, este nevoie sa ne familiarizam cu
câteva noţiuni şi concepte specifice.
Suma de control (Checksum) este o valoare numerică obţinută din octeţii individuali ai unui fişier.
Împreună cu data creării, mărimea şi atributele DOS ale fişierului, suma de control este memorată
în fişiere de tip lista de control. De obicei, are lungimea de 32 sau 64 biţi.
Un alt termen des utilizat este CRC. Acronimul lui "Cycled Redundancy Check", în traducere -
"Control Redundant Ciclic", el reprezintă o metodă matematică folosită pentru verificarea
integrităţii datelor. Este o formă de sumă de control, care se bazează pe teoria polinoamelor de
lungime maximă. Deşi este mai sigură decât cea bazată pe o simplă sumă de control, metoda CRC
nu oferă totuşi o adevărată securitate criptografică.
O secvenţă de octeţi sau, mai general, o combinaţie de secvenţe variabile, prin care programele
antivirus încearcă să identifice viruşii se numeşte semnătura unui virus (virus signature).
Operaţia prin care se elimina un virus dintr-un fişier sau dintr-un sistem se numeşte dezinfecţie
(clean). Desigur, contaminarea unui calculator cu un virus informatic se numeşte infecţie
(infection).
Tehnica prin care se adaugă unui program executabil o porţiune de cod, pentru a se asigura
autoverificarea sa, în aşa fel încât suma sa de control sa fie verificata înainte ca programul propriu-
zis sa se execute, se numeşte imunizare (immunization). Orice modificare făcuta programului poate
fi deci verificată şi execuţia refuzată. Această tehnică poate provoca multe probleme deoarece ea
interfera adesea cu programul pe care încearcă să-l protejeze.
Atunci când se generează o amprentă (o informaţie de control) pentru un fişier spunem că s-a
efectuat o inoculare (inoculate). Este suficient apoi să se compare această amprentă cu alta calculată
ulterior pentru a detecta alterarea eventuală a fişierului de către un virus.
Un program antivirus care caută fişiere infectate, analizând secvenţe identificabile ca aparţinând
unor viruşi cunoscuţi (aşa numitele "semnături" de virus) se numeşte program de scanare (scanner).
Programele de scanare au diverse limitări, printre care, cea mai importanta este faptul ca ele nu pot
caută decât viruşi deja identificaţi sau cunoscuţi.
Un software antivirus (anti-virus software) reprezintă un produs program utilizat pentru a identifica
şi deseori pentru a furniza mijloacele necesare eliminării viruşilor de pe sistemele infectate. Acest
proces este denumit frecvent "curăţare" sau "dezinfectare".
Un software de dezinfecţie (desinfection software) nu este altceva decât un program care încearcă
sa îndepărteze viruşii de pe discurile infectate, astfel încât să restaureze elementele infectate la
starea lor anterioara. Dat fiind faptul că adesea viruşii sunt polimorfi (schimbaţi de o manieră
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
subtila), software-ul de dezinfectare poate să facă greşeli cu consecinţe potenţial catastrofale pentru
integritatea datelor. Detecţia viruşilor sectorului de încărcare este cu mult mai fezabila decât cea a
fişierelor executabile, iar utilizarea programelor de sistem (DEL, SYS, FDISK si FORMAT)
reprezintă adesea o soluţie preferabila.
Vaccinul este un program pe calculator realizat pentru a oferi o protecţie împotriva viruşilor de
calculator. Adăugând un cod scurt la fişiere, se declanşează o alarmă atunci când un virus încearcă
sa modifice fişierul. Vaccinurile mai sunt numite si programe de imunizare.
Autorii răuvoitori de viruşi ai calculatoarelor ştiu de existenta programelor de vaccinare si antivirus
şi unii dintre ei se ocupa cu crearea de noi viruşi care sa le contracareze. Daca folosiţi calculatorul
pentru afaceri sau aplicaţii profesionale vitale, protejaţi datele introducând în calculator numai copii
noi, care nu au fost deschise, de programe obţinute direct de la producători.
Din activitatea programelor anti-virus pot rezulta şi alarme false. O monitorizare a procesului de
dezinfectare este deseori foarte utilă.
O metoda de detectare a fişierelor virusate consta în compararea periodica a fişierului cu cel
original, din data, ora şi dimensiune. Aceste teste nu prezintă totală încredere deoarece atât data şi
ora, cât şi dimensiunea fişierelor pot fi manipulate convenabil, fără a ne putea da seama dacă s-a
umblat în fişierul original şi dacă acesta a fost alterat.
Există ăi alte elemente care pot fi verificate, cum ar fi sumele de control (check sum), mai de
încredere, dar nu totala, prin care datele dintr-un fişier sunt însumate şi trecute printr-un algoritm
specific, rezultând un fel de semnătura pentru acel fişier. Sumele de control funcţionează pentru
verificarea integrităţii unui fişier în cazul transferului dintr-un punct in altul. Pentru protecţie, lista
sumelor de control este necesar a fi păstrată pe un server separat, chiar pe un mediu separat
accesibil doar de root şi de utilizatorii de încredere. Totuşi aceasta tehnica este insuficientă când
sunt atacuri sofisticate împotriva integrităţii fişierelor, existând pericolul ca la destinaţie sa ajungă
un fişier necorespunzător.
Pe Internet se găsesc însă suficiente materiale referitoare la modul în care pot fi învinse sistemele
care folosesc sume de control, multe dintre ele chiar prin acţiunea viruşilor. Multe dintre utilitarele
antivirus folosesc o analiza a cifrei de control pentru a identifica activităţi de virusare.
Exista tehnici satisfăcătoare bazate pe calcularea unei amprente digitale (digital fingerprint) sau
semnătura pentru fişiere. Algoritmii care realizează acest lucru fac parte din familia MD, cea mai
cunoscuta implementare fiind MD5. Aceasta este o funcţie neinversabila (one-way) care generează
semnătura digitală pentru un fişier prin intermediul unui algoritm de condensare a mesajului
(message digest). Algoritmul preia la intrare un mesaj de o lungime arbitrara şi produce un rezultat
pe 128 biţi denumit amprenta (fingerprint) sau rezumat (message digest). Algoritmul se bazează pe
un concept conform căruia este imposibil prin prelucrare să se producă doua mesaje cu acelaşi
rezumat sau sa se reconstituie un mesaj pornind de la un anumit rezumat. Algoritmul MD5 este
proiectat pentru aplicaţii bazate pe semnaturi digitale, în care un fisier de dimensiuni mari trebuie
comprimat intr-un mod sigur înainte de a fi criptat cu o cheie privata (secreta).
O tehnica foarte interesanta aplicata in combaterea viruşilor se bazează pe utilizarea programelor
automodificabile (self-modifying program). Acestea sunt programe care îşi schimba deliberat
propriul lor cod, cu scopul de a se proteja împotriva viruşilor sau copierilor ilegale. In acest mod
devine foarte dificila validarea prin mijloace convenţionale.
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
3.3.1. Programe anti-virus şi anti-spyware

Programele antivirus sunt programe create special pentru a efectua următoarele operaţiuni:
- sa detecteze viruşii prin verificarea conţinutului fişierelor si semnalarea prezentei semnăturii unui
virus cunoscut sau a unor secvenţe suspecte in interiorul lor;
- sa dezinfecteze sau să şteargă fişierele infestate de viruşi cunoscuţi
- sa prevină infectarea prin supravegherea acţiunilor din memorie si semnalarea întâlnirii unor
anumite acţiuni ca ar putea fi generate de existenta in memorie a unui virus
Exista doua feluri de antiviruşi după modul în care acţionează:
1. Programe care după ce au fost lansate ce rămân in memoria calculatorului si supraveghează
fiecare aplicaţie lansata in execuţie.
2. Programe care sunt lansate de către utilizator numai atunci când el doreşte sa verifice
calculatorul.
In următoarele condiţii are loc devirusarea:
- Scanarea = citirea fişierelor si a memoriei si identificarea viruşilor cunoscuţi de programul
antivirus respectiv
- Devirusare = extragerea virusului sau ştergerea fişierului infectat
- Monitorizare = este operaţia prin care un antivirus existent în memorie verifica şi semnalează
sistematic eventuala apariţie a unui virus.
Scopul unui program antivirus este să prevină şi să distrugă viruşii de calculator, viermii, troienii,
sau chiar şi adware, spyware şi alte forme de malware.
Antivirusul se bazează pe nişte semnături. Atunci când scanează calculatorul de viruşi, aceştia caută
după anumite paternuri ce se afla deja în baza de date a antivirusului. Dezavantajul acestei metode e
ca toţi viruşii noi apăruţi nu vor fi recunoscuţi. Există şi viruşi de tip “heuristic” schimbându-si
forma la fiecare multiplicare si păcălind antivirusul. Antiviruşii mai noi, pot sa emuleze un
program, monitorizându-i comportamentul pentru a observa daca este maliţios sau nu. Compania
Symantec a avut nişte probleme, din aceasta cauza, soft-ul ei recunoscând nişte aplicaţii sigure drept
viruşi, făcând sute de calculatoare sa nu mai pornească.
Principalele metode de acţiune a programelor antivirus sunt următoarele:
 Detectarea pe baza unor semnături este cea mai comuna metoda. Pentru a identifica un
virus sau orice alt malware, antivirusul compară conţinutul unui fişier cu dicţionarul unde se
află semnăturile viruşilor. Deoarece viruşii se pot insera într-un fişier existent sănătos, tot
fişierul este scanat după anumite porţiuni de cod recunoscute ca maliţioase.
 Detectarea unei activităţi maliţioase este o alta metoda de a identifica programele de tip
malware. Pentru asta, antivirusul monitorizează sistemul pentru a găsi programe care se
comporta dubios.
 Daca un program se comporta ciudat, atunci va fi investigat, folosind semnături bazate pe
detecţie. Acest tip de detecţie poate fi folosit pentru a identifica viruşii necunoscuţi, ce nu se
afla in baza de date a antivirusului.
 Detecţia heuristică, la fel ca şi detectarea unei activităţi maliţioase, poate fi folosită pentru
viruşii necunoscuţi, sau noi apăruţi. Această metodă poate fi folosită în două moduri, prin
analiza fişierului, sau prin emularea lui.
 Analiza fişierului este un proces in care se caută un fişier suspect ce ar putea conţine
instrucţiuni maliţioase. De exemplu, daca un program are instrucţiuni pentru a reformata
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
partiţia C, antivirusul va investiga fişierul (aplicaţia). Un dezavantaj ar fi ca ocupa multe
resurse pentru a analiza fiecare fişier, rezultând o îngreunare a operării calculatorului.
 Emularea unui fişier este o alta metoda destul de eficientă. Prin aceasta metoda, antivirusul
creează o lista cu toate acţiunile unei aplicaţii, iar pe baza acestora poate observa daca
programul este periculos, ca mai apoi sa-l dezinfecteze – daca este cazul.
Din păcate, viruşii sunt mereu cu un pas înaintea antivirusilor şi mereu se vor găsi mijloace ce
ocolesc chiar şi cel mai bun antivirus.
Nu există o cea mai bună strategie împotriva viruşilor. Nici un program antivirus nu poate asigura o
protecţie totală împotriva viruşilor. Se pot însă stabili strategii anti-virus bazate pe mai multe nivele
de apărare. Există trei tipuri principale de programe anti-virus, precum şi alte mijloace de protecţie
(ca de exemplu metodele hard de protecţie la scriere). Cele trei tipuri principale de programe anti-
virus sunt:
1) Programele de monitorizare. Acestea încearcă să prevină activitatea viruşilor. De exemplu
programele: SECURE sau FluShot+.
2) Programele de scanare. Caută şiruri de date specifice pentru fiecare dintre viruşii cunoscuţi
dar care să nu poată apărea în programele sănătoase. Unele dintre aceste programe anti-virus
folosesc tehnici euristice pentru a recunoaşte viruşii. Un program de scanare poate fi
conceput pentru a verifica suporturi de informaţie specificate (hard-disk, dischetă, CD-
ROM) sau poate fi rezident, examinând fiecare program care urmează să fie executat.
Majoritatea programelor de scanare conţin şi subrutine de îndepărtare a unui virus după ce
acesta a fost detectat. Câteva exemple de astfel de programe sunt: FindViru, din cadrul
programului Dr Solomon's Anti-Virus Toolkit, programul FPROT al firmei FRISK sau
programul VIRUSCAN conceput la firma McAfee. Dintre programele de scanare rezidente
pot fi amintite programele V-Shield sau VIRUSTOP realizate la firma McAfee. Dintre
programele de scanare euristică poate fi menţionat programul F-PROT.
3) Programe de verificare a integrităţii sau de detectare a modificărilor. Acestea calculează o
mică sumă de control sau valoare de funcţie hash (de obicei pe bază de criptare) pentru
fiecare fişier, presupus neinfectat. Ulterior compară valorile nou calculate ale acestor mărimi
cu valorile iniţiale pentru a vedea dacă aceste fişiere au fost modificate. În acest mod pot fi
detectaţi viruşi noi sau vechi, efectuându-se o detecţie"generică". Dar modificările pot
apărea şi din alte motive decât activitatea viruşilor. De obicei este sarcina utilizatorului să
decidă dacă o anumită modificare a apărut ca urmare a unei operaţii normale sau ca urmare a
unei activităţi virale. Există însă programe anti-virus care pot să-l ajute pe utilizator să ia
această decizie. La fel ca şi în cazul programelor de scanare şi programelor de verificare a
sumelor de control li se poate cere să verifice întregul hard-disk sau doar anumite fişiere sau
ele pot fi rezidente verificând fiecare program care urmează să fie executat. De exemplu
Fred Cohen ASP Integrity Toolkit, Integrity Master sau VDS sunt programe anti-virus de
acest tip.
3a) Antivirusul GENERIC DISINFECTION face parte dintr-o categorie puţin mai aparte. El
face ca să fie salvată suficientă informaţie pentru fiecare fişier, astfel încât acesta să
poată fi reconstruit în forma sa originală în cazul în care a fost detectată activitate virală,
pentru un număr foarte mare de viruşi. Acest program anti-virus face parte din nucleul
de securitate V-Analyst 3, realizat de firma israeliană BRM Technologies.
Securitatea Terminalelor Mobile Cap. 3. Vectori ai atacurilor informatice
3.3.2. Elaborarea unei politici de securitate anti-virus

Este bine ca metodele de apărare împotriva viruşilor să fie utilizate pe rând pentru a se creşte
securitatea sistemului de calcul folosit.
Un calculator PC ar trebui să includă un sistem de protecţie al tabelei de partiţie a harddisk- ului,
pentru a fi protejat de infectarea la boot-are. Acesta ar trebui să fie de tip hard sau de tip soft dar
localizat în BIOS. Şi sisteme soft de tipul DiskSecure sau PanSoft Imunise sunt destul de bune.
Acest sistem de protecţie ar trebui să fie urmat de detectoare de viruşi rezidente care să fie încărcate
ca şi părţi ale programelor de pornire ale calculatorului, CONFIG.SYS sau AUTOEXEC.BAT, cum
sunt de exemplu programele FluShot+ şi/sau VirStop împreună cu ScanBoot. Un program de
scanare cum ar fi F-Prot sau McAfee's SCAN poate fi pus în AUTOEXEC.BAT pentru a verifica
prezenţa viruşilor la pornirea calculatorului. Noile fişiere ar trebui scanate pe măsură ce ele sosesc
în calculator. Este indicat să se folosească comanda PASSWORD din DRDOS pentru a se proteja la
scriere toate executabilele de sistem precum şi utilitarele. Pe lângă metodele de protecţie anti-virus
deja amintite mai pot fi folosite şi următoarele:
(a) Crearea unei liste de partiţii a hard-disk-ului specială astfel încât acesta să fie inaccesibil
când se boot-ează de pe o dischetă. Această măsură este utilă deoarece la boot-area de pe
dischetă sunt evitate protecţiile hard-disk-ului din CONFIG.SYS şi din AUTOEXEC.BAT.
O astfel de listă poate fi realizată de programul GUARD.
(b) Utilizarea Inteligenţei Artificiale pentru a învăţa despre viruşi noi, şi pentru a extrage noi
caracteristici utile pentru scanare. Astfel de demersuri sunt făcute în cadrul programului
VCare (CSA Interprint Israel; distribuit în S.U.A. de către Sela Consultants Corp.).
(c) Criptarea fişierelor (cu decriptare înainte de execuţie).