Curs 5 - Malitiozitate IT(1)

MaliŃiozitate IT Viruşii informatici reprezintă una dintre cele mai evidente şi mai prezente ameninŃări la adresa

securităŃii datelor din cadrul firmelor şi care necesită luarea de măsuri imediate. Detectarea viruşilor informatici şi anihilarea acestora reprezintă prima cerinŃă în asigurarea securităŃii calculatoarelor. Termenul de virus informatic este atât de bine cunoscut ca termen încât atunci când se face referire la acesta se foloseşte doar denumirea de virus. În multe cazuri se face însă confuzie între diferitele tipuri de programe maliŃioase, numindu-le pe toate virus.

NoŃiunea de virus informatic este generală. Aceasta descrie un număr de diferite tipuri de atac asupra calculatoarelor. Un virus reprezintă un cod maliŃios de program care se autocopiază în alte programe şi pe care le modifică. Un cod maliŃios va lansa în execuŃie operaŃii care vor avea efect asupra securităŃii datelor din calculator. Un cod maliŃios mai este întâlnit şi sub denumirea de cale de atac, program vagabond, vandalizator. Codul maliŃios va contribui la identificarea virusului creând aşa-numita „semnătură“ a virusului. →→→→ Pentru că existenŃa unui cod maliŃios în sistemele de calcul are acŃiune diferită prin însăşi construcŃia codului, este de preferat ca atunci când facem referire la aceste „programe“ maliŃioase să se Ńină cont de gruparea acestora în următoarele categorii:

� viruşi; � viermi; � Cai Troieni; � bombe; � căi ascunse (Trap Doors / Back Doors); � spoofer-e; � hoax (păcăleli); � alte tipuri de programe maliŃioase. Un program maliŃios poate să aibă, şi sunt foarte multe astfel de cazuri, comportamentul mai

multor programe maliŃioase (viruşi). În această categorie se înscriu viruşii hibrizi. Datorită acestui comportament este greu de definit cărei categorii îi aparŃin aceştia. În lucrare o să întâlnim acelaşi program maliŃios care are comportamente multiple.

Un virus este un fragment de cod program care se autocopiază într-un mare număr de programe şi pe care le modifică. Un virus nu este un program independent. Un virus îşi execută codul program numai atunci când programul gazdă, în care se depune, este lansat în execuŃie. Virusul se poate reproduce imediat, infectând alte programe, sau poate aştepta, în funcŃie de cum a fost programat, o anumită dată sau un eveniment la care să se multiplice. Virusul Vineri 13 (Friday 13th virus) se lansa în execuŃie la orice zi din an care era vineri şi avea numărul 13.

Un virus va infecta discul flexibil, discul dur, CD-ROM-ul, casetele şi benzile magnetice şi memoria internă. De aici se poate răspândi cu ajutorul suporturilor de memorie portabile (disc flexibil, CD-ROM, casete şi benzi magnetice, pen sau flash drive-uri), conexiune la reŃea şi modem. Foarte mulŃi viruşi s-au răspândit cu ajutorul discurilor flexibile.

Între viruşi şi viermi (alt program maliŃios) se nasc uneori confuzii. Viruşii sunt consideraŃi distructivi, iar viermii nedistructivi. Un virus alterează sau distruge datele din calculatorul infectat, în timp ce un vierme afectează buna funcŃionare a calculatorului.

Un vierme este un program independent. El se reproduce prin autocopierea de la un calculator la altul prin intermediul reŃelei în cele mai multe cazuri. Spre deosebire de virus, un vierme nu

BURTESCU

alterează sau distruge datele din calculator, dar poate crea disfuncŃionalităŃi în reŃea prin utilizarea resurselor acesteia pentru autoreproducere.

NoŃiunea de vierme informatic a fost introdusă pentru prima dată în anul 1975 de către scriitorul de literatură science fiction John Brunner în cartea The Shockwave Rider. Autorul descrie un program cu numele „tapeworm“ care „trăieşte“ în interiorul computerelor, se multiplică de la calculator la calculator atâta timp cât există o conexiune la reŃea1.

John Schoch şi Joh Hupp, cercetători la Xerox Palo Alto Research Center, dezvoltă la începutul anilor ’80 primul program experimental de tip vierme. Acest program era destinat să se multiplice de la un calculator la altul. Cei doi cercetători descriau viermele în felul următor: „Un vierme este un program care se găseşte într-unul sau mai multe calculatoare... Programul dintr-un calculator poate fi descris ca un segment al viermelui... Segmentele viermelui rămân în comunicare unele cu altele; dacă un segment al viermelui moare, segmentele rămase trebuie să găsească un alt calculator, să-l iniŃializeze şi să-i ataşeze un vierme. Pe măsură ce segmentele se unesc şi apoi părăsesc calculatorul, viermele pare că se mută prin reŃea“.

Un Cal Troian (uneori se foloseşte denumirea de troian) este un fragment de cod care se ascunde în interiorul unui program şi care va executa o operaŃie ascunsă. Un Cal Troian reprezintă cel mai utilizat mecanism pentru a disimula un virus sau un vierme.

Ideea folosirii de astfel de programe vine din mitologie. În timpul războiului Troian, grecii, sub conducerea lui Odiseu, au atacat fără succes cetatea Troia. Atunci, aceştia au construit un cal mare din lemn în care au introdus soldaŃi greci şi pe care l-au lăsat în dar la poarta cetăŃii. Troienii au adus „darul“ în cetate. Noaptea grecii au ieşit din cal şi au deschis porŃile pentru ceilalŃi soldaŃi care au cucerit cetatea.

Un Cal Troian se va ascunde într-un program cunoscut sau o funcŃie apelabilă, care nu creează suspiciuni utilizatorului, dar care va lansa alte operaŃii ilegale. Utilizatorul poate să lanseze în execuŃie un program aparent inofensiv, dar care are încorporat în el un cod neautorizat. FuncŃiile neautorizate realizate de codul program inclus pot să lanseze un virus sau un vierme.

Termenul de „Cal Troian“(Troian Horse)2 a fost folosit pentru prima dată de Dan Eduards de la NSA.

Cazul clasic de atac cu un Cal Troian este descris de Dennis M. Ritchie3. Un atacator va crea un program care capturează parolele (password grabber). Acesta va afişa pe ecranul terminalului prompterul: login:. O dată introduse contul şi parola, acestea sunt preluate de programul care conŃine Calul Troian şi copiate sau trimise la o destinaŃie de unde vor putea fi citite. Pe ecran se afişează mesajul login incorrect. În timp ce utilizatorul, crezând că a introdus greşit contul sau parola, reintroduce combinaŃia ştiută, programul care conŃine calul Troian se opreşte din execuŃie şi urmele sunt şterse. În acest fel au fost capturate contul şi parola utilizatorului fără ca acesta să bănuiască ceva.

Există o categorie specială de troieni care sunt creaŃi ca instrumente de distrugere. În această categorie se include Calul Troian PC Cyborg. Acesta se disimulează într-un program care oferă informaŃii despre virusul informatic AIDS. După ce se instalează în sistem, modifică fişierul AUTOEXEC.BAT şi va contoriza de câte ori se porneşte sistemul infectat. După un număr predefinit de porniri, de regulă 90, troianul ascunde directoarele şi criptează numele fişierelor de pe

1 John Brunner, The Shockwave Rider, Ballantine, New York (NY), 1975. 2 Morie Gasser, „Building a Secure Computer System“, New York (NY), Van Nostrand Reinold, 1988. Donn B. Parker, „The Troian Horse Virus and Other Crimoids“, ACM Press, Adisson Wesley, Reading (MA), 1990. 3 Denis M. Ritchie, „On the Security of UNIX“, UNIX Manager Manual, 4.3 BSD, University of California, Berkeley (CA), 1986.

BURTESCU

disc. Un alt tip de troian, distribuit prin reŃeaua Usenet şi prin e-mail, denumit AOLGOLD, va instala dintr-o arhivă un program care se vrea o îmbunătăŃire a Usenet, dar care de fapt va şterge de pe discul dur o serie de directoare, printre care:

C:\dos; C:\windows; C:\windows\system. Există cai troieni care nu lasă urme ale prezenŃei lor, nu creează distrugeri detectabile, pot să

stea nelimitat în programe şi pot să se autodistrugă înainte de a fi detectaŃi. O bombă este un tip de Cal Troian folosit cu scopul de a lansa un virus, un vierme sau un alt tip

de atac. O bombă poate fi un program independent sau o bucată de cod care va fi instalată de un programator. O bombă se va activa la o anumită dată sau atunci când anumite condiŃii sunt îndeplinite.

Tehnic, există două tipuri de bombe: de timp şi logice. O bombă de timp se va activa atunci când se scurge o anumită perioada de timp de la instalare sau când se atinge o anumită dată calendaristică. O bombă logică va acŃiona atunci când se îndeplinesc anumite condiŃii impuse de cel care a creat-o.

Căile ascunse (Trap Doors) sunt mecanisme care sunt create de către proiectanŃii de software pentru a putea să pătrundă în sistemul de calcul ocolind sistemele de protecŃie. Aceste puncte de intrare în sistem sunt lăsate intenŃionat de proiectanŃi pentru a putea să testeze şi monitorizeze programele sau în caz de refuz al accesului să poată să depaneze subrutina de acces. Trap doors-urile sunt folosite în perioada de testare şi apoi sunt eliminate când programul este livrat către utilizator. Acestea sunt eliminate în totalitate sau parŃial, după caz.

În mod normal, un punct de intrare de tip Trap Door este activat de către persoana care l-a creat. Sunt însă şi cazuri când aceste puncte sunt descoperite şi exploatate de persoane răuvoitoare.

Căi ascunse (Back Doors) se pot crea cu ajutorul cailor Troieni. Mecanismul presupune introducerea în calculatorul-Ńintă a unui program care ulterior să deschidă căi de acces către resursele acestuia. Caii Troieni sunt cei mai folosiŃi pentru atingerea acestor scopuri.

Spoofer-ele reprezintă un nume generic dat unor programe care permit unui utilizator, folosind anumite şiretlicuri, să aibă acces la informaŃiile din sistem. De regulă, spoofer-ele, sunt posibile cu ajutorul mecanismelor Cal Troian care vor activa programe care dau acces la informaŃii.

Hoax (păcălelile) sunt mesaje trimise prin e-mail care conŃin avertizări false despre un virus existent şi care cer să fie avertizate toate persoanele cunoscute. Uneori aceste avertizări conŃin şi fişiere ataşate care sunt menite, chipurile, să stopeze sau să elimine presupusul virus. Retrimiterea mesajului la alte destinaŃii face ca virusul să se multiplice fără ca cel care l-a creat să-l proiecteze să se multiplice.

După cum se constată, nu orice program maliŃios este virus. Dacă vrem să fim riguroşi nu trebuie să mai punem laolaltă toate programele, sau codurile de program, care produc pagube.

Pe lângă aceste secvenŃe de cod maliŃios care pot afecta securitatea sistemelor de calcul se mai întâlnesc şi:

� bacterii; � şobolani; � crabi; � târâtoare; � feliatoare de salam. Bacteriile sunt programe care nu creează daune, dar care prin simplă copiere a lor pot să

încetinească performanŃele sistemului. Acesta se pot multiplică în memoria internă sau externă şi să se ajungă la o limitare a spaŃiului.

Şobolanii reprezintă o categorie aparte de programe care se reproduc foarte repede.

BURTESCU

Crabii atacă cu predilecŃie monitoarele sistemelor de calcul. Imaginile pe ecranul monitorului vor fi trunchiate sau ilizibile. Acestea nu produc distrugeri. Se cunosc însă şi situaŃii când aceste programe distrug fizic echipamentele de calcul.

Târâtoarele au aceiaşi structură şi acelaşi comportament ca şi viermii. Feliatoarele „taie“ porŃiuni mici din date. Un atac de tip salami slice va altera una sau două

poziŃii zecimale dintr-un fişier. De exemplu, un astfel de atac va trunchia prin rotunjire în minus un număr de poziŃii zecimale din suma salarială a unui angajat. DiferenŃa, ca sumă, va fi depusă într-un cont al intruderului.

Pentru că toate aceste „programe“ se comportă aparent ca un virus biologic, au primit denumirea generică de virus informatic.

Ca şi virusul biologic, virusul informatic are nevoie de o gazdă pentru a putea să infecteze, să se reproducă, să se răspândească. Aceasta gazdă este formată din informaŃia stocată pe suporturile de memorie. Majoritatea viruşilor infectează fişiere program, din această cauză poartă şi denumirea de virus de fişiere. Atunci când acest fişier, purtător de virus, este lansat în execuŃie de un utilizator care nu ştie de existenŃa infecŃiei, codul maliŃios este autoîncărcat în memoria internă a calculatorului, este executat codul, se caută apoi un alt fişier care să fie infectat şi se autocopiază în acesta. AcŃiunea unui virus informatic este reprezentată schematic în figura următoare (figura 11).

BURTESCU

Figura 11. Modul de acŃiune al unui virus informatic

Conceptul de virus informatic a fost introdus pentru prima dată în anul 1949 de către pionierul calculatoarelor John von Newmann în articolul „Theory and Organization of Complicated Automata“. Conform articolului respectiv, autorul iniŃia ideea de program automultiplicator. Ulterior, ideea a fost preluată, în anul 1950, la Bell Labs, care a fost încorporată în jocul pe calculator denumit „Core War“. În acest joc, participanŃii lansau „organisme“ în calculatorul mainframe şi încercau să preia controlul acestuia.

DefiniŃia de virus informatic avea să fie dată mai târziu, în anul 1983, de către programatorul Len Adleman, care a făcut un experiment pe un calculator VAX 11/750 demonstrând funcŃionarea unui virus.

Ca şi omologul său biologic, virusul informatic are şi el un ciclu de viaŃă. Acest ciclu de viaŃă depinde de mai mulŃi factori, printre care: agresivitatea virusului, modalitatea de disimulare a acestuia, detectarea acestuia, conceperea antidotului şi acŃiunea acestuia. Ca şi în viaŃă reală, informarea corectă a populaŃiei are un mare aport la eradicarea acestuia şi limitarea dezastrelor.

Ciclul de viaŃă al unui virus este exemplificat în figura 12:

Figura 12. Ciclul de viaŃă al unui virus Eforturile depuse pentru detectare, documentare şi eradicare se concretizează în cheltuieli

financiare care uneori pot fi foarte mari pentru anumite firme. În anumite cazuri nu se mai poate face nimic. Virusul şi-a lansat codul distructiv şi s-a multiplicat fără să fie detectat, iar datele nu mai pot fi recuperate. Fiecare virus poate să creeze un număr mai mare sau mai mic de incidente. De asemenea, un virus, poate să creeze pagube mai mari sau mai mici. De regulă, cu cât sunt infectate mai multe calculatoare, cu atât pagubele sunt mai mari. Există viruşi care au un grad de apariŃie mic, dar care produc dezastre mari, precum şi viruşi care au un grad de apariŃie mare, dar produc dezastre mici.

Pasul 1

Programul care conŃine virusul este lansat în

execuŃie.

Pasul 2

Codul virusului este încărcat în

memoria internă (RAM).

Pasul 3

Se lansează în execuŃie codul

virusului.

Pasul 4

Virusul se autocopiază în alte programe.

Crearea Virusul este creat.

Multiplicarea Virusul se copiază de la calculator la calculator.

Activarea Virusul se activează şi lansează în execuŃie codul distructiv.

Detectarea Virusul este detectat şi se încearcă limitarea răspândirii şi limitarea efectelor. Se începe studierea virusului.

Asimilarea Firmele producătoare de pachete de programe antivirus includ semnătura virusului în lista de semnături.

Eradicarea Se folosesc programe antivirus pentru eliminarea acestuia. În anumite cazuri, eliminarea se poate face şi manual.

BURTESCU

Viermii internet (Internet Worms) în mod uzual caută o nouă gazdă şi exploatează golurile de securitate cunoscute. Exemplele cele mai cunoscute de acest tip de viermi sunt variante de Blaster, Nachi (Welchia), şi variante de OpaServ.

Viruşii de e-mail care exploatează vulnerabilităŃile programelor de poştă electronică cum ar fi Outlook şi Outlook Express, permiŃând culegerea de adrese şi trimiterea de mesaje virusate la aceste adrese, formează acea categorie de e-mail-uri numite mass-mailers. În ultima vreme, aceste mesaje care par a veni de la un prieten continuau să atace cu precădere utilizatorii individuali mai mult decât firmele.

Se observă o creştere a numărului viruşilor de e-mail în ultimul an. Viruşii de e-mail standard diferă de cei mass-mail prin faptul că nu provin dintr-o sursă „cunoscută“, nu includ propriul motor de mail şi nu îngreunează traficul de e-mail aşa de mult.

Cea mai comună cale de propagare a unui virus în cadrul firmei este aceea prin partajarea (share) reŃelei. O persoană cu drepturi de administrator va putea să iniŃieze un atac foarte virulent folosind opŃiunea share a reŃelei.

Conexiunile de tip P2P (point to point), care numără 3 milioane de utilizatori, fac să se răspândească foarte mult numărul de viruşi prin schimburile de fişiere virusate între utilizatori.

În ultima vreme se observă o creştere a numărului viruşilor care au posibilitatea de a dezafecta şi chiar de a şterge din calculator programele antivirus. Aceste programe, purtătoare de viruşi, poartă denumirea de AVKill (distrugătoare de antiviruşi). Trebuie amintit aici efectul distrugător al diferitelor variante ale virusului W32/Yaha.

Distributed Denial of Service (DDoS) se folosea de tehnologia client-server pentru a concentra atacul asupra anumitor puncte. Firma Microsoft a fost în ultimul timp Ńinta unor astfel de atacuri.

Bot-Net se foloseşte de canale IRC pentru a accesa şi a prelua controlul asupra calculatorului Ńintă de unde se pot iniŃia atacuri şi de unde se pot prelua informaŃii.

Viruşii care se autoactualizează (self-updating) dispun de instrucŃiuni care verifică site-urile Web sau grupurile usenet pentru a instala noi facilităŃi sau pentru a evita detectarea acestora de către programele antivirus.

Tehnica spoofed-email imită adresa de e-mail a unei persoane şi trimite mesaje virusate ca şi cum ar fi de la acea persoană. Mesajele trimise sunt interceptate de programele antivirus care vor trimite mesaje de avertizare periodice către destinatarul real. Acest lucru va avea ca efect aglomerarea cu mesaje inutile şi alarmarea fără motiv a destinatarului care crede că are un virus pe calculator. Un exemplu de acest fel este W32/SoBig.

Numărul de viruşi care include şi Back Door a crescut semnificativ în anul 2003. Unii dintre aceştia permit ca atacatorul să aibă control total asupra calculatorului virusat.

Folosirea largă a programelor de IM fac ca viruşii să se folosească de acestea pentru o răpândire rapidă.

2.2.2. Categorii de viruşi informatici şi modul lor de acŃiune Programele maliŃioase (coduri maliŃioase) cu comportament de viruşi „standard“ pot fi grupate

în mai multe categorii, în funcŃie de „gazda“ purtătoare. Întâlnim viruşii de: � fişier; � boot; � macro; � script; � e-mail; � Chat şi Instant Messaging;

BURTESCU

� Hoax (păcăleală). Viruşii de fişier reprezintă cea mai răspândită categorie de viruşi. Aceştia sunt şi cei mai

distructivi. Viruşii de fişier, numiŃi uneori şi viruşi de program, îşi depun codul maliŃios într-un fişier program. Când programul respectiv este lansat în execuŃie virusul se copiază în memoria internă a sistemului de calcul şi îşi lansează în execuŃie propriul program de distrugere şi de autocopiere. Trebuie să facem o distincŃie între viruşii de fişier care afectează fişierele executabile şi viruşii de macro care afectează fişierele de tip document. Viruşii de fişiere şi-au făcut apariŃia în anul 1987, o dată cu descoperirea la Universitatea Ebraică din Israel a virusului Jerusalem (Ierusalim).

FuncŃionarea unui virus de fişier este exemplificată în figura 13:

Figura 13. Modul de funcŃionare al unui virus de fişier Infectarea fişierului-gazdă cu virus poate fi făcută în trei moduri distincte: � prin suprascrierea la începutul programului-gazdă; � prin salt la sfârşitul programului-gazdă; � prin suprascrierea datelor rezultate în urma execuŃiei programului-gazdă. Virusarea prin suprascrierea la începutul programului-gazdă nu este prea des folosită deoarece,

în acest fel, programul-gazdă va funcŃiona anormal pentru că, după ce se termină secvenŃa de cod a virusului inserat, se va trece la execuŃia programului-gazdă dintr-o secvenŃă care poate să ducă la blocarea execuŃiei şi la crearea de suspiciuni referitoare la buna funcŃionare a calculatorului.

Acest mod de infectare este exemplificat în figura 14.

Pasul 1 Utilizatorul lansează în execuŃie aplicaŃia. Acesta nu ştie că fişierul aplicaŃie este virusat.

Pasul 2 Codul maliŃios al virusului este încărcat în memoria internă a sistemului de calcul. Virusul preia controlul execuŃiei.

Pasul 3 Virusul se autocopiază în alte fişiere.

Pasul 4 Virusul lansează programul pentru care a fost conceput.

Pasul 5 Programul-gazdă este încărcat în memoria internă.

Pasul 6 Programul-gazdă preia controlul execuŃiei.

BURTESCU

Figura 14. Virusarea prin suprascrierea la începutul programului-gazdă Virusarea prin salt la sfârşitul programului-gazdă presupune ca la începutul fişierului-gazdă să

existe o instrucŃiune de salt necondiŃionat la sfârşitul fişierului unde este ataşat codul maliŃios al virusului. După ce se execută codul virusului se face un salt înapoi la începutul programului-gazdă. În acest fel, programul-gazdă va funcŃiona fără să se blocheze. Se observă însă, în acest caz, o mărire a dimensiunii fişierului-gazdă (figura 15).

Figura 15. Virusarea prin salt la sfârşitul programului-gazdă Virusarea prin suprascrierea datelor rezultate în urma execuŃiei programului-gazdă se face prin

inserarea codului maliŃios a virusului în zona rezervată datelor fără să se afecteze în acest fel funcŃionarea programului. Acest mod de virusare este cel mai greu de detectat, deoarece nu afectează în dimensiune sau conŃinut programul-gazdă (figura 16).

Înainte de infecŃie

Program

După infecŃie

Program

Virus

Start Stop

Start Stop

Program


Program

Start

Stop

Start

Stop După infecŃie

Program

Virus GOTO VIRUS

RETURN (revenire şi continuare

rulare program)

BURTESCU

Figura 16. Virusarea datelor Un virus de fişier mai poate fi descris ca fiind static sau polimorfic. Un virus se poate „adapta“

la anumite condiŃii oferite de sistemul de calcul sau de fişierul-gazdă. Acest virus poartă denumirea de virus adaptabil.

Un virus de fişier este considerat ca fiind static dacă, pe parcursul existenŃei acestuia, nu-şi schimbă structura codului maliŃios. Codul rămâne intact indiferent de numărul şi de amploarea infecŃiei create.

Viruşii de fişier polimorfici sunt capabili să-şi schimbe „semnătura“ atunci când se multiplică de la un sistem de calcul la altul. Din această cauză, aceşti viruşi sunt foarte greu de detectat, producând, de aceea, cele mai mari dezastre.

Modul de infectare cu viruşi a fişierelor poate fi diferit de la virus la virus. O clasificare a viruşilor de fişier Ńinând cont de modul de infectare este următoarea:

� paraziŃi; � suprascriere; � Entry-Point Obscuring; � de companie; � de legătură; � OBJ, LIB şi viruşi cod sursă. Viruşii paraziŃi modifică conŃinutul programului-gazdă, dar lasă cea mai mare parte din el

intactă. Aceşti viruşi se ataşează la începutul sau la sfârşitul programului-gazdă. În anumite situaŃii, codul virusului se poate instala în zone nefolosite din fişier.

Viruşii de suprascriere rescriu (suprascriu) programul-gazdă cu propriul lor program. În acest mod, programul-gazdă nu mai este funcŃional.

Viruşii de tip Entry-Point Obscuring folosesc o metodă ingenioasă de infectare a programului-gazdă. În programul-gazdă se va introduce doar o mică secvenŃă de program care, la îndeplinirea anumitor condiŃii, va lansa în execuŃie codul maliŃios al virusului aflat la o altă locaŃie. Lansarea în execuŃie a programului-gazdă nu va presupune şi lansarea în execuŃie a virusului, acesta aşteptând condiŃiile pentru a putea să-şi lanseze programul distructiv.

Viruşii de companie nu atacă în mod direct fişierul gazdă, dar creează o copie a acestuia care va fi lansată în execuŃie în locul originalului. În acest fel, fişierul original care execută operaŃia de formatare a suporturilor de memorie format.com va fi clonat şi redenumit format.exe. Acest din urmă fişier va conŃine de fapt virusul. Viruşii de companie pot să modifice şi căile (paths) de acces în aşa fel încât să se dea trimitere la fişierele clonate.

Dat

e


Program

Start

Stop

Virus

Start

Stoprt

După infecŃie

Program

GOTO VIRUS Dat

e

BURTESCU

Viruşii de legătură nu modifică decât în mică măsură conŃinutul programului-gazdă. La începutul programului-gazdă se va inocula o instrucŃiune de salt (GOTO, JUMP) la o locaŃie din afara gazdei care va conŃine codul virusului. AcŃiunea este similară cu cea descrisă în modurile de infectare prin salt la sfârşitul programului gazdă sau prin suprascrierea datelor rezultate în urma execuŃiei programului-gazdă.

Viruşii OBJ, LIB şi cod sursă nu au o răspândire aşa de mare. Aceştia infectează modulele obiect (OBJ), bibliotecile compilatoare (LIB), precum şi codurile sursă ale programelor-gazdă.

În cea mai mare măsură însă, viruşii de fişiere afectează fişierele executabile (cu extensiile EXE, COM etc.).

Cei mai cunoscuŃi viruşi de fişier sunt: CASPER, Chernobyl, CRUNCHER, Die-Hard2, Fun Love, Jerusalem, Junkie, Magistr, Natas, Nimda, OneHalf, Plagiarist, Vienna.

CASPER acŃionează asupra fişierelor care au extensia COM. Se activează la dată de 1 aprilie, atunci când un program care-l conŃine este lansat în execuŃie, suprascriind prima pistă de pe suportul de memorie. La o nouă accesare a suportului se va afişa mesajul de eroare Sector not found.

Chernobyl mai este cunoscut şi ca W95/CIH şi este unul dintre cei mai distructivi viruşi. Se copiază în porŃiuni nefolosite din fişierul gazdă. În acest fel mărimea fişierului gazdă rămâne neschimbată. Acesta acŃionează la data de 26 ale fiecărei luni şi suprascrie BIOS-ul4 calculatorului făcând imposibilă o nouă boot-are5. În acelaşi timp suportul de memorie este suprapopulat cu informaŃii inutile. Versiuni ale virusului acŃionează la data de 26 aprilie, dată la care a avut loc accidentul de la centrala nuclearo-electrică sovietică de la Cernobâl. ApariŃia lui a creat panică în rândurile utilizatorilor de calculatoare în anii 1998-1999 deoarece făcea inutilizabil calculatorul necesitând o suprascriere a BIOS-ului cu programul original sau o înlocuire a acestuia, operaŃii costisitoare şi care necesită foarte multă experienŃă. Semnătura acestui virus a fost inclusă în lista de semnături a programelor antivirus şi virusul a fost stopat. Unele firme producătoare de plăci de bază au mers până acolo încât au introdus metode de protecŃie la scriere a BIOS-ului sau au implementat pe placa de bază un al doilea chip6 care conŃinea versiunea originala a BIOS-ului (tehnologia Dual – BIOS).

Cruncher infectează fişierele cu extensia com. Nu afectează fişierul command.com. AcŃiunea lui este destul de simplă, fişierele infectate sunt comprimate.

Die-Hard 2, cunoscut şi ca DH2, este un virus rezident în memorie şi infectează fişierele cu extensia EXE şi COM prin mărirea volumului acestora cu 4000 bytes.

Fun Love infectează fişierele cu extensia EXE, SCR şi OCX din sistemele de operare Windows 9x şi Windows NT. Se multiplică prin infectarea fişierelor cu drept de acces la scriere din folderele partajate în reŃea. Ca o particularitate, virusul infectează fişierele descărcate (download) de pe serverele Microsoft oferite ca depanator (hotfix) pentru diversele probleme ale sistemelor de operare livrate de Microsoft.

Jerusalem infectează fişierele cu extensia COM, EXE, BIN, OVL, SYS, PIF. Pentru prima dată şi-a făcut simŃită prezenŃa în anul 1980, iar de-a lungul timpului a cunoscut 54 de versiuni. Se activează la condiŃia ca data să fie 13 şi ziua vineri (nu este virusul Friday 13). Sistemul infectat va rula aplicaŃiile cu o viteza de zece ori mai mică.

Junkie afectează atât fişierele executabile EXE şi COM prin mărirea dimensiunii acestora cu 64KB cât şi zona de bootare de pe discul flexibil sau dur. Afişează mesajul „Swedeen 1994” sau

4 BIOS – Basic Input Output System 5 Boot-are – Încărcare a sistemului de operare. 6 Chip – Circuit integrat.

BURTESCU

„The Junkie Virus – Writen în Malmo”. Dezafectează programele antivirus incluse în sistemul de operare MS DOS.

Magistr este o combinaŃie între un virus şi un vierme. Este un virus polimorfic rezident în memorie. Este foarte greu de detectat şi analizat deoarece dispune de o subrutină care blochează programul de dezasamblare (debug). Infectează fişierele cu extensia EXE şi SCR. La zece minute după ce se produce infecŃia virusul va trimite mesaje de poştă electronică folosind Outlook sau Outlook Express către destinaŃii culese din Address Book7 (cartea de telefoane). Versiuni ale virusului pot de asemenea să suprascrie memoria CMOS8, să şteargă memoria BIOS şi să distrugă sistemul de fişiere Windows. Este considerat unul dintre cei mai periculoşi viruşi.

Natas este un virus polimorfic. Mai este cunoscut şi sub denumirea de virusul Satan (Natas scris invers). Cele cinci versiuni ale sale infectează atât fişierele cu extensia EXE, COM, OVL cât şi zona de bootare de pe discul flexibil sau dur.

Nimda (Nimda – Admin scris invers) este o combinaŃie de virus de fişier şi vierme Internet. Se răspândeşte prin mesaje de poştă electronică ca fişier ataşat. Virusul creează propriul fişier load.exe, suprascrie fişierul Windows riched20.dll şi creează intrări în fişierul system.ini în aşa fel încât fişierele anterior menŃionate să fie încărcate la lansarea în execuŃie a sistemului de operare. AcŃiunea lui presupune partajarea în reŃea a discurilor de pe servere.

OneHalf este un virus polimorfic cunoscut în opt variante. Versiunile cele mai cunoscute acŃionează atât ca virus de fişier cât şi ca virus de boot. Versiunea de fişier atacă fişierele cu extensia EXE şi COM. La fiecare încărcare (boot-are) a sistemului de operare, virusul, criptează câte doi cilindri de fiecare dată. Când jumătate (one half) din disc a fost afectat se afişează mesajul: Dis is one half. Press any key to continue. Versiunea One-Half.mp.3666(b) afectează şi discurile flexibile.

Plagiarist cu cele patru versiuni acŃionează atât ca virus de fişier cât şi ca virus de boot. Atacă fişiere cu extensia COM şi poate fi detectată prin mărimea cu 2014 byte a fişierului atacat.

Vienna cu cele 57 de versiuni infectează de regulă fişierele cu extensia COM dar pot fi afectate şi fişierele cu extensia EXE. Crearea virusului a pornit ca un experiment în anul 1988 la o universitate din Viena.

Viruşii de boot pot să infecteze sectorul de boot de pe discurile flexibile sau dure. Pe discurile dure infectează de regulă zona de MBR9. Pot fi foarte distructivi, putând bloca sistemul de calcul în timpul operaŃiei de boot-are. De asemenea, pot să distrugă întreaga informaŃie de pe discuri, de regulă de pe discul dur. ApariŃia şi recrudescenŃa acestor viruşi îşi face simŃită prezenŃa încă de la apariŃia primelor suporturi de memorie de tip disc flexibil pe care le infectau şi pe care le foloseau ca purtătoare pentru răspândirea lor. La ora actuală sunt cunoscuŃi peste 1000 (1025) de viruşi sau variante de viruşi de boot. FaŃă de alte tipuri de viruşi, aceştia şi-au limitat acŃiunea datorită limitării folosirii din ce în ce mai puŃin a discurilor flexibile. Nu înseamnă însă că au dispărut în totalitate.

Singurul mod de infectare cu un virus de boot este de a se încărca sistemul de operare de pe o dischetă care conŃine un virus de boot. Aceasta dischetă, la rândul ei, a fost infectată de pe un calculator care conŃinea un virus de boot.

La punerea sub tensiune a sistemului de calcul – pornirea acestuia, se execută în mod normal următoarele acŃiuni în procesul de încărcare (boot-are) (figura 17).

7 Address Book – Carte de telefoane folosită de programele de poştă electronică. 8 CMOS – Complementar Metal Oxyd Semiconductor, memorie care…… 9 MBR – Master Boot Record – Zonă de pe discul dur rezidentă în cilindrul 0, capul 0, sectorul 1.

BURTESCU

Figura 17. Procesul normal de boot-are Procesul de boot-are este modificat considerabil atunci când sistemul este infectat cu un virus

de boot (figura 18).

Figura 18. Procesul de boot-are de pe un disc virusat cu virus de boot Virusarea discurilor flexibile cu viruşi de boot se face prin suprascrierea codului existent în

zona sectorului de boot cu cel al virusului. Virusarea discurilor dure cu viruşi de boot se poate face în trei moduri: � virusul va suprascrie codul MBR; � virusul va suprascrie sectorul de boot; � virusul va modifică adresa sectorului de boot către o adresă care va conŃine codul virusului.

Pasul 1 Se lansează din BIOS instrucŃiunile POST (Power ON Self Test).

Pasul 2 BIOS-ul citeşte informaŃiile referitoare la configuraŃia sistemului de calcul din memoria CMOS.

Pasul 3 BIOS-ul examinează primul sector de pe discul dur Master Boot Record (MBR) sau zona de Boot Record de pe discul flexibil.

Pasul 4 BIOS-ul transferă controlul către secvenŃa de încărcare din MBR sau Boot Record.

Pasul 5 Programul de încărcare examinează tabela de partiŃii pentru a determină câte discuri logice conŃine discul fizic.

Pasul 6 Se transferă controlul către grupul de fişiere sistem.

Pasul 7 Se încarcă driver-ele de sistem şi sistemul de operare este lansat în execuŃie.

Pasul 1 Se lansează din BIOS instrucŃiunile POST (Power ON Self Test).

Pasul 2 BIOS-ul citeşte informaŃiile referitoare la configuraŃia sistemului de calcul din memoria CMOS.

Pasul 3 BIOS-ul examinează primul sector de pe discul dur Master Boot Record (MBR) sau zona de Boot Record de pe discul flexibil.

Pasul 4 BIOS-ul transferă controlul către secvenŃa de încărcare din MBR sau Boot Record care conŃine codul virusului (virusul).

BURTESCU

Virusul va muta, în majoritatea cazurilor, sectorul original de boot într-o altă zonă liberă de pe disc. Din aceasta cauză, eliminarea virusului şi a efectelor acestuia de pe discurile dure pot fi realizate prin comanda ascunsă DOS FDISK/MBR executată de pe un disc flexibil boot-abil nevirusat care va conŃine şi această comandă.

O dată lansat în execuŃie, virusul rămâne rezident în memorie şi va infecta discurile flexibile folosite.

Interesant de remarcat la această categorie de viruşi este modul lor de acŃiune faŃă de alŃi viruşi de acelaşi tip. Pentru că acest tip de viruşi ocupă aceeaşi zonă de pe disc, MBR sau sectorul de boot, nu pot exista mai mulŃi viruşi de boot pe un disc. Ultimul virus instalat îl va şterge pe cel existent pe disc.

Cei mai cunoscuŃi viruşi de boot sunt: Frankenstein, KULROY-B, Matthew, Michelangelo, PARITY, Stoned.

Frankenstein este un virus de boot care este rezident în memorie. Infectează zona de MBR la discurile dure şi zona sectoarelor de boot la discurile flexibile. Ca efect distructiv acesta şterge sectoarele de pe discurile infectate.

KULROY-B mai este cunoscut şi ca LUCIFER.BOOT. Virusul suprascrie zona sectoarelor de boot de pe discuri.

Matthew, cu cele două versiuni ale sale, infectează doar discurile flexibile. Afiseaza, în timpul operaŃiei de boot-are de pe discul flexibil, caractere aleatoare pe ecran.

Michelangelo mai este cunoscut şi ca Stoned.Michelangelo, Stoned.Daniela sau Daniela (este diferit de versiunile Stined). Versiuni ale virusului infectează zonale de boot-are de pe discul flexibil şi dur precum şi zona de MBR de pe discul dur. Se activează la 6 martie, ziua de naştere al lui Michelangelo, în fiecare an şi şterge toate fişierele de pe discul infectat. Versiunea Stoned.Michelangelo (standard, B şi D) se activează la aceiaşi dată şi suprascrie primele 17 sectoare de pe primii 256 de cilindrii de pe discul dur. Şi-a făcut simŃită prezenta în anul 1992 când a infectat milioane de calculatoare.

PARITY infectează MBR la discurile dure şi zona sectoarelor de boot la discurile flexibile. Sistemul virusat va caută la intervale de o ora dacă exista în unitatea de disc flexibil o discheta care conŃine acest virus. Dacă exista o discheta care nu conŃine virusul o va infecta iar dacă nu exista nici o discheta va afişa mesajul „PARITY CHECK” şi va restarta calculatorul.

Stoned, cu cel aproape 50 de versiuni, mai este cunoscut şi ca Bloomington, New Zealand, Stoned.NearDark sau NearDark O parte din aceste versiuni se mai numesc şi Michelangelo. AcŃiunea este asemănătoare cu cea a virusului Michelangelo. Infectează zona de MBR la discurile dure şi zona sectoarelor de boot la discurile flexibile. Versiunea Stoned.June 4th afişează, după un număr de 128 de boot-ari de pe un disc infectat, mesajul „Bloddy! June 4, 1989”. Versiunea Stoned.W-boot.A acŃionează ca un CMOS killer, suprascriind memoria CMOS.

Viruşi de macro, sau macro viruşi, infectează fişierele de tip document. Nu trebuie confundaŃi cu viruşii de fişier care afectează fişierele executabile. Viruşii de macro tind să ia locul, ca modalitate de răspândire fizică, viruşilor de boot. Dacă viruşii de boot se răspândesc cu ajutorul dischetelor purtate de la un utilizator la altul, viruşii de macro se răspândesc cu ajutorul documentelor transmise între utilizatori. FaŃă de viruşii de boot, viruşii de macro sunt mult mai numeroşi, atingând un număr de aproape 5000. Pentru că infectează fişiere de tip document, care sunt portabile pe diferite platforme, pot afecta atât sistemele Windows, cât şi Macintosh.

Primele manifestări ale macro viruşilor au apărut în anul 1995. Paradoxal, primul virus de macro, numit Concept, a fost conŃinut în CD-ROM-urile cu documentaŃii şi programe de aplicaŃii oferite de firma Microsoft, „Microsoft Windows 95 Software Compatibility Test“, „Microsoft Office 95 and Windows 95 Business Guide“ şi „Snap-On Tools for Windows NT CD“. Deşi a fost repede descoperit şi discurile au fost retrase de pe piaŃă, răul fusese făcut şi ideea de virus de macro fusese lansată neintenŃionat.

BURTESCU

Un virus de macro se va folosi de facilitatea de a crea macro comenzi oferită de unele programe cum ar fi Microsoft Office 95/97/2000 şi Lotus Ami Pro. Dacă utilizatorul va folosi facilităŃile oferite prin crearea de comenzi macro pentru a-şi uşura munca, virusul va folosi această facilitate pentru a se răspândi şi a-şi îndeplini scopul distructiv.

Virusul exploatează o aplicaŃie auto-execution macro care este lansată automat în execuŃie când documentul este deschis. Lansată în execuŃie, comanda macro care conŃine codul maliŃios al virusului va putea să şteargă sau să modifice porŃiuni de text, să şteargă sau să redenumească fişiere, să se multiplice şi să creeze alte tipuri de distrugeri. MulŃi viruşi de macro se autocopiază în fişierul normal.dot care este lansat în execuŃie (în Microsoft Word) ori de câte ori este deschis un document. În acest fel, noul document deschis va fi infectat.

Viruşii de macro afectează fişierele cu extensiile: DOC şi DOT – create cu Microsoft Word; XLS şi XLW – create cu Microsoft Excel; ADE, ADP, MDB şi MDE – create cu Microsoft Access; PPT – create cu Microsoft Access; SAM – create cu Lotus Ami Pro; CSC – create cu Corel Draw şi Corel Photo-Paint.

Cei mai răspândiŃi viruşi de macro sunt cei care afectează platformele Microsoft. Şi aceasta nu din cauză că această platformă este mai vulnerabilă ca altele, ci din cauză că cele mai multe documente sunt create cu aceasta.

FuncŃionarea unui virus de macro este exemplificată în figura 19.

Figura 19. FuncŃionarea unui virus de macro Cei mai cunoscuŃi viruşi de macro sunt: Atom, Colors, Concept, DMV, FormatC, Gala,

Hot, Melissa, Nuclear, PPoint.Attach.

Atom şi Concept au o funcŃionare similară. Virusul de macro Concept mai este cunoscut şi sub denumirea de WinWord.Concept, WW6Macro, Word Basic Macro Virus (WBMV), Word Macro 9508 etc. Acesta se autocopiază în Normal template şi se multiplică într-un nou document care este salvat ca DOT template. ExistenŃa virusului poate fi uşor evidenŃiată deoarece la deschiderea unui document infectat, Microsoft Word va afişa mesajul „1”. Macrourile care vor fi adăugate de virus vor purta denumirea AAAZFS, AAAZAO, AutoOpen şi PayLoad.

Colors este cunoscut şi sub denumirea de Rainbow sau WordMacro.Color şi infectează fişierele Microsoft Word alterând culorile Windows şi adăugând macrocomenzile AutoClose, AutoExec, AutoOpen, FileExit, FileNew, FileSave, FileSaveAs şi ToolsMacro.

DMV este prescurtarea de la Demonstration Macro Virus şi reprezintă cum îi spune şi numele o prima încercare de demonstrare a funcŃiunii unui virus de macro în anul 1994.

Pasul 1 Fisierul document este deschis folosind o aplicaŃie dedicată.

Pasul 2 Documentul este încărcat în memorie. Se încarcă în memorie o dată cu documentul şi macrocomanda.

Pasul 3 Se autolansează în execuŃie macrocomanda.

Pasul 4 Se execută codul virusului ca urmare a execuŃiei macrocomenzii. Virusul este încărcat în memorie.

Pasul 5 Virusul va copia propriul macro (macrocomanda) în template-ul iniŃial/standard.

Pasul 6 Virusul lansează programul distructiv. BURTESCU

FormatC este un virus care acŃionează în cel mai clar mod – lansează în execuŃie prin intermediul unei macrocomenzi AutoOpen, comanda FORMAT C: dintr-o fereastra DOS Prompt. Rezultatele sunt fără comentariu.

Gala infectează fişierele Corel SCRIPT folosite în aplicaŃiile Corel. O dată infectate aceste fişiere execuŃia lor este compromisa şi la dată de 6 iunie afişează casete de text cu mesaje şi fragmente de versuri din seria de filme Lord of The Ring (Stăpânul Inelelor).

Hot infectează fişierele Microsoft Word şi hibernează 14 zile după care şterge conŃinutul fişierului deschis. Virusul lansează în execuŃie o serie de macrocomenzi care sunt apoi copiate cu altă denumire în Normal template.

Melissa este cunoscut ca cel mai răspândit virus de macro. Melissa se lansează în execuŃie atunci când un document Microsoft Word infectat este deschis. Virusul deschide programul de poştă electronică Microsoft Outlook şi trimite mesaje care-l conŃin la primii 50 de abonaŃi din Address Book. Subiectul din e-mail conŃine de regulă fraza “Important Message From <name>“, <name> fiind din primii 50 de abonaŃi din Address Book. Fişierul infectat ataşat la mesaj poartă denumirea list.doc. Fişierul normal.dot este infectat şi dacă ora şi minutele calculatorului corespund cu data sistemului (de exemplu 10:30 la dată de 30 octombrie) inserează automat mesajul “Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here”.

De remarcat este faptul ca virusul Melissa nu a fost distructiv prin inserarea acestor mesaje în fişiere ci prin faptul ca a reuşit să blocheze traficul în Internet pentru mai multe zile la importante corporaŃii în luna martie a anului 1999. Din această cauză virusul de macro Melissa a acŃionat ca un vierme. Traficul creat de acesta a paralizat multe servere de poştă electronică unele ajungând la stadiul de refuz al serviciului (DoS).

Nuclear este atât virus de macro cat şi virus de fişier. Infectează fişierele cu extensia EXE, COM, DOC şi DOT. Încarcă următoarele macrocomenzi: InsertPayload, Payload, DropSurviv, AutoOpen, AutoExec, FileExit, FilePrint, FilePrintDefault şi FileSaveAs.

Ca efect, virusul, va insera la sfârşitul fiecărei a douăsprezecea pagină tipărită la imprimantă mesajul „And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC” iar la data de 5 aprilie va şterge sistemul de fişiere (key) din Windows.

PPoint.Attach mai este cunoscut şi sub denumirea de PowerPoint.Attach. Nu este distructiv. AcŃiunea lui este doar să infecteze alte fişiere Power Point.

Viruşii de script sunt creaŃi cu ajutorul unor limbaje numite limbaje script sau scripturi. Există mai multe limbaje script care sunt folosite de la scrierea de programe pentru sistemele de operare şi până la crearea paginilor Web. Deosebirea dintre limbajele script şi limbajele tradiŃionale este aceea că, faŃă de limbajele de programare ca C sau Visual Basic, scripturile sunt mai puŃin complexe. Scriptul reprezintă de fapt un cod de program scris cu un limbaj script. InstrucŃiunile script sunt executate pe rând în mod secvenŃial. Un fişier script este similar cu un fişier de comenzi BATCH din vechile sisteme de operare de tip DOS10.

Un avantaj al acestor limbaje este acela că sunt uşor de învăŃat, din această cauză sunt creaŃi din ce în ce mai mulŃi viruşi cu ajutorul acestora.

Un fişier VBS va conŃine de fapt instrucŃiuni scrise în mod text. Este suficient să se folosească un editor de texte la îndemână, un Windows Notepad sau Word Pad, să se scrie instrucŃiunile şi în final să se salveze fişierul cu extensia VBS. Lansat în execuŃie, fişierul îşi lansează codul distructiv. Un virus de script va putea fi modificat cu uşurinŃă folosind aceste unelte. Rezultatul va fi o nouă variantă de virus.

10 DOS – Disk Operating System – Sistem de operare de tip MS DOS, DR DOS, PTS DOS.

BURTESCU

Se poate face observaŃia că un virus de macro reprezintă de fapt un tip de virus de script deoarece un limbaj macro este la ora actuală un limbaj script.

Cele mai cunoscute limbaje script sunt: Visual Basic Script (VBS), JavaScript (JS) şi ActiveX. Activarea acestor viruşi se face prin intermediul lui Microsoft Windows Scripting Host la

sistemele de operare Windows sau atunci când un document care conŃine virusul este deschis sau vizualizat. Viruşii VBS sau JavaScript se vor activa atunci când fişierele respective vor fi lansate în execuŃie. Dacă o pagina HTML11 conŃine un virus de script, simpla vizualizare a acesteia va lansa în execuŃie codul virusului. Un mesaj de poştă electronică ce conŃine un virus de script va duce, prin deschiderea acestuia, la execuŃia virusului.

Propagarea acestor viruşi se face prin pagini Web infectate, mesaje de poştă electronică (e-mail), prin fişiere ataşate mesajelor de poştă electronică, sesiuni IRC12 sau documente.

În cazul în care se infectează documente aceşti viruşi sunt de fapt viruşi de macro. O clasificare a acestor viruşi poate fi făcută după limbajele care sunt folosite pentru crearea

acestora. Cele mai cunoscute sunt: Visual Basic Script, Windows Script, ActiveX, JavaScript, HTML, MIME, PHP.

Visual Basic Script este cel mai popular în crearea acestor viruşi. Visual Basic Script este o versiune script a limbajului de programare Visual Basic. Un VBS va conŃine linii de comandă care vor fi executate secvenŃial la lansarea în execuŃie a fişierului care le conŃine.

Windows Script permite sistemelor de operare Windows, prin intermediul lui Windows Script Host (WSH), lansarea în execuŃie a diferitelor fişiere create cu ajutorul unui limbaj script. Fişierele create cu ajutorul unor limbaje script – VBS, ActiveX sau JavaScript – au extensia VHS şi pot să modifice funcŃiile sistemului de operare.

ActiveX reprezintă o tehnologie folosită de către Microsoft pentru vizualizarea paginilor Web. Controalele ActiveX sunt folosite pentru gestionarea paginilor Web atunci când sunt încărcate într-un browser de Web şi pot include contoare de vizitatori, butoane etc. ActiveX este creat folosind limbajul ActiveX script. Modificarea acestuia poate duce la deteriorarea sau pierderea datelor din calculator. Browser-ul Internet Explorer de la Microsoft (la versiunile mai vechi de sisteme de operare) avea o serie de goluri de securitate în această privinŃă. În unele cazuri, utilizatorul recurgea la dezactivarea controalelor ActiveX pentru a putea să-şi asigure securitatea.

JavaScript este un limbaj script derivat din Java şi are foarte multe asemănări cu ActiveX. A fost creat pentru a fi încorporat în codul standard HTML la crearea paginilor Web. Poate fi lansat de către Windows Scripting Host şi este încorporat în paginile Web şi poştă electronică.

HTML reprezintă un cod folosit pentru crearea paginilor WEB. Un cod simplu HTML nu poate conŃine un virus, dar o pagină Web creată cu acesta poate conŃine virusul prin încorporarea VBS, JavaScript sau ActiveX.

MIME face posibilă exploatarea unui gol de securitate din Outlook sau Outlook Express care permite vizualizarea automată a unui mesaj. Dacă acest mesaj va conŃine virusul, acesta îşi va lansa codul distructiv.

PHP este un limbaj script folosit la nivel de server pentru crearea paginilor Web dinamice. Pe lângă aceste modalităŃi de creare, lansare şi multiplicare a viruşilor de script se mai întâlnesc şi

cele care acŃionează la nivelul fişierelor cu extensia INF şi REG din sistemele de operare Windows. Modificarea neautorizată a acestor fişiere va duce la disfuncŃionalităŃi ale sistemului.

11 HTML – Hyper Text Markup Language – Limbaj hipertext. 12 IRC – Internet Relay Chat.

BURTESCU

Cei mai cunoscuŃi viruşi de script sunt: 666test, 777, BeanHive, Exploit-MIME.gen, FreeLink, Hard, HTML.Internal, KakWorm, LoveLetter, Monopoly, NewWorld, Rabbit, Regbomb, Script.Inf, Strange Brew, VBS/SST, Win95.SK.

666test este un virus scris în VBS care se multiplică prin intermediul e-mail şi IRC. Lansat în execuŃie se va autocopia către locaŃii culese din Address Book. Prin modul de multiplicare acest virus se comportă ca un vierme şi poate să satureze traficul de pe serverele de poştă electronică.

777 este creat cu VBS şi este considerat ca fiind unul dintre cei mai distructivi viruşi. Acesta va infecta fişierele VBS de pe discurile dure şi va suprascrie în fişierele cu extensia TXT şi DOC imagini obscene.

BeanHive este un virus creat cu JavaScript şi se poate disimula în alte fişiere infectate. Are o lungime foarte mică care nu reprezintă de fapt corpul virusului ci o serie de instrucŃiuni (40 linii de program) care, la lansarea în execuŃie a virusului, va aduce dintr-un anume server de Web celelalte componente care vor alcătui virusul întreg. După ce procesul de întregire este încheiat virusul va infecta şi alte fişiere.

Exploit-MIME.gen exploatează vulnerabilităŃile mai vechilor sisteme de operare Windows. Virusul se lansează când un mesaj e-mail este citit sau când, prin accesarea unei pagini Web, se deschide un mesaj e-mail.

FreeLink va crea în calculatorul infectat o legătură (link) către un site porno şi se va multiplica la toate calculatoarele aflate în reŃea. O altă modalitate de multiplicare este prin intermediul mesajelor e-mail şi IRC.

Hard este scris cu ajutorul VBS şi are comportamentul unui vierme. Acesta se multiplică numai prin intermediul lui Outlook Expres. Mesajul primit va avea ca subiect FW: Symantec Anti-Virus Warning şi va conŃine detalii despre noile descoperiri în domeniul programelor antivirus ale firmei. Fişierul ataşat www.symantec.com.vbs (neavizaŃii vor putea uşor să creadă că este o trimitere la URL-ul real www.symantec.com) va conŃine virusul. Dând dovadă de cinism, proiectantul virusului, l-a setat ca la data de 24 noiembrie să afişeze pe ecran mesajul: Some shocking news Câteva ştiri şocante Don’t look surprised! Nu fi surprins! It is only a warning about your stupidity

Este doar un avertisment despre prostia ta

Take care! Ai grijă! HTML.Internal este cunoscut ca fiind primul virus care infectează fişierele HTML. Lansat în

execuŃie virusul caută şi infectează toate fişierele HTML de pe discul dur. Ca o particularitate, virusul nu „funcŃionează” decât cu ajutorul browser-ului Internet Explorer. Celelalte browser-e nu sunt afectate.

KakWorm, sau JS.Kak (cu 7 versiuni), este după cum îi spune şi numele un vierme care se multiplică prin intermediul lui Outlook Expres. Codul este scris chiar în corpul mesajului şi nu într-un fişier ataşat. La deschiderea mesajului de poştă electronică se lansează în execuŃie codul virusului. Acesta va afişa la începutul fiecărei prime zile din lună un mesaj pe ecranul calculatorului şi apoi va reporni calculatorul. Se multiplică la adresele de poştă electronică culese din Address Book şi poate paraliza traficul prin fluxul creat.

LoveLetter sau I Love You sau Lovebug reprezintă unul din cei mai mediatizaŃi viruşi, dar şi cel care produce cele mai multe pagube. LoveLetter este de fapt o combinaŃie de virus de fişier, vierme e-mail şi vierme IRC. De la descoperirea lui în luna mai a anului 2000 şi până în prezent se cunosc peste 80 de variante. Se foloseşte de Microsoft Outlook pentru a se multiplica la primele 300 de adrese de e-

BURTESCU

mail găsite în Address Book. O altă modalitate de multiplicare este folosind serviciul de instant messaging mIRC.

Mesajul primit are ca subiect ILOVEYOU şi textul conŃine mesajul îmbietor de genul „Kindly check the attached LOVELETTER coming from me”. Fişierul ataşat la care se face trimitere se vrea un fişier cu extensia TXT infofensiv – Love-letter-for-you.txt.vbs, dacă nu se observă extensia VBS. O dată lansat fişierul se vor infecta cu virusul fişierele locale şi cele din reŃea care au extensiile: AVI, BAT, COM, CPP, CSS, DOC, GIF, HTA, HTM, HTML, INI, JPEG, JPG, JS, JSE, MP2, MP3, MPEG, MPG, QT, PSD, SCT, SWD, TXT, VBE, VBS, WAV, WRI, WSH şi XLS care vor prezenta şi „extensia” VBS pe lângă cea originală.

Datorită multitudinii de fişiere infectate şi datorită faptului că se multiplică foarte rapid, acest virus este considerat ca fiind foarte distructiv.

Monopoly se aseamănă cu virusul Melissa numai ca Monopoly este scris în VBS şi nu în limbaj macro. Se multiplică prin fişiere e-mail ataşate la adrese culese din Outlook Address Book. O dată lansat fişierul monopoly.vbs va afişa pe ecran mesajul „Bill Gates is guilty of monopoly. Here is the proof”.

NewWorld este un virus de script creat cu ajutorul lui PHP. Se multiplică prin accesarea paginilor Web şi executarea de scripturi. Nu se poate multiplica de la calculator la calculator decât prin intermediul serverului.

Rabbit este unul din primii viruşi scrişi în VBA. Suprascrie fişierele VBS şi JS din folderul curent. De asemenea infectează toate fişierele din folderul de cache folosit de Web browser.

Regbomb va modifică Windows Registry în aşa fel încât atunci când se acŃionează cu dublu click pe iconul cu My Computer se va formata discul dur. În acest fel datele sunt irecuperabil13 pierdute.

Script.Inf va infecta fişierele Windows cu extensia INF. Aceste fişiere vor fi apelate atunci când se instalează un nou program, iar dacă sunt infectate vor lansa în execuŃie codul virusului.

Strange Brew este cunoscut ca primul virus JavaScript. Infectează fişierele Java cu extensia CLASS atunci când se accesează fişiere de pe disc. O configurare corectă a interpretorului Java va elimina acest inconvenient.

VBS/SST este cunoscut şi sub denumirea de VBSWG sau AnnaKournikova. Este un vierme care se multiplică prin ataşamente e-mail. Mesajul conŃine subiectul „Here you have”, textul mesajului este „Hi: Check This!” iar fişierul ataşat se vrea a fi un fişier grafic AnnaKournikova.jpg.vbs numai ca este un VBS. Rulat, virusul se va multiplică prin e-mail folosind adrese din Address Book.

Win95.SK este un virus care infectează fişierele cu extensia HLP. Încercarea de folosire a unui program antivirus pe calculatorul infectat cu acest virus va avea ca efect formatarea discul dur al calculatorului.

Viruşii de e-mail se folosesc de faptul că e-mail-ul reprezintă cea mai utilizată aplicaŃie Internet din zilele noastre. Zilnic fiecare utilizator transmite şi recepŃionează mesaje în format electronic. Beneficiile sunt evidente în acest caz. Reversul este că tot prin e-mail se transmit şi coduri maliŃioase – viruşi informatici.

Posibilitatea de a folosi poşta electronică pentru transmiterea de viruşi a fost făcută posibilă datorită evoluŃiei tehnicii. Primele mesaje de e-mail erau trimise şi recepŃionate în text clar (plain text) fără posibilitatea de a se putea insera un virus în acest mesaj. Numai că utilizatorul nu avea posibilitatea de formatare a textului. Nu se putea scrie cu litere groase, înclinate, colorate, de diferite

13 Există firme specializate care pot recupera datele şi după ce discul dur a fost formatat.

BURTESCU

mărimi etc. Şi nici nu era nevoie. Conta doar informaŃia transmisă de textul în sine şi nu de artificiile pe marginea textului. Numai că tehnica a evoluat şi s-a făcut trecerea de la Plain Text e-mail la HTML e-mail. Şi o dată cu acesta a apărut şi posibilitatea de a se transporta viruşi cu ajutorul e-mail-ului.

Un e-mail în format HTML este ca o pagină Web HTML. Iar o pagina Web HTML are încorporate controale ActiveX şi applet-uri JavaScript care pot să conŃină şi să lanseze coduri maliŃioase. Viruşii care se transmit prin e-mail sunt de fapt viruşi de script şi nu viruşi de e-mail în accepŃiunea standard. O altă modalitate de transmitere a unui virus este de a-l ataşa ca fişier de mesajul scris în mod plain text.

Pentru răspândirea viruşilor cu ajutorul poştei electronice se folosesc în principal trei modalităŃi:

� prin ataşamente, utilizând tehnica de Cal Troian; � prin exploatarea golurilor de securitate, MIME exploit; � prin încorporarea codului maliŃios în mesaje HTML. Răspândirea viruşilor prin fişiere infectate ataşate la mesajul text este cea mai comună cale şi cea

mai utilizată. Dacă destinatarul nu lansează în execuŃie fişierul care conŃine virusul nu se întâmplă nimic. Dacă însă se trece la execuŃia acestuia atunci codul maliŃios al virusului este executat şi virusul va executa operaŃiile pentru care a fost proiectat şi se va multiplica şi răspândi.

De regulă utilizatorii, care dispun de un minim de cunoştinŃe despre viruşi, nu vor deschide un fişier nesolicitat sau trimis de o persoană necunoscută. Dar sunt situaŃii când virusul a luat adresa utilizatorului din Address Book-ul unui alt utilizator cunoscut, dar care a are calculatorul virusat. Şi dacă mesajul care conŃine un fişier infectat vine de la un prieten s-ar putea ca utilizatorul să-l deschidă şi infecŃia să se producă.

Tehnica de Cal Troian este folosită pentru a disimula fişiere infectate în fişiere inofensive. Marea majoritate a utilizatorilor de e-mail nu deschid fişierele care au extensia EXE sau COM chiar dacă vin dintr-o sursă sigură. Şi atunci virusul vine sub forma de Cal Troian, schimbându-şi extensia pentru a păcăli victima. Extensiile TXT şi JPG sunt cele mai de încredere în acest caz. Fişierele cu aceste extensii nu pot conŃine viruşi. Un fişier Foto.exe.jpg (se observă două extensii) va putea să fie deschis de către un utilizator neatent sau neavizat şi virusul să se execute.

Golurile de securitate exploatate de către viruşi pentru a se multiplica sunt prezente cu precădere la programele de poştă electronică de la Microsoft – Outlook Express şi Microsoft Outlook, precum şi la browser-ul Internet Explorer. Standardul creat pentru transmisia fişierelor ataşate la mesajele de poştă electronică, Multipurpose Internet Mail Extension (MIME), reprezintă punctul slab exploatat de către viruşi. Versiunile mai vechi de Internet Explorer, precum şi vechile programe de poştă electronică deschideau automat mesajele ataşate. Acest fapt permitea crearea de e-mail-uri în format HTML care conŃineau un ataşament executabil cu conŃinut maliŃios. Atacatorul nu trebuia decât să modifice header-ul MIME al fişierului ataşat. Internet Explorer citea ataşamentul ca fiind unul în regulă şi-l deschidea automat.

Acest tip de atac se numeşte MIME exploit (exploatare MIME). Microsoft a umplut acest gol de securitate şi versiunile Internet Explorer şi programele de poştă electronică nu mai permit astfel de atacuri.

Încorporarea codului maliŃios în mesaje e-mail HTML se face scriind coduri JavaScript. Aceste coduri vor rula automat când mesajul va fi vizualizat fără să mai fie nevoie ca infecŃia să se producă prin ataşamente virusate. FaŃă de infecŃia prin fişiere ataşate, când utilizatorul poate să nu deschidă fişierul ataşat şi infecŃia să nu se producă, aici infecŃia se produce automat la vizualizarea mesajului. Această modalitate de răspândire are cele mai mari şanse de reuşită, dar necesită şi

BURTESCU

cunoştinŃe avansate pentru încorporarea codului în e-mail. Din această cauză, infectarea în acest mod este destul de rară.

Din categoria viruşilor de e-mail se remarcă: 666test, Babylonia, Badtrans, BubbleBoy, FreeLink, Hard, Hybrys, KakWorm, Kletz, LoveLetter, Melissa, Monopoly, MyLife, NakedWife, Nimda, VBS/SST.

666test este un vierme care se multiplică prin mesaje e-mail. Codul distructiv este lansat numai dacă utilizatorul deschide, cu buna ştiinŃă sau din ignoranŃă, un fişier ataşat care conŃine un script VBS.

Babylonia infectează fişierele de Help şi se multiplică atunci când sunt deschise mesaje e-mail.

Badtrans acŃionează ca o combinaŃie între vierme şi Cal Troian multiplicându-se cu ajutorul mesajelor de email. Uneori viruşii exploatează şi vulnerabilităŃile MIME. Calul Troian, reprezentat de fişiere cu extensia PIF sau SCR, este ascuns în fişiere ataşate care au extensiile inofensive apărând ca DOC, MP3, TXT sau ZIP.

BubbleBoy este un vierme care exploatează vulnerabilităŃile MIME şi se multiplică prin mesaje e-mail HTML.

FreeLink este atât vierme cât şi Cal Troian şi se multiplică prin mesaje e-mail. Infectarea se produce dacă se deschide fişierul ataşat care conŃine un script VBS cu trimitere către un site pornografic.

Hard se răspândeşte prin mesaje e-mail şi necesită deschiderea manuală a unui fişier ataşat care se vrea a conŃine un avertisment despre un nou virus şi care este de fapt un script VBS. Acest tip de viruşi mai poartă denumirea şi de viruşi păcăleli (hoax14).

Hybrys se răspândeşte prin mesaje e-mail şi necesită deschiderea manuală a unui fişier ataşat care are una din extensiile EXE sau SCR. Are comportament de vierme şi Cal Troian.

KakWorm se activează automat atunci când mesajul este vizualizat. Este un vierme disimulat cu ajutorul unui JavaScript într-un mesaj e-mail HTML.

Kletz este un vierme care se lansează automat, fişierul infectat ataşat beneficiind de vulnerabilităŃile MIME.

LoveLetter se răspândeşte prin deschiderea manuală a fişierelor e-mail ataşate care conŃin scripturi VBS disimulate în fişiere cu extensia TXT. Se comportă mai mult ca un vierme dar şi ca Troian.

Melissa infectează sistemul şi se multiplică atunci când este deschis manual un fişier MS Word ataşat care conŃine un virus de macro. Comportament de vierme şi Cal Troian.

Monopoly se răspândeşte prin deschiderea manuală a fişierelor e-mail ataşate care conŃin scripturi VBS. Se vrea un avertisment împotriva politicii de monopol dusă de Bill Gates – fondatorul companiei Microsoft. Comportament de vierme şi Cal Troian.

MyLife este atât vierme cat şi Troian. Se răspândeşte prin mesaje e-mail care conŃin fişiere infectate ataşate. Utilizatorul va citi un mesaj cu subiectul: bill caricature şi este îmbiat să deschidă un fişier ataşat care conŃine o caricatură a preşedintelui american Bill Clinton. Pentru a adormi vigilenŃa utilizatorului se afişează un mesaj No Viruses Found sub sigla binecunoscută McAffe. O dată deschis fişierul ataşat se afişează o caricatură a preşedintelui Bill Clinton şi se produce infectarea calculatorului prin copierea viermelui în folderul Windows System şi de aici propagarea prin intermediul lui Microsoft Outlook. La o noua pornire a calculatorului a două zi la orele 8:00 dimineaŃa toate fişierele de pe discurile C:, D:, E: şi F: vor fi şterse.

14 Hoax – păcăleală.

BURTESCU

NakedWife se răspândeşte prin mesaje e-mail care conŃin fişiere infectate ataşate. Utilizatorul va deschide fişierul infectat ataşat, care este un fişier executabil disimulat într-un fişier care se vrea o imagine despre un nud, şi virusul se va răspândi. Comportament de vierme şi Cal Troian.

Nimda (Nimda – Admin scris invers) este o combinaŃie de virus de fişier şi vierme Internet. Se răspândeşte prin mesaje de poştă electronică ca fişier ataşat. Virusul poate fi conŃinut atât în fişierele cu extensia .EXE ataşate (şi atunci este un virus de fişier) cât şi fişiere ataşate care exploatează vulnerabilităŃile MIME. Se multiplică de regulă prin e-mail.

VBS/SST este cunoscut şi sub denumirea de VBSWG sau AnnaKournikova. Este un vierme care se multiplică prin ataşamente e-mail.

De remarcat că viruşii de e-mail se disimulează în majoritatea cazurilor în fişiere ataşate sau chiar în mesajele e-mail MIME şi în acest caz pot fi asimilaŃi cu Caii Troieni şi se multiplică de la calculator la calculator ca un vierme.

Viruşi de Chat şi Instant Messaging Serviciul de Chat este asigurat de servere specializate dintr-o subreŃea Internet numită Internet Relay

Chat (IRC). Aceasta permite ca doi sau mai mulŃi utilizatori să poarte discuŃii (chat15) individuale sau de grup şi să schimbe între ei fişiere folosind un canal de comunicaŃie. Utilizatorii unui canal se numesc membri ai acelui canal. Protocolul folosit în transmisie este DCC16.

Utilizatorul va putea cu ajutorul unui program, cum ar fi mIRC17, să se conecteze la un server de chat şi să iniŃieze un grup de discuŃii.

Folosind acest mediu creat, un virus se va putea multiplica şi va putea infecta calculatoarele din reŃea în două moduri distincte:

� prin transferul de fişiere infectate între utilizatori; � prin folosirea scripturilor IRC. Infectarea prin transferul de fişiere infectate între utilizatori este destul de simplu de realizat.

Atacatorul va trimite către Ńintă un fişier care se vrea să fie util destinatarului. Acesta poate să fie un fişier de ajutor, un program utilitar, un mic joc, un fişier cu documentaŃii sau o imagine. O dată ce destinatarul va deschide fişierul trimis, virusul se va activa şi-şi va lansa programul distructiv.

Infectarea prin folosirea scripturilor IRC presupune scrierea de scripturi care vor conŃine instrucŃiuni care se vor executa secvenŃial. O dată acceptate de către destinatar sau destinatari, aceste scripturi se vor substitui automat în fişierele similare din calculatorul-Ńintă şi vor iniŃia atacul.

Majoritatea infecŃiilor se întâmplă atunci când, în urma atacului, se va crea fişierul script.ini sau mirc.ini în folderul curent mIRC. Acestea conŃin scripturi şi se vor executa comenzile pentru care au fost proiectate. Instalarea acestor scripturi este posibilă dacă opŃiunea Auto-DCC-Get este configurată pe activ. Fiind activă, se vor accepta toate fişierele trimise de către utilizatorii din canalul respectiv de chat. Pentru o mai mare siguranŃă, această opŃiune va fi setată pe inactiv.

Cei mai cunoscuŃi viruşi de IRC sunt: Acoragil, Back Orifice, Bat, Dmsetup, Flood, Fono, Goner, Links, Millenium, pIRCH.Events, Script.ini, Simpsalapim, Stages.

Acoragil împreună cu Simpsalapim reprezintă unul din primii viruşi IRC. Virusul se împrăştie cu ajutorul comenzii /dcc send care permite trimiterea de scripturi către toŃi utilizatorii canalului respectiv. Dacă utilizatorul calculatorului infectat va tasta cuvântul acoragil, toŃi utilizatorii canalului respectiv care au calculatoarele virusate vor fi eliminaŃi din acel canal.

15 Chat – conversaŃie, taifas, pălăvrăgeală, şuetă, flecăreală. 16 DCC – Direct Client to Client Protocol. 17 mIRC – Microsoft Internet Relay Chat.

BURTESCU

Back Orifice este unul dintre cele mai puternice programe de tip Cal Troian. Se poate răspândi cu ajutorul e-mail-ului sau a IRC-ului.

Bat se automultiplică ca un fişier de comenzi BAT disimulat într-un fişier grafic JPG. Lansat în execuŃie va crea un fişier script.ini şi se va copia către un alt utilizator IRC. Virusul va crea de asemenea o portiŃă ascunsă (backdoor) care va fi exploatată pentru ca atacatorul să poată avea acces de la distanŃă (remote) la calculatorul infectat.

Dmsetup acŃionează ca vierme şi ca Troian. Cu cele şase variante ale sale reuşeşte să se răspândească cu ajutorul mIRC-ului folosind fişiere EXE infectate. În unele variante ale virusului fişierul executabil este disimulat în fişiere grafice JPG. Modifică fişierul autoexec.bat în aşa fel încât acest vierme să se încarce la fiecare pornire a calculatorului şi, de asemenea, modifică bara de stare mIRC.

Flood este un Cal Troian care iniŃiază o procedură de inundare a canalului respectiv pentru a se crea o disfuncŃionalitate refuz al serviciului de tip DoS. Poate fi localizat manual în fişierul c:\windows\system\mirc.hlp.

Fono va dezafecta configurările de securitate din programul mIRC. Este un virus rezident în memorie, se împrăştie prin intermediul IRC-ului şi infectează fişierele Windows. Se autocopiază în fişierul mirc.ini, creează fişierele script.ini şi inca.ini care vor fi folosite pentru a se transmite către alte calculatoare.

Goner infectează utilizatori de mIRC şi ICQ18. Se răspândeşte prin intermediul fişierului goner.scr şi instalează un fişier remote32.ini care va fi folosit pentru lansarea unui atac de tip DoS. De asemenea caută pe discul dur programele antivirus, firewall sau alte programe de securitate pe care va încerca să le şteargă.

Links se va propaga către toŃi utilizatorii canalului respectiv şi va da trimitere către site-uri cu conŃinut obscen.

Millenium este un vierme care se împrăştie cu ajutorul fişierului script.ini. Lansat în execuŃie va instala o varianta de program care va permite accesul de la distanŃă.

pIRCH.Events este un vierme specific programului de IRC Pirch. Se multiplică automat către toŃi utilizatorii unui canal infectat.

Script.ini este un vierme care se distribuie printr-un fişier script.ini către toŃi utilizatorii canalului respectiv. Este un script mIRC care permite accesul altor utilizatori la sesiunea de lucru, vizualizarea şi întreruperea conversaŃiilor iniŃiate de pe calculatorul virusat.

Simpsalapim este similar ca funcŃionare cu Acoragil, fiind şi primii viruşi de IRC apăruŃi. Stages este un vierme creat cu VBS şi care se multiplică cu ajutorul programelor mIRC, Pirch

şi ICQ. Calculatorul infectat va afişa într-o fereastră Notepad comentarii şi glume la adresa diferitelor stadii ale evoluŃiei umane (de aici şi denumirea).

Programele de Instant Messaging folosite la ora actuala, AOL Instant Messenger (AIM), MSN Messenger, Windows Messenger, ICQ şi Yahoo! Messenger, sunt şi ele supuse atacurilor. Folosind aceste programe, utilizatorii pot să transmită mesaje instant şi de asemenea şi fişiere. În acest mod se pot transmite şi viruşii. Numai că, spre deosebire de alte programe care permit recepŃionarea de fişiere prin Internet fără acceptul utilizatorului, aici utilizatorul poate să accepte sau nu un fişier care-i este destinat. Un calculator care participă la transmiterea de mesaje instant nu va putea să fie virusat decât dacă utilizatorul a dat accept pentru descărcarea şi rularea sau vizualizarea unui fişier care-i era destinat şi care conŃinea virusul.

18 ICQ – Program de instant messaging produs de Mirabilis LTD

BURTESCU

Programele de instant messaging sunt de regulă folosite de persoane care au într-adevăr nevoie de acest serviciu şi pentru care timpul nu le permite să stea la conversaŃii inutile (chat). Mesajele se transmit între utilizatori de încredere (trust), mare parte a acestora cunoscându-se fizic, faŃă de serviciul de chat, unde de multe ori utilizatorii dintr-un canal nu se cunosc şi, mai mult, au identităŃi dubioase.

Chiar dacă numărul de viruşi care se poate transmite este mai mic, totuşi aceştia se pot transmite. Un mare aport în limitarea numărului de viruşi îl au companiile proprietare ale acestor servicii.

Viruşii din această categorie au ca particularitate faptul că sunt dedicaŃi pe reŃeua/serviciul respectiv de IM. Dacă un virus este făcut să lucreze într-o reŃea Yahoo! Messenger, acesta nu va funcŃiona într-o reŃea MSN Messenger.

Cei mai importanŃi viruşi din această categorie sunt: Choke, Goner, Hello, Reeezak, Stages. Cu observaŃia că doar doi dintre aceştia se regăsesc şi în lista de viruşi care afectează reŃelele de chat, ceilalŃi sunt viruşi dedicaŃi numai anumitor reŃele/servicii.

Choke este un vierme care afectează calculatoarele utilizatorilor de MSN Messenger. Virusul trimite mesaje către căsuŃa poştală a utilizatorului (e-mail) de la un utilizator care are adresa de fictiva de e-mail [email protected], afişează pe ecran icon-uri hazlii şi cere utilizatorului să descarce fişierele choke.exe, ShootPresidentBUSH.exe, Hotmail.exe sau fişierul ci ID-ul tău din MSN şi extensia EXE. Acceptarea acestora va face ca virusul să-şi lanseze execuŃia care va afişa pe ecran mesaje şi să se transmită la alŃi utilizatori. De remarcat ca numai acceptul utilizatorului a determinat acŃiunea şi răspândirea virusului.

Goner infectează calculatoarele utilizatorilor de ICQ care folosesc reŃelele/servicii de chat şi IM. Se mai poate răspândi prin IRC şi e-mail transmiŃând fişierului goner.scr. Va instala la activare un fişier remote32.ini care va fi folosit pentru lansarea unui atac de tip DoS. De asemenea caută pe discul dur programele antivirus, firewall sau alte programe de securitate pe care va încerca să le şteargă.

Hello infectează calculatoarele utilizatorilor de MSN Messenger. Mai este cunoscut şi sub denumirea de W32/Hello şi are peste 18 versiuni. Utilizatorului i se va cere să descarce un fişier cu denumirea Hello.exe, care conŃine evident virusul. O dată descărcat virusul se va lansa şi se va trimite la toată lista de membri din MSN Messenger.

Reeezak este un vierme care mai este cunoscut şi sub denumirea de Maldal sau Zacker. Acesta infectează calculatoarele utilizatorilor de MSN Messenger. Virusul vine sub forma unui fişier christmas.exe care, dacă va fi descărcat de către utilizator, va lansa în execuŃie virusul. Acesta se va trimite la toată lista de membrii din MSM Messenger şi va opri funcŃionarea programului antivirus.

Stages se răspândeşte cu ajutorul fişierului LIFE_STAGES.TXT.SHS. Afectează de regulă calculatoarele utilizatorilor de mIRC, Pirch şi ICQ care folosesc serviciile de chat dar poate afecta şi serviciile IM.

Viruşi păcăleală (Hoax) Aceştia reprezintă o categorie specială de viruşi care se bazează pe credulitatea aceluia care

poate să devină Ńinta unui atac. Mesaje de e-mail sau ferestre apărute în timp ce faci browsing de genul „Ai câştigat o excursie în…“, „Ai câştigat o sumă de…“, „Calculatorul tău are un virus…“, „Trimite acest mesaj la toŃi cunoscuŃii tăi şi vei avea noroc…“, cu invitaŃia de a trimite sau de a confirma cu opŃiunea Yes, sunt destul de frecvente în Internet. Uneori, acest tip de viruşi, mai ales cei care apar în ferestre browsing, acŃionează chiar şi atunci când se alege opŃiunea No (Nu). Din aceasta

BURTESCU

cauză, este indicat să se închidă fereastra din opŃiunea Close (X), din Taskbar → Close, sau apăsând perechea de taste Alt+F4.

Cei mai importanŃi viruşi din această categorie sunt: Blue Mountain Card, Goood Times, Help, Rit Takes Guts to Say „Jesus“, MusicPanel(MP3), New Pictures of Family, New Ice Age, Pretty Park, Sulfnbk.exe, VeryBad, WOBBLER, WTC Survivor Virus.

ModalităŃi de acŃiune a programelor independente de tip vierme Un vierme este un program independent. El se reproduce prin autocopierea de la un calculator

la altul prin intermediul reŃelei în cele mai multe cazuri şi fără acceptul utilizatorului. Spre deosebire de virus, un vierme nu alterează sau distruge datele din calculator, dar poate crea disfuncŃionalităŃi în reŃea prin utilizarea resurselor acestuia pentru autoreproducere.

Viermele se foloseşte de mecanismele de transmisie de fişiere care se regăsesc în majoritatea programelor care folosesc Internetul. Cu ajutorul acestora, viermele se va multiplica către alte calculatoare.

În majoritatea cazurilor, viermii se propagă cu ajutorul poştei electronice. Alte modalităŃi de propagare mai sunt prin IRC şi IM.

O categorie aparte de viermi o reprezintă viermii de reŃea. Aceştia exploatează golurile de securitate din serverele sau browser-ele Web şi infectează, fără ca să poată fi detectaŃi, serverele respective. De aici vor lansa atacuri pentru a infecta toate calculatoarele care se leagă la acestea. Fiind foarte greu de detectat şi urmărit, aceşti viermi de reŃea creează cele mai multe inconveniente. Pentru a se răspândi la alte locaŃii din Internet, viermele va culege datele despre alŃi utilizatori din Address Book şi se va copia la aceste adrese. Cu cât numărul persoanelor de contact de aici este mai mare, cu atât infecŃia se va răspândi la mai multe locaŃii. Viermele va culege un număr predefinit de adrese de aici. Numărul de adrese culese diferă de la vierme la vierme. De regulă, aceştia culeg până la 50 de adrese. Dar sunt şi situaŃii când se culeg şi mai multe adrese. Melissa – care a fost considerat la vremea când au apărut primele lui atacuri ca fiind foarte distructiv – culegea 50 de adrese de e-mail. Efectele lui LoveLetter au fost însă şi mai mari, deoarece acesta culegea primele 300 de adrese de e-mail şi în plus mai distrugea şi fişiere. Adică aproape toate adresele din Address Book (nu multă lume are peste 100 de adrese). MyLife se retransmitea la toate contactele din Address Book. Multiplicarea acestora la alte adrese şi de aici la altele culese din calculator va avea ca efect paralizarea traficului şi într-un final serverul/serviciul respectiv de poştă electronică, IRC sau IM, va fi paralizat şi în final oprit. Acesta este modul de acŃiune al unui vierme. El nu cauzează distrugeri directe. Nu va altera sau şterge fişiere. El doar se va multiplica. Dar cheltuielile şi timpul pierdut pentru depistarea acestuia şi refacerea serviciilor sunt foarte mari.

Viermii sunt consideraŃi ca fiind cele mai distrugătoare programe maliŃioase din ultimii ani. Jumătate din primele zece programe maliŃioase apărute în această perioadă sunt viermi.

Cei mai cunoscuŃi viermi sunt: Badtrans, BubbleBoy, CodeRed, Hybris, Klez, LoveLetter, MyLife, Nimda, SirCam.

Badtrans a fost descoperit pentru prima dată în luna aprilie anul 2001 şi, prin acŃiunea sa, este considerat extrem de periculos. Se transmite prin poştă electronică. Subiectul mesajului este un simplu Re☺☺☺☺ (replay) iar conŃinutul este Take a look at the attachment. O dată deschis fişierul ataşat pe ecran apare o caseta de text cu denumirea Install error şi cu un mesaj de atenŃionare aparent inofensiv „File dată corrupt: probably due to bad data transmission or bad disk access”. În acest moment se instalează pe calculator un backdoor Troian care va trimite către cel care a proiectat virusul adresa IP a calculatorului. De aici atacatorul va putea să se conecteze la acest

BURTESCU

calculator şi să fure informaŃii referitoare la nume şi parole folosite, numere şi parole de cărŃi de credit, conturi bancare, etc.

BubbleBoy este un VBS care se transmite prin intermediul poştei electronice. Foloseşte golurile de securitate din Internet Explorer şi Microsoft Outlook. Scriptul Update.hta este lansat atunci când se vizualizează e-mail-ul. Nu este nevoie de deschiderea nici unui fişier ataşat. Viermele se va retransmite la o serie de adrese din Address Book.

CodeRed exploatează un gol de securitate din serverele care rulează Microsoft Internet Information Server (IIS). Ulterior golul a fost acoperit de către firma Microsoft. O primă acŃiune a virusului este aceea de a suprascrie toate paginile Web de pe server cu un mesaj de genul HELLO! Welcome to http://www.worm.com! Hached by Chinese!

O altă acŃiune a viermelui se desfăşoară pe parcursul a 28 de zile. În primele 19 zile se încearcă infectarea şi a altor servere IIS şi apoi lansarea de atacuri DoS către anumite IP-uri.

În multe cazuri viermele este rezident în memorie şi din această cauză acesta poate fi eliminat printr-o oprire şi repornire a maşinii infectate.

Hybris se foloseşte de fişiere ataşate sexy virgin.scr, looke.exe, midgets.scr şi dwarf4you.exe pentru a se multiplica. Se va transmite automat de oricâte ori se va trimite un mesaj. Alte acŃiuni ale viermelui sunt de a încetini funcŃionarea calculatorului, blocarea accesului la site-uri cu programe antivirus şi afişarea pe ecran de imagini.

Klez este considerat ca fiind cel mai incisiv virus din istorie. S-a menŃinut mult timp în fruntea listei cu cei mai cunoscuŃi viruşi la începutul anului 2002. Se propaga folosind poştă electronică şi exploatând golurile MIME. Elementul principal folosit de către acest vierme este încrederea destinatarului. Dacă un e-mail este primit de la o persoană cunoscută atunci încrederea că acea persoană nu-Ńi poate face rău sau nu-Ńi poate trimite ceva maliŃios te va face să deschizi şi să citeşti un mesaj şi să descarci şi să deschizi fişierele ataşate. Suspiciunea destinatarului va fi lăsată la o parte în aceste cazuri. Acest lucru este exploatat de către Klez prin citirea adreselor de e-mail din Address Book şi trimiterea de mesaje infectate către acestea ca fiind de la proprietarul calculatorului virusat. Tehnica folosită se numeşte spoof. Corpul viermelui este format de un ataşament cu extensia EXE. BAT, PIF sau SCR. Pe lângă aceste fişiere se mai „livrează” şi un fişier provenit de la calculatorul victimă anterior infectat care va putea trimite date confidenŃiale atacatorului. Al doilea element folosit de către vierme este acela că va lansa un al doilea program care este un virus de fişier care va infecta toate fişierele executabile.

LoveLetter sau I Love You sau Lovebug, reprezintă unul din cei mai mediatizaŃi viruşi dar şi cel care produce cele mai multe pagube. LoveLetter este de fapt o combinaŃie de virus de fişier, vierme e-mail şi vierme IRC care foloseşte tehnica de Cal Troian pentru a se multiplica. De la descoperirea lui în luna mai a anului 2000 şi până în prezent se cunosc peste 80 de variante. Se foloseşte de Microsoft Outlook pentru a se multiplica la primele 300 de adrese de e-mail gasite în Address Book. O altă modalitate de multiplicare este folosind serviciul de instant messaging mIRC.

Nimda (Nimda – Admin scris invers) este o combinaŃie de virus de fişier şi vierme Internet. Se răspândeşte prin mesaje de poştă electronică ca fişier ataşat şi este destul de greu de detectat deoarece subiectul şi denumirea fişierelor ataşate poate varia. Virusul poate fi conŃinut atât în fişierele cu extensia EXE ataşate (şi atunci este un virus de fişier) cât şi fişiere ataşate care exploatează vulnerabilităŃile MIME. Se multiplică de regulă prin e-mail dar şi prin fişiere partajate în reŃea. Se foloseşte de facilităŃile de Cal Troian create de Viermele CodeRed pentru controlul sistemului infectat.

Unele variante de Nimda conŃin un ataşament executabil care se lansează automat atunci când se vizualizează mesajele folosind Microsoft Outlook sau Outlook Express. O dată lansat acesta se va copia la adresele culese din Address Book.

BURTESCU

SirCam va încerca să şteargă fişierele de pe disc sau va umple discul cu fişiere inutile. Se propagă cu ajutorul fişierelor ataşate.

Instrumente de atac de tip Cai Troieni, Back Doors-uri şi bombe

CAI TROIENI Un Cal Troian este un fragment de cod care se ascunde în interiorul unui program şi care va

executa o operaŃie ascunsă. Acesta reprezintă cel mai utilizat mecanism pentru a disimula un virus sau un vierme.

Un Cal Troian se va disimula în fişiere executabile, fişiere imagine, fişiere screen saver etc. În anumite situaŃii se ascunde în programe care se vor a fi aplicaŃii antivirus.

Pentru a putea să lanseze codul distructiv, un Cal Troian trebuie să convingă utilizatorul ca fişierul ataşat este „curat“, dar mai ales că „trebuie“ deschis.

Pentru a putea realiza aceasta, proiectanŃii de Cai Troieni folosesc următoarele tehnici menite să păcălească destinatarul:

� trimiterea de fişiere ataşate care vin dintr-o sursă de încredere; � denumirea fişierelor ataşate cu nume care să determine utilizatorul să le deschidă; � ascunderea tipului de fişier. Trimiterea de fişiere care vin dintr-o sursă de încredere se face prin colectarea datelor din

Address Book, de pe calculatorul virusat, şi trimiterea de e-mail-uri care conŃin Calul Troian la aceste adrese. Când utilizatorul calculatorului-Ńintă va deschide spre vizualizare mesajul, la From: va apărea numele cunoscut al unui prieten, coleg de serviciu, rudă şi va avea încredere să deschidă fişierul ataşat şi astfel infecŃia să se producă.

Denumirea fişierelor ataşate cu nume care să determine utilizatorul să le deschidă se foloseşte de slăbiciunile umane. Un utilizator va fi tentat să deschidă un fişier care conŃine o declaraŃie de dragoste de la un admirator (cazul LoveLetter), să vizualizeze o caricatură cu preşedintele Ńării (cazul MyLife), să vadă o imagine cu nudul unei actriŃe sau vecine (cazul Naked Wife) sau să primească un program antivirus.

Ascunderea tipului de fişier se face pentru ca utilizatorul să nu vadă extensia executabilă a fişierului ataşat. Pentru aceasta se folosesc două metode.

Prima presupune ca fişierele executabile care conŃin Calul Troian, şi care au extensiile EXE, COM, SCR, PIF, VBS, să fie dublate de extensii „inofensive“ care să „adoarmă“ vigilenŃa utilizatorului care ştie că nu trebuie lansate în execuŃie fişierele executabile fără o verificare prealabilă. Un fişier fiser.exe va avea ataşată una dintre extensiile JPG, GIF sau TXT. În acest fel, acesta devine fiser.jpg.exe.

A două metodă este foarte ingenioasă şi presupune interpunerea între extensia reală şi denumirea rămasă a unui număr foarte mare de spaŃii în aşa fel încât la o vizualizare pe ecran extensia să nu fie afişată. Spre exemplu, fişierul anterior va apărea afişat pe ecran în forma:

fiser.jpg (cu .exe care nu va fi afişată, deoarece depăşeşte spaŃiul de afişare al ecranului). În acest fel, utilizatorul crede că este un fişier „inofensiv“ şi-l va deschide. O mare parte din Caii Troieni au caracteristica de vierme, ei răspândindu-se cu ajutorul poştei

electronice către alŃi utilizatori. Adresa utilizatorilor este culeasă din Address Book. Cei mai cunoscuŃi Cai Troieni sunt: Dmsetup, Flood, LoveLetter, MyLife, Naked Wife. Dmsetup acŃionează ca vierme şi ca Troian. Cu cele şase variante ale sale reuşeşte să se

răspândească cu ajutorul mIRC-ului folosind fişiere EXE infectate. În unele variante ale virusului

BURTESCU

fişierul executabil este disimulat în fişiere grafice JPG. Modifică fişierul autoexec.bat în aşa fel încât acest vierme să se încarce la fiecare pornire a calculatorului şi, de asemenea, modifică bara de stare mIRC.

Flood este un Cal Troian care iniŃiază o procedură de inundare a canalului IRC respectiv pentru a se crea o disfuncŃionalitate de refuz al serviciului de tip DoS. Poate fi localizat manual în fişierul c:\windows\system\mirc.hlp.

LoveLetter este de fapt o combinaŃie de virus de fişier, vierme e-mail şi vierme IRC care foloseşte tehnica de Cal Troian pentru a se multiplica.

MyLife este atât vierme cât şi Troian. A fost tratat anterior. Naked Wife mai este cunoscut şi sub denumirea de W32/Naked@MM sau HLLW.JibJab@mm.

Se răspândeşte cu ajutorul programului de poştă electronică Microsoft Outlook. Subiectul mesajului este FW: Naked Wife iar conŃinutul îmbietor My Wife never looks like that ☺☺☺☺, Best Regards. Utilizatorul curios va deschide fişierul NakedWife.exe care va permite multiplicarea virusului şi apariŃia pe ecran a mesajului:

You’are now F****d! © 2001 by BGK (Bill Gates Killer). CĂI ASCUNSE – TRAP DOORS / BACK DOORS Căi ascunse (Trap Doors) sunt mecanisme care sunt create de către proiectanŃii de software

pentru a putea să pătrundă în sistemul de calcul ocolind sistemele de protecŃie. Căi ascunse (Back Doors) se pot crea cu ajutorul Cailor Troieni. Mecanismul presupune

introducerea în calculatorul-Ńintă a unui program care ulterior să deschidă căi de acces către resursele acestuia. Programele din această categorie poartă chiar denumiri generice gen BackDoor. Subseven, BackDoor.Troian şi BackOriffice19.

BOMBE O bombă reprezintă un tip de Cal Troian, care va lansa un program distructiv la o anumită

dată sau atunci când anumite condiŃii impuse sunt îndeplinite. Tehnic, există două tipuri de bombe: de timp şi logice. O bombă de timp se va activa atunci

când se scurge o anumită perioadă de timp de la instalare sau când se atinge o anumită dată calendaristică. O bombă logică va acŃiona atunci când se îndeplinesc anumite condiŃii impuse de cel care a creat-o. Avantajul acŃiunii unei bombe este acela că dă posibilitatea celui care a trimis-o să-şi şteargă urmele în intervalul de timp până la activare.

Am făcut această prezentare a programelor maliŃioase şi am încercat să le grupez după modul lor de acŃiune pentru a da o viziune de ansamblu corectă asupra acŃiunii acestora, dar şi ca o informare a utilizatorului despre acest pericol. Nu cred că există utilizator de calculatoare care să nu fi avut de-a face cel puŃin o dată cu acŃiunea unor astfel de programe.

Marii producători de programe antivirus oferă şi alte clasificări. Firma Symantec, liderul în materie de programe antivirus, grupează programele maliŃioase în următoarele categorii: comuni, de program, de boot, Stealt, polimorfici, multipartiŃie, de macro, de windows şi programe maliŃioase. Alte firme oferă alte tipuri de clasificări. Am întâlnit şi situaŃii amuzante referitoare la „viruşi“. Erorile datorate instalărilor defectuoase a programelor sau driverelor de periferice au fost puse pe seama acŃiunii viruşilor. O altă situaŃie este aceea generată de „faimosul“ virus Y2K20. O simplă scriere a anului calendaristic pe două cifre şi nu pe patru a dat naştere la o adevărată

19 BackOriffice a fost creat ca o parodiere a programului Microsoft BackOffice. 20 Întâlnit şi sub denumirea de „Virusul anului 2000“.

BURTESCU

psihoză la sfârşitul anului 1999. Această „scăpare“ (în anii de început ai erei informatice nevoia de spaŃiu era stringentă) a fost impropriu numită bug, apoi virus informatic, pentru ca în final să ajungă sub denumirea de virus (de orice natură) în ştirile sistemului mass-media care preziceau Apocalipsa şi din această cauză. S-au livrat numeroase programe care să testeze compatibilitatea calculatorului cu anul 2000 şi eventual să stopeze „virusul“.

Spărgătoare de parole şi utilizarea lor în testarea securităŃii firmei

Protejarea prin parole a accesului la resursele sistemului de calcul sau protejarea în acelaşi mod a accesului la fişiere reprezintă cea mai des utilizată şi mai la îndemână metodă de protecŃie a datelor din calculatoare.

În majoritatea cazurilor sistemul de parole este folosit pentru autentificare şi identificare în limitarea accesului, dar poate fi folosit şi pentru protecŃie la nivel de fişier sau folder.

Un spărgător de parole este un program care poate determina parolele sau care poate evita sau dezactiva protecŃia prin parole. În literatura de specialitate termenul poate fi întâlnit sub denumirile de „password cracker“ sau „password recovery“. Programele din această categorie îşi bazează succesul pe folosirea algoritmilor care prezintă slăbiciuni, implementări greşite ale acestora şi factorul uman. Un spărgător de parole este cu atât mai eficient cu cât parola folosită este mai simplă de găsit şi cu cât programul de spart parole rulează pe un calculator performant.

Ca tehnici de atac pentru „ghicirea“ parolei se folosesc următoarele: � atac prin „forŃa brută“; � atac folosind dicŃionare. Atacul folosind ca tehnică „forŃa brută“ este un program care încearcă să găsească,

încercare după încercare, parola corectă. Aceasta presupune generarea, după un anume algoritm, de cuvinte care sunt apoi testate ca parolă. Folosirea combinaŃiilor de 10 cifre, 26 de litere şi alte simboluri existente pe tastatură fac ca procesul să fie de lungă durată. Folosirea unui calculator performant reduce considerabil timpul. De asemenea, dacă parola este scurtă sau foloseşte combinaŃii doar de cifre sau de litere, timpul este redus.

Atacul folosind dicŃionare presupune existenŃa unui fişier dicŃionar (dictionary file) care conŃine o listă de cuvinte folosite în algoritmul de generare a parolei. Programul va folosi datele din acest dicŃionar pentru a încerca spargerea parolei.

În cadrul firmei este indicat ca periodic să se facă o testare a parolelor. Aceasta se impune

mai ales atunci când acestea sunt alese de către utilizator atunci când îşi protejează prin parole, într-un fel sau altul, accesul la fişiere.

Folosirea parolelor pentru limitarea accesului se impune în două situaŃii: � pentru limitarea accesului persoanelor neautorizate la resursele calculatorului; � atunci când calculatorul este folosit de mai mulŃi utilizatori. PrezenŃa parolelor care să permită accesul la resursele calculatorului se face simŃită în patru

cazuri, şi anume: � la pornirea calculatorului; � la încărcarea sistemului de operare; � la accesarea resurselor reŃelei; � la accesarea fişierelor. Pornirea calculatorului este marcată, dacă este configurată din CMOS această opŃiune, de

cererea introducerii unei parole de acces. Necunoaşterea acestei parole va bloca calculatorul în faza de preîncărcare a sistemului de operare. Metoda a funcŃionat şi funcŃionează cu condiŃia ca

BURTESCU

intruderul să fie un novice. Există parole universale, create de proiectanŃii de calculatoare, care permit depăşirea acestui obstacol. Faimoasa combinaŃie 589589 făcea ca parola de CMOS să fie inutilă la calculatoarele echipate cu microprocesoare din generaŃia 486. Complementar sau în paralel cu această metodă există programe care se instalează în CMOS şi care asigură un grad sporit de securitate şi care realizează aceeaşi funcŃie.

Majoritatea sistemelor de operare pot fi configurate, mai ales în cazul folosirii de către mai mulŃi utilizatori a calculatorului, să nu permită încărcarea sistemului de operare dacă nu este introdusă corect parola.

Accesul la resursele reŃelei poate fi de asemenea blocat de cunoaşterea unei parole. Acest lucru poate fi asigurat de către sistemul de operare sau de către software-ul reŃelei. Ca software de reŃea, Novell Netware se achită foarte bine de această sarcină.

Determinarea modului de acces la un fişier, grup de fişiere sau foldere poate fi limitat tot cu ajutorul folosirii parolelor. Aceasta operaŃie poate fi realizată de către sistemul de operare sau de alte programe. Ca exemplu, accesul la o bază de date poate fi limitat de către sistemul de operare sau de către SGBD21.

Dacă primele sisteme de operare nu aveau implementată această facilitate, sistemele de operare UNIX şi apoi cele de tip DOS au implementat-o. Primele sisteme de operare DOS care au implementat folosirea parolelor au fost cele livrate de firma Digital Research Inc. la versiunile DR-DOS 6.0 şi ulterioare. Acest sistem de operare permitea o protecŃie ridicată, la acea vreme (1990-1995), prin limitarea modului de acces la fişiere sau directoare. ProtecŃia era efectivă numai pe calculatorul pe care funcŃiona sistemul de operare DR-DOS. Securitatea nu era însă totală. Printre golurile de securitate ale acestui sistem de operare se pot enumera două mai importante:

� fişierele protejate de parole puteau fi citite pe alte calculatoare pe care rula un alt sistem de operare;

� folosirea unui editor de disc elimina protecŃia. Câtă lume se pricepea însă la acea dată să folosească un editor de disc?

Sistemele de operare de la Microsoft au introdus folosirea parolelor de abia la sistemul de operare Windows. Şi atunci când au fost implementate au constituit deliciul crackerilor prin modurile uşoare prin care puteau fi ocolite sau sparte. Sunt bine cunoscute golurile de securitate ale sistemelor de operare de tip Windows 9x. Dar firma Microsoft a introdus şi protecŃia la nivel de fişier. Suita de aplicaŃii MS Office permite protejarea cu ajutorul parolelor la nivel de fişier. Mai nou, MS Office System permite chiar protecŃia la nivel de porŃiune de text în MS Word sau celulă MS Excel.

SoluŃia folosirii parolelor pare simplă. Oricine a auzit şi ştie de parole. Orice utilizator va putea, beneficiind de facilităŃile sistemului de operare sau de alte programe specializate, să-şi protejeze datele. Numai că trebuie luate în considerare anumite cerinŃe. De exemplu, nu trebuie protejate prin parole, fără ca ceilalŃi utilizatori să cunoască parola, fişierele partajate din reŃea.

Cea mai importantă problemă o reprezintă, însă, alegerea parolei. O parolă scurtă şi intuitivă va fi uşor de ocolit. Crackerii se bazează în principiu, la iniŃierea unui atac, pe existenŃa unor parole greşit alese sau slab protejate. Utilizatorii nu ştiu cum să-şi aleagă parolele sau nu sunt educaŃi cum să-şi aleagă aceste parole. O parte din responsabilitate cade în sarcina angajatorului, iar o altă parte în cea a personalului însărcinat cu asigurarea securităŃii. Alegerea parolei va fi detaliată în paragraful 4.5.2.

Folosirea optimă a parolelor pentru asigurarea securităŃii presupune alegerea adecvată a acestora sau generarea acestora cu ajutorul generatoarelor de parole.

21 SGBD – Sistemul de Gestiune al Bazelor de Date.

BURTESCU

În marea majoritate a lor, generatoarele de parole folosesc metode criptografice pentru a genera parole.

ModalităŃi de utilizare a programelor antivirus în cadrul firmei

Detectarea viruşilor

Ce mai simplă şi mai la îndemână modalitate de a ne proteja împotriva programelor maliŃioase este aceea de a folosi un program antivirus.

Un program antivirus este un utilitar care detectează şi anihilează acŃiunea programelor maliŃioase. Programul antivirus va sesiza existenŃa unui cod maliŃios (virus) în calculator folosindu-se de amprenta (semnătura) lăsată de fiecare program maliŃios (virus). O dată sesizată existenŃa unui virus, programul antivirus va lansa în execuŃie o subrutină, vaccinul, care va anihila acŃiunea virusului. →→→→ Un program antivirus nu va putea detecta decât viruşii a căror semnătură sunt în baza lui de semnături. Trebuie Ńinut cont de faptul că întâi apare virusul şi apoi antivirusul. →→→→ Producătorii de programe antivirus livrează periodic, la interval de câteva zile, noile semnături de viruşi. Actualizarea cu noile semnături este uşor de făcut dacă există o conexiune internet. Sunt şi producători care livrează actualizările folosind suporturi de memorie de tip disc flexibil sau compact disc. Este cazul firmei Kaspersky. →→→→ Teama de acŃiunea viruşilor este aşa de mare încât, uneori, anumite subrutine de testare a autenticităŃii unui program sunt luate drept viruşi. Este cazul procedurii de verificare de la programul Ciel Contab. Ulterior, acest neajuns a fost remediat. →→→→ AcŃiunea programelor antivirus poate fi configurată de către utilizator de la stadiul de maximă protecŃie (real time protection) până la stadiul de inactiv (disable). Evident că ultima stare este cea mai nefericită, aceasta este similară cu inexistenŃa programului antivirus.

Existenta activităŃii sau inactivităŃii programului antivirus poate fi evidenŃiată prin icon-urile care apar în bara de „tray“ la sistemele de operare de tip Windows.

4.2.2. Alegerea şi configurarea programului antivirus pentru firme

Alegerea unui program antivirus este uneori dificilă datorită existenŃei mai multor programe pe piaŃă, dar şi datorită cerinŃelor care trebuie îndeplinite de acestea. →→→→ Consider că pentru alegerea unui program antivirus trebuie să Ńinem cont de următoarele criterii de alegere:

� platforma de lucru; � numărul de viruşi care pot fi detectaŃi; � timpul de răspuns la un virus; � existenŃa opŃiunilor de scanare în reŃea; � existenŃa opŃiunilor de scanare în e-mail; � protecŃia împotriva scripturilor; � scanarea în fişiere comprimate; � existenŃa suportului tehnic; � perioada de timp pentru care se livrează actualizări gratuite;

BURTESCU

� renumele firmei; � localizarea firmei producătoare sau a distribuitorului; � preŃul. Este cunoscut faptul că programele antivirus sunt făcute să funcŃioneze pe mai multe sisteme

de operare. Unele firme producătoare livrează programe antivirus care funcŃionează doar pe anume sisteme de operare, dar sunt şi programe antivirus care funcŃionează pe mai multe platforme. Există mai multe reviste de specialitate care efectuează periodic un audit al acestor programe antivirus. Una dintre cele mai cunoscute este Virus Bulletin (www.virusbtn.com). Rezultatele testelor efectuate de către specialiştii acestei reviste pe diferite platforme sunt exemplificate în tabelul următor (tabelul 19):

BURTESCU

Tabelul 19. Teste comparative de funcŃionare programe antivirus pe diferite platforme Platformă/sistem operare

Netware 6.0

Windows Server 2003

Windows NT

Red Hat Linux 9

Windows XP Prof.

Program antivirus AhnLab - 100% 100% - X Alladin Knowledge Systems (eSafe)

- - - - -

Alwil (Avast!) X 100% 100% X Authentium (formerly Command Software Systems)

X - 100% 100% -

CAT QuickHeal - - 100% 100% 100% Computer Associates (InoculateIT/eTrust)

X X 100% - -

Computer Associates (Vet) 100% 100% 100% 100% DialogueScience (Dr. Web) 100% 100% X 100% X Eset (NOD32) 100% 100% 100% 100% 100% F-Secure - 100% 100% 100% 100% Fortinet - - X - X Frisk (F-Prot) - 100% 100% 100% 100% GDATA - X 100% - 100% GeCAD (RAV) - - - - - Ggreat - - - - - Grisoft (AVG) - 100% X 100% 100% H-BEDV (AntiVir) - - X 100% 100% Hauri (ViRobot) - - - - - Ikarus - - - - - Kasperski 100% 100% 100% 100% 100% Leprechaun VirusBuster II - - - - - McAfee - - - - - MicroWorld (eScan) - 100% 100% - X NWI Virus Chaser - X - X Network Associates (McAfee) 100% 100% 100% X 100% Norman 100% X X - 100% Panda Software - - - - - Proland Software - - - - - Softwin (BitDefender) - 100% 100% X 100% Sophos 100% 100% 100% X 100% Symantec (Norton) 100% 100% 100% - 100% Trend Micro (PC-cillin) - 100% 100% 100% 100% Unasoft - - X - X VirusBuster 100% 100% 100% 100% 100%

100% Compatibilitate 100% cu testele Virus Bulletin X FuncŃionare defectuoasă

Legendă:

- FuncŃionare bună Sursa: Virus Bulletin, http://www.virusbtn.com/vb100/archive/products.xml?table. Mai multe date despre compatibilitate şi modul de efectuare a testelor se pot găsi la adresa:

http://www.virusbtn.com/vb100/about/100procedure.xml. Numărul de viruşi care pot fi detectaŃi de un program antivirus are cea mai mare greutate în

alegere. Cu cât acest număr este mai mare, cu atât posibilităŃile de detectare şi anihilare cresc. Programele antivirus pot detecta peste 67.000 de viruşi şi variante ale acestora22.

22 Conform cu Norton Antivirus.

BURTESCU

Timpul de răspuns necesar pentru crearea unui antidot împotriva unui virus este greu de estimat. Acesta poate fi aflat doar în cazul unor viruşi care au avut efecte majore. Timpul de răspuns depinde în foarte mare măsură de experienŃa firmei.

ExistenŃa opŃiunilor de scanare în reŃea este foarte importantă atât din punct de vedere al siguranŃei şi actualizării, cât şi al costului. Vom trata acest aspect puŃin mai târziu.

Dacă calculatorul sau reŃeaua au acces la Internet, posibilitatea de a scana e-mail-uri este foarte importantă, bine cunoscută fiind răspândirea viruşilor cu ajutorul Internetului. Similar şi opŃiunea de protecŃie împotriva viruşilor de script.

Pentru ca un fişier de dimensiune mare să ajungă cât mai repede la destinaŃie se recurge la comprimarea acestuia. Dimensiunea unui fişier comprimat este sensibil mai mică faŃă de a celui iniŃial23. Dacă fişierul sursă conŃine un virus, atunci şi fişierul rezultat va conŃine şi el virusul. Din această cauză, existenŃa acestei opŃiuni este importantă.

ExistenŃa suportului tehnic, telefon sau e-mail, este necesară atunci când se întâmpină probleme la instalare şi configurare. Este importantă atunci când instalarea este făcută de o persoană fără cunoştinŃe în domeniu.

De regulă, perioada de timp pentru care se livrează actualizări gratuite de către firma producătoare este de un an. Această perioadă poate fi prelungită prin semnarea unui contract de abonament.

Renumele firmei trebuie luat serios în considerare atunci când se achiziŃionează un program antivirus. Renumele firmei Ńine atât de longevitatea acesteia pe piaŃă, cât şi de clasamentele întocmite de firmele de specialitate.

Localizarea firmei producătoare sau a distribuitorului trebuie luată în considerare dacă se doreşte o colaborare strânsă atunci când pot să apară incidente legate de acŃiunea viruşilor şi când singura posibilitate de remediere este contactul direct între cele două părŃi. De asemenea, localizarea firmei are un rol important în anumite situaŃii particulare. Ca exemplu poate fi dat acela în care un virus este produs local, de angajat sau de către o altă persoană la nivel de judeŃ sau de Ńară. O firmă locală va putea să descopere şi să anihileze mai rapid virusul decât o firmă aflată la mii de kilometri distanŃă.

PreŃul este foarte important atunci când numărul de calculatoare este mare. Din tabelul următor se observă că preŃurile sunt comparabil egale (tabelul 20).

Tabelul 20. Principalele programe antivirus (comparaŃii)

Program antivirus Scanează e-mail

Control centralizat

Firewall încorporat

Scanare în fişiere

comprimate

PreŃ USD

Norton AntiVirus IN/OUT Da Nu Da 50 Kaspersky Anti-Virus IN/OUT Nu Nu Da 50 PC-cillin IN/- Nu Da Da 40 McAfee VirusScan IN/- Nu Nu Nu 40 Bit Defender IN/- Nu Da Da 40

Sursa: www.antivirusebook.com/antiviruscomparison.htm

→→→→ Să analizăm acum cheltuielile necesare achiziŃionării de programe antivirus. Firma pe care am făcut testele este o firmă de mărime medie care are o reŃea cu 22 de calculatoare cuplate în reŃea (20 staŃii de lucru şi 2 servere – Windows NT şi Linux).

23 Depinde de tipul de fişier. În anumite cazuri, poate să fie chiar mai mare.

BURTESCU

AchiziŃionarea de programe antivirus pentru toate calculatoarele ar duce la un cost cuprins între 840 USD şi 1.050 USD (21 buc. X 40 USD şi 21 buc. X 50 USD, pe unul dintre servere rulează Linux – server de Internet).

Suma este acceptabilă pentru această firmă. AchiziŃionarea va fi făcută şi programele vor fi instalate pe cele 21 de calculatoare. În anumite situaŃii, la achiziŃionarea unui nou sistem de calcul, se livrează gratuit şi programele antivirus pentru nevoile locale. În ultimul timp, tot mai mulŃi producători de plăci de bază (sau de calculatoare) livrează şi programe antivirus o dată cu produsul. Este cazul programelor antivirus Norton Antivirus (livrat separat sau integrat în Norton Internet Security) şi PC-cillin.

În situaŃia în care se folosesc programe antivirus care funcŃionează separat pe fiecare calculator, atunci pot să apară disfuncŃionalităŃi în funcŃionarea întregului mecanism de protecŃie antivirus, şi anume:

� actualizarea şi scanarea periodică de viruşi este lăsată la latitudinea angajatului; � este greu de urmărit acŃiunea fiecărui program antivirus pe staŃiile de lucru. Este necesar să existe un program antivirus care să ofere un control centralizat, repararea

fişierelor infectate, capacităŃi de carantină pentru acestea şi posibilitatea de actualizare din Internet.

În această situaŃie, achiziŃionând un program antivirus care să ofere aceste facilităŃi, Norton Antivirus Enterprise/Corporate Edition, preŃul total este de 1.050 USD (care include 21 de licenŃe şi suportul de program pe compact disc). Suma este comparabilă cu cea anterioară, numai că în acest caz facilităŃile sunt multiple:

� protecŃia şi monitorizarea de la o singură consolă; � scanează mesajele de e-mail atât la recepŃionare, cât şi la transmisie; � recunoaşte aplicaŃiile nesolicitate ca spyware şi adware; � identifică sursa în cazul anumitor atacuri; � alertează în cazul în care anumite calculatoare nu sunt conectate la reŃea; � scanează în memorie şi opreşte procesele suspecte înainte ca acestea să cauzeze daune; � permite o detectare centralizată a nodurilor neprotejate din reŃea. AchiziŃionarea de către firmă a programului antivirus Norton Antivirus Enterprise/ Corporate

Edition a permis un mai bun control al viruşilor. Anterior acestei achiziŃii, când se lucra cu diferite programe antivirus pe diverse calculatoare sau când actualizările nu erau făcute la zi, problemele generate de viruşi erau multiple. La o testare antivirus iniŃială făcută cu Norton Antivirus am descoperit 10 calculatoare virusate dintr-un total de 22. Numărul de fişiere virusate era de ordinul sutelor la fiecare calculator. Din această cauză a trebuit să efectuez operaŃia în două etape – pe grupuri de calculatoare. După terminarea completă a operaŃiei am constatat că situaŃia era identică cu cea iniŃială. Această situaŃie s-a datorat în mare parte strategiei de lucru folosite la devirusare. ExistenŃa resurselor partajate în reŃea făcea ca după devirusare calculatoarele curate să se reinfecteze la accesarea acestor resurse, în mare parte cu acordul utilizatorului. O altă cauză o reprezenta acŃiunea utilizatorului neinstruit. Pentru a nu mai avea astfel de probleme am procedat la o scanare în afara orelor de program, la anularea resurselor partajate şi la anularea accesului la Internet. O dată cu instalarea unor sisteme de operare Windows XP care nu mai dădeau utilizatorului drepturi de partajare foldere sau fişiere, a folosirii noului pachet de program antivirus corect configurat şi a anulării conexiunii la Internet problemele datorate viruşilor s-au diminuat. Chiar şi viruşii de pe dischetele mai vechi nu mai constituiau o problemă deoarece programul a fost configurat pe acŃiunea automată de devirusare (autorepair).

BURTESCU

Reguli şi restricŃii

→→→→ Consider că pentru a se evita o infecŃie cu viruşi este necesar să fie impuse o serie de reguli şi restricŃii în utilizarea calculatorului.

Ca primă măsură se impune informarea şi instruirea personalului asupra măsurilor care trebuie luate.

A doua măsură care se impune este configurarea corectă, hardware şi software, a calculatorului şi a reŃelei.

Un calculator corect configurat este vulnerabil dacă factorul uman nu este bine instruit şi conştient de consecinŃele unei infecŃii cu viruşi.

De asemenea, personalul bine instruit nu poate să acopere golurile de securitate hardware şi software lăsate. →→→→ Principalele reguli şi restricŃii care consider că se impun pentru a se evita o infectare cu viruşi sunt:

1) Instalarea şi rularea unui program antivirus foarte bun. Ce înseamnă aceasta? Un program antivirus bun sau foarte bun este acela care satisface cerinŃele de securitate impuse. Dacă programul antivirus se instalează local şi dacă pe acel calculator nu se rulează programe de poştă electronică, atunci nu trebuie luată în considerare facilitatea de scanare e-mail. Dacă în schimb calculatorul respectiv este conectat la Internet şi se face browsing, atunci cerinŃele sunt foarte mari. Nu este suficient ca un program antivirus să detecteze foarte mulŃi viruşi. Este important să detecteze şi să anihileze virusul care încearcă să infecteze acel sistem.

2) Actualizarea periodică a programului antivirus cu noile facilităŃi, dar mai ales cu noile semnături de viruşi. Actualizarea poate fi făcută manual, periodic de către utilizator sau poate fi configurată pe opŃiunea automată.

3) Actualizarea programelor de e-mail şi a web browserelor cu noile „patch“-uri24 sau „fix“-uri25. Este bine cunoscută exploatarea golurilor de securitate din aceste programe de către viruşii care se folosesc de Internet pentru a se propaga. Actualizarea acestor programe micşorează posibilitatea de infectare.

4) Configurarea optimă a programelor de e-mail şi a web browserelor. Ca nivel de securitate, acestea sunt configurate implicit pe opŃiunea Medium (mediu), dar pot fi configurate pe niveluri mult mai ridicate. De asemenea, se poate configura şi restricŃionarea anumitor site-uri.

Aceste opŃiuni pot fi configurate, la sistemele de operare Windows, din Control Panel →→→→ Internet Option →→→→ Security, Privacy şi Advanced (figura 57).

24 Patch – petic. ÎmbunătăŃire ulterioară adusă unui program care prezină goluri de securitate în funcŃionare. 25 Fix – reparaŃie.

BURTESCU

Figura 57. Configurarea opŃiunilor de securitate în Windows 5) Nu se fac descărcări (download) de programe din surse dubioase. Actualizările de

programe trebuie să se facă numai de pe site-ul producătorului şi nu din alte surse. 6) Nu se deschid fişierele ataşate la e-mail dacă acestea nu provin de la o sursă de încredere.

Regula de bază este: „nu deschide un attachement care vine de la o persoană pe care nu o cunoşti“. Programele de poştă electronică au posibilitatea de a bloca accesul la e-mail-uri care par

„dubioase“. În programul Outlook Express 6 acest lucru poate fi făcut din opŃiunile: Tools →→→→ Option →→→→ Security, unde trebuie bifată opŃiunea Do not allow attachements to be

saved or opened that could potentially be a virus (Blochează deschiderea sau salvarea fişierelor ataşate care pot fi/conŃine viruşi) (figura 58).

Figura 58. Blocarea opŃiunilor de deschidere automată a fişierelor ataşate

BURTESCU

7) AtenŃie la e-mail-urile şi site-urile de tip păcăleală. Nu se va da curs ferestrelor apărute în timp ce faci browsing şi care-Ńi propun un câştig în bani sau bunuri dacă execuŃi click pe OK / Yes sau care conŃin mesaje alarmiste referitoare la securitatea calculatorului tău. Nu se vor retrimite e-mail-uri primite către cunoscuŃi cu urarea că vei avea noroc dacă faci asta.

8) Scanarea de viruşi. Această acŃiune poate fi făcută manual sau poate fi făcută automat de către program prin configurarea acestuia ca la pornire sau la o anumită dată, periodic, să facă acest lucru.

Orice nou suport de memorie accesat (disc flexibil, CD-ROM, pendrive etc.) trebuie să fie scanat. La majoritatea programelor antivirus opŃiunea este automată.

9) Dezactivarea lui ActiveX din opŃiunile browserului de Internet (figura 59).

Figura 59. Dezactivarea lui ActiveX din opŃiunile browserului de Internet 10) Dezactivarea lui Windows Script Host (WSH) pentru a se preîntâmpina infectarea cu

viruşi de script (extensia .VBS) 11) Activarea opŃiunii de protecŃie la viruşi de macro (Macro Virus Protection) în Microsoft

Office (figura 60).

Figura 60. Activarea opŃiunii de protecŃie la viruşi de macro

BURTESCU

12) AchiziŃionarea unui firewall. 13) Salvarea periodică a datelor (backup). 14) Informarea permanentă asupra acŃiunii viruşilor. Acest lucru poate fi făcut din publicaŃiile

de specialitate sau din atenŃionările periodice trimise de firmele din domeniu.

BURTESCU

Date post:	05-Jul-2015
Category:	Documents
Upload:	claudeltziganel
View:	84 times
Download:	0 times

Curs 5 - Malitiozitate IT(1)

Documents