CENTRUL ID TULCEA FACULTATEA STIINTE ECONOMICESPECIALIZAREA : FINANTE – BANCIANUL I, SEMESTRUL I, ian 2009.

PREZENTAREA VIERMILOR SI VIRUSILOR DE CALCULATOR

REFERAT :

Bazele tehnologiei informatiei

VIRUSII SI VIERMII INFORMATICIICUPRINS:

1. CE ESTE UN VIRUS DE CALCULATOR?

2. ISTORIA VIRUSILOR3. CLASIFICAREA VIRUSILOR4. MODUL DE INFECTARE CU VIRUSI5. CE ESTE UN VIERME DE

CALCULATOR?6. ISTORIA VIERMILOR7. CLASIFICAREA VIERMILOR8. MODUL DE INFECTARE CU VIERMI9. SIMPTOMELE UNUI SISTEM

VIRUSAT10. MODALITATI DE PROTECTIE,

PROGRAMELE ANTIVIRUS11. ACTUALII VIRUSI SI VIERMI

BIBLIOGRAFIE :

Primii Pasi in securitatea retelelor - Tom ThomasComputer Viruses - Dr. Frederick B. Cohenhttp://ro.wikipedia.org/wiki/Virus_informatic

www.computerworld.roarhiva.wall-street.ro

Am ales prezenta tema pentru a invata cum imi pot proteja calculatorul de virusi si viermi.

Aportul meu la realizarea acestui studiu se bazeaza doar prin culegerea de informatii din sursele mentionate mai sus si imbinarea acestora intr-un mod cat mai concis (sper).

Sper sa nu va deranjeze lungimea referatului, insa toate datele referitoare la subiect mi s-au parut extrem de importante pentru relatarea subiectului ales.

Ce este un virus de calculator ?

Virus (Virus) - este un program care are funcţii de infectare, distructive si de incorporare a copiilor sale în interiorul altor programe. Noţiunea mai generală se referă adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea de a se autocopia, astfel încât poate infecta părţi din sistemul de operare şi/sau programe executabile. Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără

acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică este relativ bună pentru a descrie acţiunea unui virus informatic în lumea reală. Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii ţin foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă.

Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Atunci când apar, efectele sunt diferite, variind de la mesaje glumeţe, la erori în funcţionarea programelor de sistem sau ştergeri catastrofice a tuturor informaţiilor de pe un hard disk. De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.

În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată si cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este uneori si o activitate de grup, în care sunt selectaţi, antrenaţi si plătiţi cu sume uriaşe specialiştii de înaltă clasă. Există programatori care susţin că pot construi viruşi ce nu pot fi detectaţi si distruşi. Este cazul unui grup de programatori polonezi care au anunţat pe Internet, în urmă cu câţiva ani, că pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, conţinea câteva idei interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap utilizatorilor de servicii Internet. Supăraţi de faptul că lumea a exagerat atât de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceşti programatori intenţionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare".

Virusul este caracterizat de următoarele proprietăţi: - poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod sau numai a unei părţi speciale din codul său - modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe - are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o nouă modificare a acestuia.

Istoria virusilor Istoria viruşilor de calculatoare este lungă şi interesantă. Dar ea a devenit cu adevărat palpitantă abia din momentul în care a început să se dezvolte industria PC-urilor. Pe măsură ce dezvoltarea acestor calculatoare noi progresa, a devenit posibilă si accesarea a mai mult de un program într-un singur computer. În acelaşi timp, s-a manifestat şi o reacţie împotriva a tot ceea ce însemna computerul. Această tendinţă are rădăcini mai vechi, dar impactul computerelor de tip PC a fost aşa de mare, încât si reacţiile împotriva acestora au început să se facă mai evidente.

Iată o scurtă dar spectaculoasă evoluţie a fabricării în serie în toate colturile lumii si lansării pe piaţă a viruşilor:

1949Sunt puse pentru prima oara bazele teoriilor legate de programele care se autoreproduc.

1981Virusii Apple 1, 2, si 3 sunt printre primii virusi "in the wild". Descoperiti in sistemul de

operare Apple II, virusii se raspandesc in Texas A&M prin intermediul jocurilor piratate.

1983In teza sa de doctorat, Fred Cohen defineste pentru prima oara formal un virus de

calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le intr-un mod care presupune abordarea unor copii evoluate ale lor."

1986Doi programatori Basit si Amjad(frati pakistanezi) au descoperit că un anumit sector

dintr-un floppy disk conţine un cod executabil care funcţiona de câte ori porneau computerul cu discheta montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un program propriu.Floppy-urile infectate aveau "© Brain" ca eticheta de disc (volume label). Acest program putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un floppy disc.

Tot in acelasi an, un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier . El a scris o demonstratie a acestui efect, pe care a numit-o VIRDEM (Virus Demonstration) si a distribuit-o la conferinta pe tema virusilor Chaos Computer Club, in luna decembrie a acelui an . VIRDEM ar fi infestat orice fisier COM . Din nou pagubele erau destul de nesemnificative . Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte .

In aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz Swoboda a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit Charlie si s-a facut multa publicitate in jurul acestei descoperiri . Ralf Burger a obtinut o copie a acestui virus si i-a dat-o unui prieten, Berdt Fix, care l-a dezansamblat (a fost pentru prima oara cand cineva a dezansamblat un virus) . Burger a inclus aceasta dezansamblare in cartea sa, dupa ce a scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagubele pe care le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa rebooteze calculatorul (virusul copiaza primi cinci octeti de cod) ; Burger (poate Fix) a inlocuit acest cod de rebootare cu cinci spatii . Efectul era ca fisierele copiate bloca calculatorul, in loc sa-l rebooteze .

1987Programatorii de la Universitatea din Delaware au constatat ca au virusul lansat de cei

doi programatori Basit si Amjad cand au vazut eticheta "© Brain" pe o discheta . Tot ce facea el era sa se autocopie si punea o eticheta de volum pe discheta.

Tot in 1987, la Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut sub numele de Lehigh . Acesta a fost un model extrem de nereusit - nu era prevazut sa se raspandeasca in afara universitatii, pentru ca infecta doar COMMAND.COM si crea multe pagube gazdei, dupa numai patru reproduceri .

In aceasta perioada, la Tel Aviv, un alt programator facea experiente . Primul sau virus a fost numit Suriv-01(cuvantul virus scris invers) . Era un virus rezident in memorie , ce putea sa infecteze orice fisier COM - o strategie de infectare mult mai buna decat strategiile utilizate de virusul vienez, caci ducea la infectarea tuturor fisierelor de pe toate ‘ drive-urile’ si din toate directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar fisierele EXE, dar a fost primul

de acest fel din lume . Cea de-a treia incercare Suriv-03, un virus ce ataca atat fisierele EXE, cat si cele COM .

Tot in acea vreme, un student de la Universitatea din Wellington, Noua Zeelanda, a gasit o cale foarte simpla de a crea un virus foarte eficient . O singura data din opt, cand se booteaza de pe o discheta infectata, virusul se declanseaza si pe monitor aparea mesajul ‘PC-ul tau este acum impietrit’ de unde si numele virusului (STRONED). Virusul in sine avea dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in memorie a devenit cel mai raspandit virus din lumea intreaga. Virusul original se numeste scum Stoned.Standard.A , fiind si astazi in topul celor mai raspanditi virusi .

In Italia, la Universitatea din Torino, un programator a scris si el un virus de sector boot . Daca discul era accesat, din jumatate in jumatate de ora virusul iti afisa o minge miscatoare pe ecran (bouncing ball) . Virusul avea un defect major - nu putea sa ruleze doar pe calculatoarele 8086 sau 8088, pentru ca folosea o instructiune care nu functiona pe chipuri mai complexe .

Un alt programator german a scris un virus foarte destept numit - Cascade (dupa literele cazatoare pe care le afisa ) . Cea mai mare parte a virusului era encriptata, lasand doar o mica parte necodata, curata, pentru a putea decoda restul cu ea . Rostul acestui mecanism nu a fost destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea obtiunile de alegere a sirului de cautare doar la primi cativa octeti . Cascade trebuia sa verifice si Bios-ul, si daca ar fi gasit un copyright IBM ar fi stopat procesul de infectare . Aceasta parte a codului nu a functionat . Autorul a emis la putin timp dupa aceea o noua versiune a virusului, de 1074 octeti in loc de 1701, cu scopul de a corecta aceasta greseala . Dar si noua versiune avea o scapare : nu era in stare sa detecteze Bios-urile IBM .

Dintre acesti virusi timpurii doar Stoned , Cascade si Jerusalem au rezistat pana in zilele noastre .

1988Este anul in care au aparut primii comercianti de antivirus, pe care le vindeau la preturi

foarte reduse (5-10 USD) . Unele firme au incercat, ocazional, sa se propulseze, dar nimeni nu platea bani seriosi pentru o potentiala problema . Astfel, s-a dat o sansa virusilor Stoned, Cascade si Jerusalem de a se raspandi, fara a fi descoperiti .

Totusi, compania IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut parte de o epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia neplacuta de a-si anunta clientii ca s-ar putea sa fi fost infectati . De fapt, nu a fost o problema foarte serioasa dar, din acel moment, IBM a luat problema in seros si, drept rezultat, la High Integrity Computing Laboratory din Yorktown s-a decis sa se inceapa cercetarile in acest domeniu .

La sfarsitul lui 1988 au avut loc aproape simultan mai multe evenimente : o epidemie mare de Jerusalem(Suriv-04) intr-o institutie financiara, virusul afecteaza fisierele .exe si .com si sterge toate programele rulate in cursul acelei zile; al doilea - o firma britanica numita S&S a tinut primul seminar pe tema virusilor, seminar care a explicat in premiera ce este un virus si cum lucreaza el ; al treilea - a avut loc epidemia de ‘Vineri 13’ . Un lucru era clar pentru toti : instituti financiare, grupurile academice si persoanele fizice ar putea cu usurinta sa faca fata unei epidemii, daca ar avea uneltele necesare . Tot ce trebuia era un detector eficient de virusi, care nu era insa disponibil .

Ca atare, a fost crea primul Anti Virus Toolkint .

1989Un scotian a contactat cercetatori din Anglia si le-a comunicat ca a gasit un virus in hard

disk-ul sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va declansa din nou pe data de 13 luna viitoare . Cand virusul a fost dezansamblat, s-a constataca ca in orice zi dupa octombrie el declansa o formatare low level a cilindrului zero de pe hard disk, care determina pe cele mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si lasa utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A fost publicata o analiza a efectelor virusului dar s-a constataca ca era vorba, de fapt, de un alt virus, nerezident in memorie . In America oameni au inceput sa-l numeasca ‘Columbus Day Virus ‘ (12 octombrie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel Rosu a adescoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era de a rula un detector .

In luna iulie, companiile scotiene au inceput sa intrebe IBM daca virusii sunt o amenintare serioasa . Datacrime nu exista poate, dar exista posibilitatea ca o firma sa se infecteza cu Jerusalem, Cascade sau Stoned . ‘Ce face IBM-ul impotriva acestei amenintari ?’ , au intrebat ei .IBM detinea un program antivirus, insa era folosit doar pentru uz intern . IBM avea o dilema :daca nu oferea acest software clientilor si daca pe 13 octombrie o serie de calculatoare ar fi cazut, reputatia sa avea de suferit . In septembrie 1989, IBM a scos pe piata impreuna cu o scrisoare prin care ei explicau clientilor despre ce era vorba . 13 octombrie a cazut intr-o vineri, asa ca a fost un eveniment dub - Jerusalem si Datacrime . In SUA, Datacrime a fost exagerat si confundat cu unul care nu este atat de periculos ca acesta . In Londra, Royal National Institute for the Blind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de cercetare, reprezentand luni intregi de munca . Acest eveniment a fost investigat si se inregistrase intradevar o mica eruptie de Jerusalem si cateva fisiere usor de inlocuit au fost sterse .

1990Mark Washburn a analizat virusul Viena si a creat pe baza lui primul virus polimorf .

Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si ca exista un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama larga de forme si, in primi virusi, cel mai lung sir de cautare posibil era doar de doi octeti (V2P6 a caborat acest prag pana la octet ) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posibilii descriptori .

Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era acea de ‘infector rapid’ . In cazul acestora daca virusul era in memorie, atunci simpla deschidere a unui fisier pentru citire ducea la infectare . Hard disk-ul este infectat foarte repede . Cea de-a doua idee noua in acest virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda de timp, se face un back-up al fisierelor corupte si, cand este refacut back-up-ul, datele sunt de nefolosit .

La sfarsitul anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie sa fie mult mai organizati, asadar a luat nastere in Hamburg EICAR (European Institute for Computer Antivirus Research), in decembrie 1990 . La vremea cand a fost creat EICAR existau aproximativ 150 de virusi , iar pana la sfarsitul anului au fost cunoscuti si catalogati 300 de virusi.

In luna decembrie a aceluias an Symantec lanseaza pe piata Norton AntiVirus, unul dintre primele programe antivirus dezvoltate de catre una dintre marile companii.

1991La sfarsitul anului existau peste 1000 de virusi.In luna aprilie Central Point a lansat CPAV. Acesta a fost repede urmat de XTree, Fifth

Generation si altii .Tequila este primul virus polimorf cu raspandire pe scara larga gasit "in the wild".

Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin schimbarea modul de actiune cu fiecare noua infectie.

1992Exista 1300 de virusi, cu aproape 420% mai multi decat in decembrie 1990. Previziunile

sumbre ale virusului Michelangelo ameninta colapsul a circa 5 milioane de calculatoare pe data de 6 martie. Insa doar 5,000-10,000 de calculatoare se intampla sa "dea coltul".

1994Erau inregistrati peste 4000 de virusi.Farsa de proportii din partea email-ului hoax (alarma falsa) Good Times. Farsa se

bazeaza pe amenintarea unui virus sofisticat care e capabil sa stearga un intreg hard prin simpla deschidere a emailului al carui subiect este "Good Times". Desi se stie despre ce e vorba, hoasul revine la un interval de 6-12 luni.

1995Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de

macrovirus, devenind în scurt timp o adevărată ameninţare, deoarece erau mult mai uşor de fabricat decât părinţii lor viruşii. Aceştia nu erau adresaţi numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi folosiţi pentru orice program, uşurându-se calea de apariţie a cunoscuţilor microvirusi care au infestat fişierele la acea vreme produsul Lotus AmiPro. Primul dintre macroviruşi a fost cel folosit în Word si Word Basic.

Word Concept, virus de Microsoft Word, devine unul dintre cei mai raspanditi virusi din anii '90.

1996In luna iulie a acestui an a aparut si primul microvirus cunoscut sub numele ZM.Laroux

care era destinat distrugerii produsului Microsoft Excel.

1998

StrangeBrew, actualmente inofensiv si totusi raportat, este primul virus care infecteaza fisierele Java. Virusul modifica fisierele CLASS adaugand la mijlocul acestora o copie a sa si incepand executarea programului din interiorul sectiunii virusate.

Virusul Cernobal se raspandeste rapid prin intermediul fisierelor ".exe". Dupa cum o sugereaza si notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un anumit cip din interiorul computerelor infectate.

1999Virusul Melissa, W97M/Melissa, executa un macro dintr-un document atasat emailului,

care transmite mai departe documentul la 50 de adrese existente in Outlook address book. Virusul infecteaza si documente Word pe care le trimite ca atasamente. Melissa se imprastie mult mai rapid decat alti virusi anteriori infectand cam 1 milion de calculatoare.

Bubble Boy este primul virus care nu mai depinde de deschiderea atasamentului pentru a se executa. De indata ce userul deschide email-ul, Bubble Boy se si pune pe treaba.

2000Love Bug, cunoscut si sub numele de ILOVEYOU se raspandeste via Outlook,

asemanator modului de raspandire al Melissei. Acest virus e primit ca un atasament .VBS, sterge fisiere, inclusiv MP3, MP2 si JPG si trimite username-uri si parole gasite in sistem autorului virusului.

W97M.Resume.A, o noua varianta a Melissei, este "in the wild". Virusul se comporta cam ca Melissa, folosindu-se de un macro Word pentru a infecta Outlook-ul si pentru a se raspandi.

Virusul Stages deghizat intr-un email gluma despre etapele vietii, se raspandeste prin Internet. Deloc specific celorlalti virusi anteriori, Stages este ascuns intr-un atasament cu extensie falsa .txt, momind utilizatorii sa-l deschida. Pana la aparitia sa, fisierele text erau considerate fisiere sigure.

In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an . Din 2-3 milioane pe an doar 2-3 virusi pot face probleme serioase in lume . De cand au aparut virusii, companiile au pierdut miliarde de dolari . In 2001 pierderi de 12 miliarde , in 2002 pierderi de 25 de miliarde iar in 2003 - 55 miliarde . Pe 2004 100 miliarde si cifrele cresc in continuare an de an.

Clasificarea virusilorViruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o

proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de şantaj si constrângere. In septembrie 1989 existau cam două duzini de viruşi. Fiecare dintre aceştia avea variante: mici modificări în codul viral sau schimbarea mesajelor

afişate. De exemplu, virusul 17Y4 diferă de virusul 1704 doar cu un octet. În mai 1998 existau aproximativ 20.000 de viruşi (zilnic apar 3 noi viruşi.

O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi.

In forma cea mai generala virusii se impart in: Virusi hardware Virusi software

Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria.

Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si buni cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si cel aplicativ.

Cateva dintre efectele pe care le genereaza virusii software:a) distrugerea unor fişiere;b) modificarea dimensiunii fişierelor;c) ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;d) distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii informaţiei de pe disc;e) diverse efecte grafice/sonore inofensive;

f) încetinirea vitezei de lucru a calculatorului pana la bloc.

Virusii se mai pot imparti in doua mari categorii: Virusi de BOOT Virusi de fisiere

Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar aceştia sunt în număr foarte mic.

Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului de operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice disc logic al hard discului şi orice dischetă care se introduce în unitatea de dischete. Tot în această categorie intra şi viruşii care infectează tabela de partiţii a hard discului. Găsindu-se în tabela de partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.

Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM. Cînd programul infectat este rulat, virusul se activează rămînînd de cele mai multe ori rezident în memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi numai atît, ar fi simplu ! Din păcate viruşii de fişiere sunt de mai multe tipuri. Pînă acum am descris tipul "clasic".

Cei mai mulţi dintre viruşii de fişiere actuali sunt poliformi (se mai numesc mutanţi sau evolutivi). Ei sunt codificaţi, conţinînd doar o mică parte - modulul de decodificare - necodificată. În momentul activării virusului, modulul de decodificare intră în acţiune şi

decodifică restul virusului. Corpul virusului mai conţine - evident, veţi zice - şi un modul de codificare. Folosind un generator de numere pseudoaleatoare acest modul îşi schimbă algoritmul de codificare la fiecare infectare a unui fişier, modificînd modulul de decodificare. Ca urmare, nu există o secvenţă comună mai mare de cîţiva octeţi între două contaminări succesive.

Diabolicul bulgar care-şi zice Dark Avenger (Războinicul Întunecat) a realizat un program numit MutaTion Engine (MtE) care poate transforma orice virus "clasic" într-un virus poliform.

Un tip aparte de viruşi de fişiere îl constituie viruşii Stealth (de furişare). Aceştia sunt capabili să păcălească programele antivirus, simulînd toate apelurile de sistem DOS care ar duce la detectarea lor şi făcîndu-le să întoarcă acele informaţii care s-ar obţine în lipsa atacului. Dacă un virus Stealth este rezident în memorie, el va păcăli un program antivirus care citeşte un fişier infectat cu acest tip de virus, deoarece virusul îşi ascunde propriul cod, arătînd numai codul fişierului. Termenul Stealth provine de la aviaţia "clandestină" a SUA care a reuşit să evite detectarea prin radar în Razboiul din Golf. Această tehnică are o analogie biologică.

Viruşii mai pot fi clasificaţi după următoarele criterii:D upă modul de infectare:

viruşi care infectează fişierele cînd un program infectat este rulat; viruşi care rămîn rezidenţi în memorie cînd un program infectat este rulat şi infectează apoi

toate programele lansate în execuţieDin punct de vedere al capacitatii de multiplicare:

Virusi care se reproduc, infecteaza si distrug; Virusi care nu se reproduc, dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase

urme(Worms).In functie de tipul distrugerilor in sistem:

Virusi care provoaca distrugerea programului in care sunt inclusi; Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul se manifesta

prin incetinirea vitezei de lucru, blocarea tastaturii, reinitializarea aleatorie a sistemului, afisarea unor mesaje sau imagini nejustificate;

Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina, alterarea integrala si irecuperabila a informatiei existente.

Dupa pozitia in cadrul fisierului infectat: viruşi care suprascriu fişierul, nemodificîndu-i lungimea (anumiţi viruşi suprascriu numai

zonele rezervate datelor pentru a nu împiedica funcţionarea programului - aceştia se numesc viruşi de cavitate);

viruşi care îşi adaugă codul la sfîrşitul programului; viruşi care îşi adaugă codul la începutul programului

După viteza de infectare:

viruşi rapizi (fast infector), care infectează toate fişierele care sunt descrise (chiar prin scanare fişierele pot fi infectate);

viruşi lenţi, care infectează numai programele care sunt lansate în execuţie.

Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt aproape imposibil de studiat

Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele volumului dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512 octetil “Data crime” si “Vienna” se semnau prin respectiv 1168 si 648 octeti.

Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile sa infecteze un program, fara ca alterarea sa fie prea ostentativa.

Odata introdus pe disc, a doua faza a vietii unui virus este autoprogramarea. Virusii incearca sa infecteze cat mai multe programe, inainte de a ataca propriu-zis. Pentru a opera cat mai eficient, virusii isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca o data. Pe acest principiu lucreaza si antivirusii, adica pe reperarea unei intruziuni. Ei analizeaza unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect major: virusul trebuie indentificat, deci tabela de semnaturi trebuie permanent reactualizata.

Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte prea dramatice.

De exemplu: Virusul ” KeyPress” duce la aparitia pe ecran a sirului “AAAAA”, daca se apasa tasta

“A”.

Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele de muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love You" sau "Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere importante trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua mamei sau cu subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt mail-uri de la companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi scapat de virusi insa, de fapt, ti-i dadea. 

Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat numele dupa o boala care este transmisa de catre sobolani.  HPS il face pe cel infectat sa aiba probleme respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul HPS a fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. Interesant este ca acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie lansat pe piata.

Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand primele sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea altceva decat sa afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana". Insa

unele dintre cele 90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii, Rostov, Smithsonian, StonedMutation) reuseau pana la urma sa-ti blocheze computerul. 

Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca iti infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se infiltra in computerele tuturor curiosilor care deschideau aceste fisiere. Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus la inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi piratat. Dar s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub diferite nume ca Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa pakistaneza acest virus infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in fisierele infectate. Mai manca si 7 KB din memoria computerului facandu-l sa meraga foarte greu. Se pare ca cei doi frati nu mintisera cand au zis ca a fost totul o greseala, pentru ca si-au facut publice numele, adresele, numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i contacteze pentru vaccin.  Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat cele mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei care erau infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in mici cranii si oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea sau sa primeasca telefoane, celelalte functii inteligente fiind neoperabile. Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in 2004 pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul), joc creat special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea mesaje text cu preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul lucru era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in neregula cu mobilul pana nu-ti venea prima factura exorbitanta. 

Cei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor: stergeri, formatari de disc, bruiaj de informatii, modificari in bazele de date,etc.Uneori, virusii atacau dupa o lunga perioada de somnolenta. De exemplu,” Golden Gate” nu devine agresiv decat dupa ce a infectat 500 de programe, “Cyber TechB” nu a actionat, in schimb, decat pana la 31 decembrie 1993.

Morala: utilizatorul avizat(si patit) trebuie sa aiba grija ca periodic sa ruleze programe antivitus.

In manualul de utilizare al MS-DOS, Microsoft imparte virusii in trei categorii:

Virusi care infecteaza sistemul de boot Virusi care infecteaza fisierele Virusi Cal Troian

Ultimii sunt acele programe care aparent au o anumita intrebuintare, dar sunt inzestrati cu proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata astfel:Armati - o forma mai recenta de virusi, care contin proceduri ce impiedica dezasamblarea si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta antidotul (ex:” Whale”).Autoencriptori - inglobeaza in corpul lor metode de criptare sofisticate facand detectia destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare( ex: “Cascade”)Bacteria - este programul care se înmulţeşte rapid si se localizează în sistemul gazdă, ocupând procesorul si memoria centrală a calculatorului, provocând paralizia completă a acestuia. Bomba (Bomb) - este un mecanism, nu neapărat de tip viral, care poate provoca în mod intenţionat distrugerea datelor. Este de fapt ceea ce face faima viruşilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, până la adevărate catastrofe, cum ar fi ştergerea tuturor fişierelor de pe hard disk. Bomba cu ceas (Timer bomb) - este un virus de tip bombă, numit si bombă cu întârziere, programat special pentru a acţiona la un anumit moment de timp. Este de fapt, o secvenţă de program introdusă în sistem, care intră în funcţiune numai condiţionat de o anumită dată si oră. Această caracteristică foarte importantă face ca procesul de detectare să fie foarte dificil, sistemul putând să funcţioneze corect o bună perioadă de timp. Acţiunea lui distructivă este deosebită, putând şterge fişiere, bloca sistemul, formata hard disk-ul si distruge toate fişierele sistem. Bomba logică (Logic bomb) - este un virus de tip bombă, care provoacă stricăciuni atunci când este îndeplinită o anumită condiţie, precum prezenta ori absenta unui nume de fişier pe disc. De fapt, reprezintă un program care poate avea acces în zone de memorie în care utilizatorul nu are acces, caracterizându-se prin efect distructiv puternic si necontrolat. O astfel de secvenţă de program introdusă în sistem, intră în funcţiune numai condiţionat de realizarea unor condiţii prealabile.Camarazi - sunt avantajati de o particularitate a DOS-ului, care executa programele .com inaintea celor .exe. Acesti virusi se ataseaza de fisierele .exe, apoi le copiaza schimband extensia in .com. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. Odata lansat in executie fisierul respectiv, ceea ce se executa nu este fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatiiCalul troian (Trojan horse) - reprezintă programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a cărui execuţie produce efecte secundare nedorite, în general neanticipate de către utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparentă de funcţionare normală.

Calul troian este un program pe calculator care apare pentru a executa funcţii valide, dar conţine ascunse în codul său instrucţiuni ce pot provoca daune sistemelor pe care se instalează şi

rulează, deseori foarte severe. Un exemplu foarte cunoscut astăzi de un astfel de program este cel numit Aids Information Kit Trojan. Pe un model de tip "cal troian" s-a bazat marea păcăleală care a stârnit multă vâlvă la sfârşitul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care păreau să conţină informaţii despre SIDA, au fost expediate de la o adresă bine cunoscută din Londra, către corporaţii, firme de asigurări si profesionişti din domeniul sănătăţii, din Europa si America de Nord. Destinatarii care au încărcat discurile pe calculatoarele lor, au avut surpriza să descopere destul de repede că acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reuşit să şteargă complet datele de pe hard disk-urile pe care au fost copiate. Programele de tip "cal-troian" mai conţin o caracteristică importantă. Spre deosebire de viruşii obişnuiţi de calculator, aceştia nu se pot înmulţi în mod automat. Acest fapt nu constituie însă o consolare semnificativă pentru cineva care tocmai a pierdut zile si luni de muncă pe un calculator.

Alte exemple de cai troieni:1. Remote Access Trojans (RAT's)Acest tip de troian este cel mai folosit in ultimul timp. Multa lume vrea sa detina un astfel de troian pentru a putea avea acces la harddisk-ul victimei. Folosirea unui astfel de troian nu necesita experienta, fiind foarte usor de utilizat. Trebuie doar sa convingeti pe cineva sa ruleze serverul pe computerul lor dupa care ve-ti afla IP-ul victimei avand astfel acces deplin asupra sistemului pe care a fost rulat serverul. In functie de tipul de "RAT" pe care il folositi ve-ti putea efectua anumite operatii asupra sistemelor infectate. Majoritatea troienilor de acest tip prezinta urmatoarele functi:- keylogger;- upload si download;- realizarea unui screenshot;- controlul asupra anumitor componente ale sistemului infectat (CD-ROM, Webcam);Metoda de conectare la sitemul infectat folosita de RAT's (Remote Access Trojans) o reprezinta deschiderea unui port in computerul infectat, prin care se poate conecta orice hacker. Pentru a putea opri alte persoane sa se conecteze la computerul infectat exista posibilitatea de a-l parola sau de a-i schimba portul. Schimbarea portului deschis este un proces foarte important deoarece nu cred ca este bine ca victima sa constate ca de exemplu portul 1243 este deschis.Aproape saptamanal apar noi astfel de programe ce vin cu noi posibilitati dar care au si abilitatea de a nu fi detectate de anti-virusi. De aceea este recomandat sa folositi in general ultimile versiuni de RAT's aparute, pentru a avea un randament cat mai mare.Folosirea acestor programe presupune o atentie marita deoarece daca nu aveti grija va puteti infecta foarte usor devenind din pradator prada.2. Password Sending TrojansScopul acestor troieni este de a afla parolele unui computer iar apoi de a le trimite la o adresa de e-mail specificata fara sa-si dea seama victima.

Marea majoritate a acestor troieni nu repornesc de fiecare data cand Windows-ul se incarca si in general folosesc pentru a trimite mail-urile portul 25.Exista cativa astfel de troieni ce trimit mail-uri si cu alte informatii folositoare.

3. FTP TrojansAceasta categorie de troieni deschid portul 21 pe computerul infectat lasand orice hacker, ce are un client de FTP, sa se conectez la sistemul infectat pentru a putea realiza atat download cat si upload.4. KeyloggersKeyloggers trojans sunt cei mai simpli troieni. Singura operatie pe care o realizeaza este aceea de a inregistra fiecare tasta apasata de victima. In majoritatea cazurilor acesti troieni repornesc de fiecare data cand se incarca Windows-ul. Prezinta posibilitatea de a lucra atat in mod online cat si in mod offline. In modul online ei inregistreaza si trimit in mod direct informatia. Modul offline este activat in momentul in care victima nu mai este conectata la retea (internet), informatia inregistrata fiind salvata pe harddisk-ul victimei asteptand sa fie transferata.5. DesctructiveSingura functie pe care o realizeaza acesti troieni este de a distruge si sterge fisierele. Sunt cei mai simpli si usor de folosit deoarece pot sterge automat toate fisierele cu extensiile .dll .ini sau .exe din computerul infectat. Sunt foarte periculosi si de indata ce ati fost infectat daca nu va dezinfectati computerul intr-un timp cat mai scurt toata informatia stocata pe harddisk nu va mai exista.Acestea sunt cele mai folosite categori de Troieni. Toti sunt periculosi si ar trebui sa aveti grija cum lucrati cu ei.Furisati(stealth) - acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut, deci este infectat . Exemplu:“512”,”Atheus”,”Brain”, ”Damage”, ”Gremlin”,”Holocaust”,”Telecom”Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea iniţială a procesului de încărcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (încărcare) atacă fie sectorul de încărcare principal, fie sectorul de încărcare DOS de pe disc. Toţi viruşii sectorului de încărcare modifică într-un anume fel conţinutul sectorului de boot. Modificările sectorului de boot nu trebuie să fie prea extinse: unii viruşi mai noi din această categorie sunt capabili să infecteze discul fix, modificând doar zece octeţi din acest sector. Exemplu: ”Alameda”,”Ashar”,”Bloodie”,”Cannabis”,”Chaos”.Virus ataşat (Appending virus) - este un virus care îşi ataşează codul la codul existent al fişierului, nedistrugând codul original. Primul care se execută atunci când se lansează fişierul infectat este virusul. Apoi, acesta se multiplică, face sau nu ceva stricăciuni, după care redă controlul codului original si permite programului să se execute normal în continuare. Acesta este modul de acţiune al unui "virus clasic". Virus companion (Companion virus) - este un virus care infectează fişiere de tip .EXE prin crearea unui fişier COM având acelaşi nume si conţinând codul viral. El speculează o anumită caracteristică a sistemului DOS prin care, dacă două programe, unul de tip .EXE si celălalt de tip .COM, au acelaşi nume, atunci se execută mai întâi fişierul de tip .COM.

Virus criptografic (Crypto virus)- un virus care se infiltrează în memoria sistemului si permite folosirea absolut normală a intrărilor si transmiterilor de date, având proprietatea că, la o

anumită dată, se autodistruge, distrugând în acelaşi timp toate datele din sistem si făcându-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de către emiţător aflat la distanţă, prin transmiterea unei comenzi corespunzătoare. Virus critic (Critical virus) - este un virus care pur si simplu se înscrie peste codul unui fişier executabil fără a încerca să păstreze codul original al fişierului infectat. În cele mai multe cazuri, fişierul infectat devine neutilizabil. Cei mai mulţi viruşi de acest fel sunt viruşi vechi, primitivi, existând însă şi excepţii. Virus cu infecţie multiplă (multi-partite virus) - este un virus care infectează atât sectorul de boot, cât si fişierele executabile, având caracteristicile specifice atât ale viruşilor sectorului de încărcare, cât si ale celor paraziţi. Acest tip de virus se ataşează la fişierele executabile, dar îşi plasează codul si în sistemul de operare, de obicei în MBR sau în sectoarele ascunse. Astfel, un virus cu infecţie multiplă devine activ dacă un fişier infectat este executat sau dacă PC-ul este încărcat de pe un disc infectat. Exemplu: ”Authax”,” Crazy Eddie”,”Invader”,” Malaga”,etcVirus de atac binar - este un virus care operează în sistemul de "cal troian", conţinând doar câţiva biţi pentru a se putea lega de sistem, restul fiind de regulă mascat ca un “program neexecutabil” Virus de legătură (Link virus) - este un virus care modifică intrările din tabela de directoare pentru a conduce la corpul virusului. Ca si viruşii ataşaţi, viruşii de legătură nu modifică conţinutul însuşi al fişierelor executabile, însă alterează structura de directoare, legând primul pointer de cluster al intrării de directoare corespunzătoare fişierelor executabile la un singur cluster conţinând codul virusului. Odată ce s-a executat codul virusului, el încarcă fişierul executabil, citind corect valoarea cluster-ului de start care este stocată în altă parte. Virusii de macro fac parte dintr-o nouă generaţie de viruşi de fişiere. Viruşii macro infectează documente, nu programe. Ei pot infecta numai documentele create cu programe care folosesc limbaje macro (Word, Excel). Un exemplu de limbaj macro este WordBasic, care este inclus оn Microsoft Word 7.0.

Pachetul Microsoft Office 97 foloseşte ca limbaj macro pentru programele componente (Word 97, Excel 97, Access 97) o versiune restransa de Visual Basic numită Visual Basic for Applications. Acesta este un limbaj puternic (permite chiar şi apeluri de sistem) care a determinat apariţia viruşilor macro ce infectează şi bazele de date Access 97 (.MDB).

Deci acest tip de viruşi utilizează limbajul de programare macro al unei aplicaţii, pentru a se distribui pe ei înşişi. De obicei fişierele document au ataşate macro-uri care sunt executate automat la deschiderea lor. Unele dintre acestea pot fi de fapt secvenţe virale.

Un virus macro odată activat poate redefini comenzi ale programului care a deschis documentul, cum ar fi salvarea sau tipărirea la imprimantă. Cel mai des acesta modifică comanda de salvare a fişierelor (Save As din meniul File), astfel încît fişierele vor fi salvate numai ca şabloane (template-uri - de exemplu .DOT pentru Word), dar cu extensia specifică documentelor (în exemplul nostru .DOC). În final virusul infectează fişierul sablon global (de exemplu template-ul NORMAL.DOT în cazul programului Microsoft Word), virusand apoi prin intermediul acestuia orice document care se va deschide.

Infecţiile cu un virus macro se răspîndesc mult mai rapid decît infecţiile cu viruşi obişnuiţi, deoarece documentele sunt des folosite şi circulă mai mult decît alte tipuri de fişiere.

Programele Microsoft WordMail, saul Word Internet Assistant nu permit transmiterea virusului. Un document infectat ataşat la un mesaj WordMail, poate fi însă transmis prim E-mail. Deci atenţie la cutia poştală (electronică) !Deoarece se scriu uşor, numărul viruşilor macro a crescut de la 40 în ianuarie 1997, la peste 2000 în vara anului 1998. Mulţi viruşi macro sunt variante ale altora (de exemplu există 86 de variante ale virusului macro Wazzu).Zilnic apar peste 10 viruşi macro.Virus detaşabil (File jumper virus) - este un virus care se dezlipeşte el însuşi de fişierul infectat exact înaintea deschiderii sau execuţiei acestuia şi i se reataşează atunci când programul este închis sau se termină. Această tehnică este foarte eficientă împotriva multor programe de scanare si scheme de validare, deoarece programul de scanare va vedea un fişier "curat" si va considera că totul este în regulă. Aceasta este o tehnică de ascundere (stealth). Virus invizibil (Stealth virus) - este un virus care îşi ascunde prezenta sa, atât faţă de utilizatori, cât si faţă de programele antivirus, de obicei, prin interceptarea serviciilor de întreruperi. Virus morfic (Morphic virus) - un virus care îşi schimbă constant codul de programare si configurarea în scopul evitării unei structuri stabile care ar putea fi uşor identificată şi eliminată.

Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruşii nerezidenţi în memorie nu rămân activi după ce programul infectat a fost executat. El operează după un mecanism simplu si infectează doar executabilele atunci când un program infectat se execută. Comportarea tipică a unui astfel de virus este de a căuta un fişier gazdă potrivit atunci când fişierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă. Virus parazit (Parasitic virus) - este un virus informatic, care se ataşează de alt program si se activează atunci când programul este executat. El poate să se ataşeze fie la începutul programului, fie la sfârşitul său, ori poate chiar să suprascrie o parte din codul programului. Infecţia se răspândeşte, de obicei, atunci când fişierul infectat este executat. Clasa viruşilor paraziţi poate fi separată în două: viruşii care devin rezidenţi în memorie după execuţie şi cei nerezidenţi. Viruşii rezidenţi în memorie tind să infecteze alte fişiere, pe măsură ce acestea sunt accesate, deschise sau executate. Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat, pentru a ocoli sistemele de protecţie acolo unde se instalează. El este criptat si automodificabil. Un virus polimorfic adaugă aleator octeţi de tip "garbage" (gunoi) la codul de decriptare si/sau foloseşte metode de criptare/decriptare pentru a preveni existenta unor secvenţe constante de octeţi. Rezultatul net este un virus care poate avea o înfăţişare diferită în fiecare fişier infectat, făcând astfel mult mai dificilă detectarea lui cu un scaner. Exemplu: ”Andre”,” Cheeba”,”Dark Avenger”,”Phoenix 2000”,” Maltese Fish”,etcVirus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât, chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fişier, să invoce o rutină "trigger" (de declanşare a unei anumite acţiuni) sau să monitorizeze activitatea sistemului. Aproape toţi viruşii care infectează MBR-ul sunt viruşi rezidenţi. În general, viruşii rezidenţi "agaţă" codul sistemului de operare. Marea majoritate a viruşilor actuali folosesc tehnici de ascundere. Există si un termen des folosit în acest domeniu; el se numeşte stealth (ascundere) si desemnează tehnicile folosite de anumiţi viruşi care încearcă să scape de detecţie. De exemplu, un lucru pe care-l pot face viruşii rezidenţi, este să intercepteze comenzile (funcţiile) DOS de tip DIR si să raporteze dimensiunile originale ale fişierelor, si nu cele modificate datorită ataşării virusului. Tehnicile Spawning si File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate. Viruşii spioni - Pe lângă numeroşii viruşi, cunoscuţi la această oră în lumea calculatoarelor, există o categorie aparte de astfel de "intruşi", care au un rol special: acela de a inspecta, în calculatoarele sau reţelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la

proprietar, la o anumită dată şi în anumite condiţii, un raport complet privind "corespondenta" pe Internet si alte "acţiuni" efectuate de către cel spionat prin intermediul calculatorului. Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de poştă electronică şi aşteaptă cuminte până apar condiţiile unui răspuns la aceeaşi adresă. Cât timp se află în reţea, acesta culege informaţiile care îl interesează, le codifică într-un anumit mod, depunându-le într-o listă a sa si apoi le transmite la proprietar. Un virus de acest gen poate pătrunde şi se poate ascunde, de exemplu, într-un fişier tip "doc" primit printr-un e-mail. El îşi începe activitatea odată cu închiderea unui document activ, atunci când verifică dacă acesta a fost infectat cu o anumită parte din codul său special. Unii viruşi din această categorie îşi i-au măsuri ca să nu fie depistaţi si distruşi de programele de dezinfectare. Într-o secvenţă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze diferite mesaje si acţiuni, le adaugă la lista sa secretă şi aşteaptă condiţiile ca să le transmită la destinatar, nimeni altul decât cel care l-a expediat. În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca şi cum în casa noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete şi nesecrete şi, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care aşteaptă. Din păcate, viruşii spioni sunt de multe ori neglijaţi. Nici chiar programele de dezinfectare nu sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o acţiune distructivă directă. Totuşi, pagubele pot fi uneori însemnate, nemaipunând la socoteală şi faptul că nimeni pe lumea aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare. Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intruşi" există şi pot pătrunde în viaţa noastră şi pe această cale.Un astfel de virus spion a fost descoperit de un student în primăvara anului 1999, în reţeaua de calculatoare a dezvoltătorilor de software ai Direcţiei Informatică din CS Sidex SA, de catre un student.Un program care acţionează în acest mod este cunoscut în literatura de specialitate cu numele de spyware (spion). O serie de viruşi de e-mail, precum celebrul Melissa, încearcă să trimită documente confidenţiale - personale sau ale companiei la care lucraţi. Iar dacă celebrul cal troian numit "Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului PC oricui va solicita acest lucru. Chiar si în condiţiile în care sistemul este bine protejat împotriva atacurilor din exterior, este posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectaţi la Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web.

Unele programe spyware sunt instalate în mod automat atunci când vizitaţi un anumit site de Web ce face apel la ele. Altele sunt instalate împreună cu aplicaţii de tip shareware sau freeware. Instalarea se produce uneori fără a fi conştienţi de ea sau chiar acceptabilă prin apăsarea butonului Yes fără citirea textului licenţei de utilizare. Programele spyware nu sunt denumite astfel pentru că ele "fură" informaţii private ci pentru modul secret în care acţionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea utilizatorului. Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de recepţionat mesaje publicitare, afişează aceste informaţii în programele asociate si încearcă să ajusteze mesajul publicitar preferinţelor si obiceiurilor utilizatorilor. Altele colectează informaţii statistice pentru clienţii lor. Toate aceste programe pretind că vă protejează informaţiile private si la o analiză atentă se dovedeşte că au dreptate. Informaţiile nepersonale ce sunt adunate de aceste programe ar putea fi totuşi folosite într-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.

Ce este un vierme de calculator?

Viermele (Worm) - este un program care, inserat într-o reţea de calculatoare, devine activ într-o staţie de lucru în care nu se rulează nici un program. El nu infectează alte fişiere, aşa cum fac adevăraţii viruşi. Se multiplică însă în mai multe copii pe sistem si, mai ales, într-un sistem distribuit de calcul. În acest fel "mănâncă" din resursele sistemului (RAM, disc, CPU etc.).Un vierme este un tip de virus care poate sa infecteze un sistem fara sa fie nevoie sa ruleze un cod; acesta poate sa exploateze vulnerabilitatile aplicatiilor software si sa se instaleze automat in computer. Si acest tip de virus se va raspandi in retea si va incerca sa foloseasca vulnerabilitatile descoperite pentru multiplicarea cat mai multor sisteme.Un vierme este asemanator unui virus prin faptul ca se auto-copiaza, diferenta constând în faptul ca un vierme nu are nevoie sa se ataseze la anumite fisiere pentru a se multiplica.

Istoria viermilorAparitia:Pe 2 noiembrie 1988 unele din calculatoarele cuplate la reteaua numita Internet, care lega o parte dintre marile universitati si centre de cercetare americane, au început sa exhibe simptome ciudate. Calculatoarele executau tot felul de programe, compilau surse si comunicau cu alte calculatoare din retea, fara ca cineva sa fi initiat aceste activitati. Prima alarma a fost pornita la universitatea Stanford, la ora 9 seara (ora coastei de est a Statelor Unite), care afirma ca majoritatea masinilor Unix din campus (în numar de vreo 2500) erau infectate de un virus care pornise de la MIT. La ora 10 seara programatorii de la MIT au descoperit si ei o activitate suspicioasa si au încercat sa reboot-eze calculatoarele, crezînd ca e vorba de un program care a luat-o razna. Cînd au observat însa ca, nu mult timp dupa repornire, calculatoarele re-începeau acelasi lant de activitati bizare, au realizat ca ceva mai serios se afla la mijloc.

În curînd mesaje de e-mail schimbate cu colegi de la alte universitati le-au revelat ca atacul era universal: calculatoare din toata America sufereau deaceleasi simptome. Au urmat apoi doua nopti albe si munca în foc continuu în care hacker-ii încercau sa înteleaga în ce fel functioneaza noul virus care le ataca calculatoarele. La fel ca si cei biologici, virusii de obicei calatoresc în spinarea altor programe, care forteaza celulele organismului gazda sa-I multiplice. Programul cel nou era însa autonom; ca atare a fost botezat ``vierme'': era un organism de sine-statator, capabil sa se multiplice si sa atace de la sine alte calculatoare.Cercetatorii au atacat viermele prin mai multe metode:• au început sa-l dezasambleze si sa descifreze instructiunile din care era compus;• au creat masini-capcana pe care sa le infecteze, care înregistrau o multime de detalii despre ceea ce se petrecea cu ele însele (creau ``log-uri'');• au creat masini-mutant pe care le paralizau partial, pentru a descoperi care sunt serviciile de care viermele are nevoie pentru a se putea multiplica;Viermele acesta era deosebit de virulent si complicat, atacînd statii de lucru Sunsi VAX care rulau sistemul de operare Unix de la Berkeley. Viermele folosea mai multe metode de propagare, exploatînd mai multe slabiciuni în configurarea calculatoarelor si implementarea programelor:• Întîi încerca sa se transfere între calculatoare pe care acelasi utilizatoravea conturi diferite si între care utilizatorul îsi configurase acces faraparole (folosind fisierele .rhosts);• Daca nu reusea folosind acest mecanism, încerca sa foloseasca o slabiciune din programul send mail, care si la ora actuala este cel mai folosit program pentru procesarea postei electronice. Pe multe calculatoare send mail era instalat compilat cu o configuratie de depanare, care permitea executarea unor comenzi de la distanta;• În fine, viermele exploata un bug din implementarea programului finger, care este folosit în mod normal pentru a vedea cine lucreaza pe un calculator la distanta. Viermele exploata pentru prima oara un tip de bug care este la ora actuala extrem de folosit de alte animale de acelasi gen:buffer overflow. Viermele trimitea programului fingerd, care primeste întrebari despre utilizatori prin retea, un nume de utilizator foarte lung,care depasea memoria alocata pentru receptia mesajului. Numele era atît de lung încît scria gunoi peste stiva programului si modifica valoarea salvata a registrului PC. Aceasta cauza un salt la o adresa dinainte stabilita, aflata în numele foarte lung, unde viermele continea codul care prelua controlul.• Odata instalat pe un calculator, viermele încerca sa decripteze unele din parolele utilizatorilor folosind un dictionar de parole obisnuite, pentru a pune mîna pe noi conturi din care sa re-atace folosind prima metoda.• Viermele se propaga în doua etape pe un nou calculator pe care-l infecta: întîi trimitea un scurt program scris în C, care era compilat pe masinalocala, care apoi aducea si restul viermelui, care consta în module pre-compilate pentru Sun si VAX.• În plus, în interiorul viermelui toate sirurile de caractere (inclusiv comenzilepe care viermele le lanseaza în executie si dictionarul de parole inclus) erau “ascunse” (fiecare caracter este suprapus cu un sau exclusiv cuvaloarea 81).Viermele nu efectua actiuni distructive, cum ar fi stergerea de fisiere sau instalarea de conturi ascunse: singurul efect negativ provenea din faptul ca masinile erau infectate în mod repetat, si repede nu faceau altceva decît sa execute copii ale viermelui.

Cercetari ulterioare au relevat faptul ca viermele fusese creat si lansat de un student la doctorat al universitatii Cornell, pe nume Robert Tappan Morris. În mod oarecum ironic, Morris este fiul unui alt Robert Morris, care era pe vremea aceea era cercetator la National Security Agency, o organizatie guvernamentala americana însarcinata cu criptologia.Robert Morris a fost condamnat la trei ani de închisoare cu suspendare pentru fapta sa, 10000 de dolari amenda si 400 de ore de munca în serviciul comunitatii.Dupa terminarea sentintei Robert Morris a terminat doctoratul la universitatea Harvard si începînd din 1999 este profesor la universitatea MIT, lucrînd în domeniul retelelor de calculatoare.Morris nu a avut aceste succese ulterioare datorita pataniei cu viermele: el a reusitsa-si “repare” cariera în pofida istoriei cu viermele, pentru ca este foarte capabil si inteligent. În prezent refuza sa vorbeasca despre vierme sau sa faca cercetare în securitatea calculatoarelor.O multime de rapoarte au descris aceste evenimente în detaliu si au discutat problema securitatii în Internet imediat dupa aceste evenimente. Cu toate acestea, nimic nu s-a schimbat...

Clasificari ale viermilorViermii care se transmit prin e-mailE-mailul este una din cele mai folosite metode de imprastiere a viermilor. De obicei, este sub forma unui e-mail cu atasament (o poza sau un fisier text), iar cand utilizatorul ruleaza acest atasament, viermele va infecta calculatorul. Dupa ce calculatorul este infectat, viermele va incerca sa gaseasca alte adrese de e-mail pe calculator (de obicei in fisierele de configurare ale clientilor de e-mail) si se va trimite automat la toate adresele pe care le gaseste, pornind astfel un nou ciclu.Viermii care se transmit prin IM (Internet Messaging)Viermii care se transmit prin IM se vor imprastia folosind clienti de IM (Yahoo,MSN, AOL..). Ei actioneaza trimitind tuturor celor din lista celui infectat un link spre un fisier infectat sau spre un site. Cand este dat click pe linkul respectiv, viermele este downloadat si rulat. Astfel se va infecta calculatorul respectiv.Viermele va incepe sa scaneze lista de contacte a calculatorului respectiv, trimitand acelasi link la toti cei din lista, pornind astfel un nou ciclu.Viermii care se transmit prin InternetExista posibilitatea sa te infectezi cu un vierme doar fiind conectat la Internet.Unii viermi cauta Internetul pentru a gasi calculatoare vulnerabile (fara update-uride securitate, fara firewall). Odata gasit un calculator vulnerabil, va incerca sa se copieze si sa se instaleze pe acesta.Viermii care se transmit prin reteaSunt viermi care se copiaza automat intr-un director care este vizibil in reteaua locala (share), si se redenumeste automat astfel incat sa atraga atentia, fiind apoi downloadat de catre utilizatorii din retea. Utilizatorii care cred ca downloadeaza o oarecare aplicatie, vor ajunge infectati cu acel vierme.

Viermele Caric-A: aparut tot in perioada scandalului cu Bill Clinton, acest program malitios se activa dupa ce deschideai un atasament de mail cu o caricatura a lui Clinton cantand la saxofon din care iesea un sutien.

Viermele Wurmark: a aparut in 2005 si era ascuns intr-o poza cu un batranel haios. Dupa ce descarcai poza in computer, viermele instala un troian care le permitea hacker-ilor sa preia controlul partilor infectate din calculator. Nu numai ca si tu transmiteai fara sa vrei mai departe virusul, mai mult, iti si stergea la intamplare fisiere din computer sau le trimitea la contactele din lista de mail.  Viermele Cuebot-K: acesta a facut multa valva. Sistemul antipiraterie creat de Windows, Windows Genuine Advantage (WGA), era acuzat de catre utilizatori ca fiind de fapt o forma de spyware. Microsoft a incercat sa rezolve problema creand o versiune noua a programului, lucru de care au profitat programatorii de virusuri creand viermele Cuebot-K. Acest program din 2006 a aparut pe net pretinzand ca este noua versiune Microsoft. Se lansa singur cand deschideai computerul si afisa mesaje cum ca dezinstalarea lui va face computerul sa se blocheze. Dar ce facea cel mai rau, era sa deschida o usa din spate prin care hackerii puteau sa-ti intre in computer.

Care sunt simptomele unui sistem virusat?

Cei care sunt iniţiaţi în domeniul viruşilor de calculatoare nu vor avea probabil dificultăti în a spune dacă un calculator este suspect de a fi infectat cu un virus nou. Viruşii se pot răspândi nestingheriţi doar atâta timp cât rămân nedetectaţi. Din acest motiv, majoritatea viruşilor nu îşi manifestă prezenţa în sistem. Numai programele antivirus pot detecta prezenta unei asemenea infecţii. Există, totuşi, mai multi viruşi, ce îsi fac simţită prezenţa în sistem prin efectele secundare generate.

Câteva "simptome" specifice calculatoarelor virusate (lista este orientativã, cazurile reale fiind mult mai numeroase si diverse):

fişierele sistem cresc în lungime (de exemplu în DOS 6.20 fişierul command.com are 54619 octeţi, iar pe un calculator virusat el poate avea, să zicem cu 1200 de octeţi mai mult, respectiv 55819);

blocări frecvente - majoritatea viruşilor sunt extrem de prost scrişi si blochează calculatorul extrem de des. Viruşii sunt de altfel cunoscuţi ca cele mai incompatibile programe (exceptând viruşii multiplatformã, ca de exemplu clasa "Concept" - viruşii de .doc Word);

mesaje ciudate, melodii sau sunete suspecte în difuzor. Mulţi viruţi îşi fac anunţatã prezenţa prin astfel de efecte;

distrugerile de date sunt alt efect al viruşilor. Dispariţia subită a unui fişier sau erori ale sistemului de fişiere sunt clasice;

încetinirea accesului la disc este produs de unii viruşi stealth care se interpun între programe şi sistemul de acces la discuri;

la apăsarea tastelor CTRL+ALT+DEL calculatorul boot-ează instantaneu fără a mai trece prin ecranul de POST (power on, self test);

la comanda chkdsk majoritatea programelor executabile sunt raportate ca având o lungime incorectă: efect al unor viruşi stealth;

dimensiunea memoriei afişată de programele specializate este mai mică decât 640Kb. Uneori acest efect este generat de unele managere de memorie fără a fi vorba de un virus, dar de obicei indică prezenţa unui virus;

programele de tip self-check raportează cã au fost modificate; nu mai porneşte Windows sau se raportează că accesul la disc se face prin BIOS; schimbări ale marcajului de timp al fişierelor; încărcarea mai grea a programelor; operarea înceată a calculatorului; sectoare defecte pe dischete.

Modalitati de protectie. Programe antivirus

Odata ajuns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actioneaza in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind astfel considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea activa,usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea unor fisiere sau chiar reformatatrea hard disk-ului.

Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au nevoie de o gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul. Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza. Atasarea se poate face la inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie.

In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.

Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta a invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de initializare.

O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume de control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului.

Virusii care se inmultesc din ce in ce mai mult, polifereaza datorita urmatorilor factori: Punerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi, pe

baza carora s-au scris mai multe variante de noi virusi Aparitia si punerea in circulatie, cu documentatie sursa completa, a unor pachete de programe

specializate pentru generarea de virusi. Doua dintre acestea sunt Man’s VCL (Nuke) si PC-MPC de la Phalcon/Skim; ambele au fost puse in circulatie in 1992.

Distribuirea in 1992, via BBS-ului bulgar, a programului MTE - “ masina de produs mutatii”- conceput de Dark Avenger din Sofia. Acest program este insotit de o documentatie de utilizare suficient de detaliata si de un virus simplu, didactic.

Link-editarea unui virus existent cu MTE si un generator de numere aleatoare duce la transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si schimba secventa de instructiuni la fiecare multiplicare, functia de baza ramanand nealterata,dar devenind practic de nedectat prin scanare

Raspandirea BBS-urilor (Bulletin Board System), care permit oricarui utilizator Pc dotat cu un modem sa transmita programe spre si dinspre un calculator. Un sitem este lipsit de virusi, daca in memorie nu este rezident sau ascuns nici un virus,iar programele care se ruleaza sunt curate. In aceasta conceptie, programul antivirus vizeaza atat memoria calculatoarelor, cat si programele executabile. Cum in practica nu poate fi evitata importarea de fisiere virusate, metode antivirus cauta sa asigure protectie in anumite cazuri perticulare, si anume:

la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste scanarea. Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi caracateristice virusilor din biblioteca programului de scanare;

daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de control. Aceste sume constituie o semnatura a programului si orice modificare a lui va duce la o modificare a sumei sale de control;

in calculator exista o serie de programe care nu se modifica, reprezentand zestrea se soft a calculatorului, care se protejeaza pur si simplu la scriere.

Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in faza primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior (de pe o discheta sistem curata), in faza activa,deoarece in numeroase cazuri poate recupera fisierele infectate. Concluzii:

aria de actiune; memoria si fisierele de interes; protectia se mnifesta la primul contact cu orice fisier; permite dezinfectarea; nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului de

scanare; timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere

protejate; exista alarme false, daca semnatura virusului este prea scurta; foloseste ca resursa memoria calculatorului; opereaza automat (ca un TSR).

Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu permite recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor,orice fisier infectat putand fi detectat. In faza activa,insa metoda este neputicioasa.

Programele de protectie-programe antivirus- au rolul de a realiza simultan urmatoarele activitati:

prevenirea contaminarii; detectarea virusului; eliminarea virusului, cu refacerea contextului initial;

In general, exista doua categorii de programe antivirus: programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de virusi

recunoscuti; programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau cele care

par dubioase. In categoria programelor de vierificare se include cele de tip SCANxxx,unde prin xxx s-a specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108, SCAN200. Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta verificare, utilizatorul va incerca aliminarea virusului depistat,prin intermediul programelor CLEARxxx, prin specificarea numelui virusului; de remarcat ca, folosind acest program, nu exista certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a localizarii acestora in locuri care nu pot fi intotdeauna reperate.

În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă proteja sistemul împotriva viruşilor calculatoarelor : - nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu sunteţi sigur că ele sunt fără viruşi (eventual aţi văzut pe altcineva folosind programul fără probleme). - nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau în regim shareware, dacă nu se precizează că se verifică fiecare program vândut. - nu încărcaţi niciodată un program transmis de curând pe un sistem de buletine informative, până când el nu a fost verificat de operatorul de sistem. Când încărcaţi programul, faceţi-o pe un sistem cu două unităţi de dischetă, astfel încât el să nu se apropie de hard disk. - nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi. - cumpăraţi şi folosiţi programe recunoscute de detectare a viruşilor - instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze fişierele pe care le copiaţi în calculator. - instalati un firewall.

- asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente. - pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat.

- niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut provenit de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere. - instalati un program anti-spyware pentru a spori protectia antivirus.

- nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o sursa de incredere. - verificati in care certificate ale companiilor software puteti avea incredere. - folositi o carte de credit numai pentru cumparaturi on-line.

- nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.

.

Actualii virusi si viermi

Amenintarile informatice din prima jumatate a anului 2008 au urmat si in Romania aceleasi tendinte de intensificare si diversificare inregistrate la nivel global, clasamentul celor mai periculoase 10 tipuri de malware fiind dominat in proportie de 70% de troieni.

Cercetatorii Laboratorului Antimalware BitDefender au remarcat ca autorii de malware prefera sa profite in continuare de vulnerabilitatile sistemelor informatice prin intermediul virusilor camuflati sub aparenta unor aplicatii legitime. Totodata, se mentine preferinta pentru exploatarea vulnerabilitatilor software.

Prima pozitie este ocupata de Trojan.Clicker.CM, detinator al unui procent de 4,20 din numarul de sisteme infectate in Romania, in semestrul intai al anului 2008. Troianul altereaza resursele sistemului, limitand latimea de banda prin deschiderea in browser a unui numar sporit de ferestre pop-up cu continut comercial, astfel incat sa-l determine pe utilizator sa acceseze site-urile care isi fac reclama in acest mod.

Locul al doilea, cu 4,19% din cifra totala a sistemelor infectate, ii revine lui Trojan.Downloader.JS.Istbar.B, o amenintare JavaScript care, exploatand vulnerabilitati de sistem, descarca si instaleaza malware sub forma de module ActiveX.

Pe pozitia a treia il regasim, la distanta de aproape un procent fata de ocupantul pozitiei secunde, pe Trojan.IFrame.AS, un malware ce exploateaza o vulnerabilitate HTML a aplicatiilor Web browser prin intermediul careia unui sistem i se poate solicita accesarea de continut on-line fara acordul utilizatorului. Si acest troian, asemeni celui plasat pe pozitia precedenta, este folosit ca instrument pentru distributia altor tipuri de malware.

Win32.Jeefo.A se afla pe locul al patrulea, detinand 2,97 procente. Acest agent viral paraziteaza directorul sistemului de operare printr-o copie a fisierului SVCHOST.EXE ce ruleaza ca serviciu pe sistemele unde este instalat Microsoft Windows. Jeefo este responsabil de infectarea tuturor fisierelor executabile din sistem, carora le altereaza continutul prin adaugarea de cod (ce le mareste dimensiunea cu aproximativ 36 Kb), in unele cazuri deteriorandu-le iremediabil.

Locul al cincilea este detinut, cu 2,49%, de Trojan.VB.AIA. Acest troian scris in Visual Basic dezactiveaza prin suprascriere elementele de siguranta pasiva din Norton Antivirus si paraziteaza toate fisierele cu extensia .mpg, .avi, .jpg, .mp3, carora le creeaza duplicate denumite identic in care se inoculeaza, adaugandu-le extensia .exe. Este foarte raspandit, fiind intalnit cu precadere in mediul extrem de favorabil al sistemelor care partajeaza fisiere in retelele Peer-2-Peer.

Trojan.Js.Wonka.UQ, posesor al unui procentaj de 1,96, se plaseaza pe pozitia a sasea. Prezenta constanta pe podiumul clasamentelor malware din Romania in ultimele doua luni, aceasta amenintare JavaScript perturba sistemele gratie unei vulnerabilitati ActiveX din browser-ul Internet Explorer. Troianul este responsabil de descarcarea si raspandirea altor tipuri de malware.

Locul sapte, la diferenta de numai patru sutimi, este ocupat de Win32.Worm.Viking.BU. Agent viral cu predilectie pentru executabile, Viking infecteaza nu doar discurile locale, ci si pe cele partajate in retea, anihiland totodata mai multe solutii de securitate pasiva, precum Kasperski. Viking injecteaza o componenta .DLL in executabilele Internet Explorer sau Windows Explorer, descarcand simultan alte fisiere stocate pe Web, pe care, ulterior, incearca sa le execute pe sistemul compromis.

Win32.Fidcop.Gen se claseaza al optulea, la numai doua sutimi distanta de ocupantul pozitiei precedente. Si aceasta tulpina virala vizeaza atat fisierele executabile locale, cat si pe cele stocate in retea, evitandu-le insa pe cele din directoare ale caror nume contin elemente precum „Win”, „Program Files”, „Music” sau „Documents and”. Prin intermediul unui fisier numit „ole16.dll” pe care-l introduce in directorul System32 din Microsoft Windows, Fidcop infecteaza sistemul si identifica procesele din spatele ferestrelor active de pe desktop care au o anumita dimensiune. Apoi, colecteaza si cripteaza toate sirurile alfanumerice introduse de utilizator de la tastatura (precum nume de utilizator, parole de acces etc.) in aceste ferestre si le posteaza pe un forum al carui domeniu este inregistrat in Federatia Rusa.

Pe locul noua, il intalnim pe Trojan.Clicker.HTML.IFrame.AR, care acumuleaza un procentaj de 1,72. Troianul poate fi contractat atunci cand sunt incarcate pagini Web cu potential infectios, precum cele care promoveaza software piratat, pornografie sau care sunt folosite ca instrumente in actiuni de tip phishing. In momentul accesarii, acestea descarca automat un script Java care afecteaza comportamentul browser-ului, prin redirectionarea catre o sursa de malware al carei domeniu este inregistrat, de asemenea, in Federatia Rusa.

Ultima pozitie ii revine lui Trojan.Peed.Gen, cu 1,56%. Una dintre cele mai spectaculoase si longevive specii de malware, Peed creeaza copii infectate ale tuturor executabilelor pe care le depisteaza, atribuindu-le noi nume aleatoare. Simultan, la fiecare 4 secunde scaneaza sistemul si inchide automat orice fereastra care apartine unui produs antimalware. In plus, genereaza trafic prin trimiterea de mesaje carora le anexeaza fisiere executabile infectate catre toate adresele de e-mail pe care le gaseste in sistem.

Numarul total de virusi si infectari Trojan a depasit 1 milion la sfarsitul lui 2008, potrivit lui Jari Heinomen, vicepresedintele F-Secure.

Anul 2009 se arata a fi mult mai agitat din perspectiva amenintarilor informatice decat 2008. Inca din primele zile ale anului au aparut incidente de tip phishing localizate, avand ca tinta banci romanesti, iar realitatea ultimelor zile arata ca 3 din 10 calculatoare sunt predispuse la infectarea cu viermele Downadup, din cauza insuficientelor masuri de securitate luate de companii dar si de utilizatorii individuali.