26
Anul I,seria 5,grupa 3
Anul I,seria 5,grupa 3
I.VIRUȘII.VIRUȘI II. ANTIVIRUȘIII. ANTIVIRUȘI
III. CONCLUZIIIII. CONCLUZII IV. BIBLIOGRAFIEIV. BIBLIOGRAFIE
1.Definiția unui virus1.Definiția unui virusVirusul informatic este un program care posedă proprietatea de a introduce copii executabile ale lui însuşi în alte programe.
În domeniul informatic se utilizează termenul virus din cauza asemănărilor funcţionale dintre aceste bucăţi de cod (programe) şi vieţuitoarele microbiologice. O definiţie ceva mai academică, spune că virusul este de fapt un acronim, provenit de la Vital
Information Resources Under Siege.
Realizatorii de viruși informatici sunt:
•programatori răzleţi,izolaţi de restul utilizatorilor,care vor să introducă unele mesaje mai mult sau mai puţin prietenoase,avertizând un spectru larg de utilizatori asupra unor opţiuni(politice,economice);•tineri din şcoli şi din universităţi dornici de „afirmare”;•angajaţi nemulţumiţi,care vor ca foştii lor colegi să-şi amintească de ei prin distrugerile pe care le lasă în urmă după plecarea lor;•programatorii care doresc protejarea muncii lor faţă de copierile ilegale de soft. Există chiar şi firme de soft ilegale care realizează programe generatoare de viruşi.Unele dintre aceste programe sunt capabile să genereze în mod automat milioane de viruşi diferiţi.
Virusul ajunge în calculatorul tău printr-un transfer de fişiere - de pe o dischetă sau cd, din reţea, sau ca ataşament la un e-mail. Un virus bine scris nu-şi va trăda prezenţa pentru un timp, pentru că ar putea fi detectat, de aceea va încerca să profite de timp pentru a se înmulţi. Copiile sale pot fi identice cu el sau pot fi diferite (viruși polimorfi).
După ce îndeplinesc anumite condiţii de înmulţire, virusul începe „să scoată capul în lume”.
Efectele sale pot fi unele nedistructive sau poate avea efecte răuvoitoare şi distructive.
4.1Istoric viruși1949-Sunt puse pentru prima oară bazele teoriilor legate de programele care se autoreproduc.1981-Virusși Apple 1, 2, și 3 sunt printre primii viruși "in the wild". Descoperiți în sistemul de operare Apple II, virușii se răspândesc în Texas A&M prin intermediul jocurilor piratate.1983-În teza sa de doctorat, Fred Cohen definește pentru prima oară formal un virus de calculator ca fiind "un program ce poate afecta alte programe de calculator, modificându-le într-un mod care presupune abordarea unor copii evoluate ale lor."1986-Doi programatori, Basit și Amjad, înlocuiesc codul executabil din sectorul boot al unui floppy-disk cu propriul lor cod, care infecta fiecare floppy de 360 Kb accesat pe orice drive. Floppy-urile infectate aveau "Š Brain" ca etichetă de disc (volume label).1988-„Scapă din lesă” unul dintre cei mai cunoscuți viruși: Jerusalem. Activat în fiecare vineri 13, virusul afectează fișierele .exe și .com și șterge toate programele rulate în cursul acelei zile.1990-Symantec lansează pe piața Norton AntiVirus, unul dintre primele programe antivirus dezvoltate de către una dintre marile companii.
1991-Tequila este primul virus polimorf cu răspândire pe scară largă găsit "in the wild". Virușii polimorfi fac ca detectarea lor de către scanerele de viruși să fie dificilă, prin schimbarea modului de acțiune cu fiecare nouă infecție.1992-Există 1300 de viruși, cu aproape 420% mai mulți decât în decembrie 1990. Previziunile sumbre ale virusului Michelangelo amenință colapsul a circa 5 milioane de calculatoare pe data de 6 martie. Însă doar 5,000-10,000 de calculatoare se întâmplă să eșueze.1994-Farsa de proporții din partea email-ului hoax (alarmă falsă) Good Times. Farsa se bazează pe amenințarea unui virus sofisticat care e capabil să șteargă un întreg hard prin simpla deschidere a emailului al carui subiect este "Good Times". Deși se știe despre ce e vorba, hoaxul revine la un interval de 6-12 luni.1995-Word Concept, virus de Microsoft Word, devine unul dintre cei mai răspândiți viruși din anii '90.1998-StrangeBrew, actualmente inofensiv și totuși raportat, este primul virus care infectează fișierele Java. Virusul modifică fișierele CLASS adăugând la mijlocul acestora o copie a sa și începând executarea programului din interiorul secțiunii virusate.
Virusul Cernobal se răspândește rapid prin intermediul fișierelor ".exe". După cum o sugerează și notorietatea numelui său, virusul este nemilos, atacând nu numai fișierele dar și un anumit cip din interiorul computerelor infectate.
1999-Virusul Melissa, W97M/Melissa, execută un macro dintr-un document atașat emailului, care transmite mai departe documentul la 50 de adrese existente în Outlook address book. Virusul infectează și documente Word pe care le trimite ca atașamente. Melissa se împrăștie mult mai rapid decât alți viruși anteriori infectând cam 1 milion de calculatoare.
Bubble Boy este primul virus care nu mai depinde de deschiderea atașamentului pentru a se executa. De îndată ce userul deschide email-ul, Bubble Boy se și pune pe treabă.2000-Love Bug, cunoscut și sub numele de I LOVE YOU se răspândește via Outlook, asemănător modului de răspândire al Melissei. Acest virus e primit ca un atașament .VBS, șterge fișiere, inclusiv MP3, MP2 și JPG și trimite username-uri și parole găsite în sistem autorului virusului.
W97M.Resume.A, o nouă variantă a Melissei, este "in the wild". Virusul se comportă cam ca Melissa, folosindu-se de un macro Word pentru a infecta Outlook-ul și pentru a se răspândi.
Virusul Stages deghizat într-un email, gluma despre etapele vieții, se răspândește prin Internet. Deloc specific celorlalți viruși anteriori, Stages este ascuns într-un atașament cu extensie falsă .txt, momind utilizatorii să-l deschidă. Până la apariția sa, fișierele text erau considerate fișiere sigure.
4.2 Alte exemple de virușiBrain - a apărut pentru prima dată la Universitatea din Maryland, fiind
creat de doi fraţi din Lahore. Cascade - produs în Germania.Charlie - creat în anul 1987 de Frany Swoboda, virus care făcea ca un
program să se autocopieze de opt ori. Cyber-Tech-B - a fost programat să acţioneze numai pe data de
13.12.1993. Dark Avenger - fabricat în Bulgaria în anul 1990, care conţinea două noi
idei: a) infestarea programelor foarte rapid, b) producerea pagubelor să se facă foarte subtil, pentru a nu putea fi detectat o perioadă de timp. Data Crime - introduce o semnătură de 1168 octeţi. Form - se instalează în sectorul de boot al discului infectat si cauzează
generarea unui sunet, de fiecare dată când se apasă o tastă. Virusul se declanşează numai pe data de 18 a fiecărei luni.
Golden Gate - devine agresiv doar după ce a infectat nu mai puţin de 500 de programeKeyPress - afişează pe ecran şirul "AAAAA" atunci când se apasă o tastă. Lehigh - infectează fişierul de comenzi MS-DOS numit COMMAND.COM
şi se multiplică dintr-odată în patru copii. A apărut în toamna anului 1987, creat probabil de un student de la Universitatea Lehigh.
Maltese Amoebae - de asemenea, virus de tip polimorf. Michelangelo - apărut în 1992, a făcut prăpăd în multe din calculatoare,
cu toate că presa a reuşit să informeze foarte repede despre apariţia acestui virus. Se declanşează în fiecare zi de 6 martie. Natas - citit invers înseamnă Satan. A apărut în Statele Unite si în
America Latină. Virusul poate infecta sectorul de boot, tabela de partiţii, precum si toate fişierele care au extensiile .COM sau .EXE si care au fost executate cel puţin odată. OneHalf - produs în Cehoslovacia. Pathgen - produs în Anglia. Stone - apărut în Noua Zeelandă, făcea să apară pe monitor mesajul "PC-
ul tău este de piatră". Suriv 01, 02, 03 - citit invers, înseamnă Virus. Tip.2475 - este o ruletă rusească foarte periculoasă. A apărut în Rusia şi
s-a răspândit imediat si în tara noastră. Corupe memoria flash si suprascrie discul hard în Windows 9x.Vendredi 13 - măreşte dimensiunea programelor infectate cu 512 octeţi. Vienna - introduce o semnătură de 648 octeţi. Yale - creat în SUA.
O altă cauză care a condus la această rată apreciabilă a infecțiilor o reprezintă "reprofilarea" hackerilor către viruși tot mai
periculoși.Aceștia preferă să creeze viruși de tip worm (vierme), renunțând treptat la virușii de tip mass mailer.
Ca dovadă, 75% din numărul total al virușilor identificați în 2003 erau de tip mass mailer (viruși care se răspândesc puternic prin intermediul mesajelor e-mail), iar 25% de tip vierme.În anul 2004, procentul viermilor a crescut la 35% din numărul total, în timp ce virușii de tip mass mailer reprezintă 65%.Acestea reies și din graficul următor:
Evoluția unor viruși
Evoluţia unui virus cunoaşte două perioade:
a).perioada latentă,în care virusul se răspândeşte în sistem.În această perioadă poate fi depistat de programele de devirusare şi eliminat;
b).perioada activă,în care sistemul intră în acţiune şi efectuează acţiunile pe care a fost programat să le realizeze(de obicei distrugeri de date).
Mecanismul de contaminare clasic constă în rămânerea rezidentă în memoria internă a secvenţei purtătoare a virusului, ascunsă într-un program care se execută.Programul modificat prin acţiunea virusului,cu secvenţa de virus încorporată,este salvat pe discul care a fost lansat, constituind la rândul său un nou purtător de virus.
O tehnică mai evoluată de contaminare constă în introducerea secvenţei de program ce conţine virusul,n urma procesului de instalare a unui produs;în momentul instalării produsului,acestuia i se va adăuga instrucţiuni într-o secvenţă ce defineşte un cod de virus.
Indiferent de modul de contaminare al virusului,acesta trebuie să conţină un mecanism de autorecunoaştere.Astfel se poate evita contaminarea repetată a aceluiaşi fişier cu acelaşi tip de virus.Un virus care nu se autorecunoaşte e foarte uşor de descoperit.
Cel mai uşor şi complet mecanism de autorecunoaştere se bazează pe semnătura virusului,un şir hexazecimal de caractere,specific virusului,care nu mai apare în altă parte(este unic).
Semnătura este diferită de la virus la virus şi poate avea lungimi variabile ce nu depăşesc 80 de octeţi.Înainte de a infecta un nou fişier,virusul analizează dacă semnătura sa nu este prezentă în corpul acestuia.Dacă se autorecunoaşte,procesul de contaminare este abandonat.
GENERALITATEA- un virus este o modalitate foarte generală de distribuire a funcţiilor utile într-un întreg sistem de calcul sau într-o reţea.RAZA DE ACȚIUNE- raza lungă de acţiune a viruşilor este foarte utilă în cazul aplicaţiilor constructive prin faptul că permite răspândirea la mare distanţă a funcţiilor utile,fără a necesita un control centralizat al procesului lor de evoluţie.PERSISTENȚA- când salvăm pe o copie externă un program contaminat,nu salvăm doar programul,ci şi virusul conţinut în el. Marele beneficiu al persistenţei,în cazul viruşilor folositori,constă în faptul că pot fi proiectaţi astfel încât să distribuie în mod sigur informaţia,chiar şi într-un mediu nesigur.
1.Istoric antivirus1.Istoric antivirusÎn 1988 viruşii au captat atenţia mass-mediei,câţiva dintre
cei mai buni cercetători antivirus. Așadar, 1988 a fost anul în care au apărut comercianţii de antiviruşi, care au produs o mare agitaţie în jurul a ceea ce, la vremea aceea, era doar o problemă potenţială.Comercianţii erau firme mici, care-şi vindeau software-ul la preţuri foarte mici (cel mai adesea la 5 USD sau 10 USD); unele dintre programe erau shareware, iar unele freeware. Astfel s-a dat o şansă viruşilor Stoned, Cascade şi Jerusalem de a se răspândi fără a fi descoperiţi şi de a realiza un număr de obiecte infectate care să le asigure mai departe existenţa.
În decembrie 1990 firma Symatec lansează pe piaţă Norton Antivirus,unul dintre cele mai cunoscute programe care va da o nouă direcţie industriei antivirus. Tot în acelaşi an, dar în luna aprilie, firma Central Point Anti-Virus a lansat produsul CPAV.
a).Metode tehnice perfecte de apărareExistă trei lucruri care pot fi făcute pentru a împiedica
total şi definitiv răspândirea viruşilor de calculatoare:-limitarea utilizării în comun a resurselor;-limitarea tranzitivităţii ;-limitarea drepturilor de a programa.b).Metode tehnice cu vicii mari de apărare În lupta împotriva viruşilor este necesar să se cunoască
cele mai importante si eficiente mijloace, metode si tehnici care pot fi utilizate în acest scop.
Suma de control (Checksum) este o valoare numerică obţinută din octeţii individuali ai unui fişier.
Operaţia prin care se elimină un virus dintr-un fişier sau dintr-un sistem se numeşte dezinfecţie (clean). Desigur, contaminarea unui calculator cu un virus informatic se numeşte infecţie (infection).
Tehnica prin care se adaugă unui program executabil o porţiune de cod, pentru a se asigura autoverificarea sa, în aşa fel încât suma sa de control să fie verificată înainte ca programul propriu-zis să se execute, se numeşte imunizare (immunization).
Atunci când se generează o amprentă (o informaţie de control) pentru un fişier se spune că s-a efectuat o inoculare (inoculate).
Un program antivirus care caută fişiere infectate, analizând secvenţe identificabile ca aparţinând unor viruşi cunoscuţi (aşa numitele "semnături" de virus) se numeşte program de scanare (scanner).
Un software antivirus (anti-virus software) reprezintă un program utilizat pentru a identifica şi deseori pentru a furniza mijloacele necesare eliminării viruşilor de pe sistemele infectate.
Un software de dezinfecţie (desinfection software) este un program care încearcă să îndepărteze viruşii de pe discurile infectate, astfel încât să restaureze elementele infectate la starea lor anterioară.
Vaccinul este un program pe calculator realizat pentru a oferi o protecţie împotriva viruşilor de calculator. Adăugând un cod scurt la fişiere, se declanşează o alarmă atunci când un virus încearcă să modifice fişierul. Vaccinurile mai sunt numite şi programe de imunizare.
Programele de protecţie - programe antivirus- au rolul de a realiza simultan următoarele activităţi:prevenirea contaminării;detectarea virusului;eliminarea virusului,cu refacerea contextului iniţial; În general, există două categorii de programe antivirus:1).programe care verifică fişierele pentru a descoperi texte neadecvate sau semnături de viruşi recunoscuţi;2).programe rezidente în memoria internă, care interceptează instrucţiunile speciale sau cele care par dubioase. În categoria programelor de verificare se includ cele de tip SCANxxx,unde prin xxx s-a specificat numărul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108, SCAN200.
a).Tehnici reactive și preventive
Tehnicile de apărare reactive sunt de foarte multă vreme,şi în foarte multe locuri,folosie în domeniul securităţii calculatoarelor
Dezavantajul major pe care îl reprezintă utilizarea acestor tehnici constă în faptul că sunt mari consumatoare de timp,sistemele au căderi în funcţionare pe perioada de reacţie a tehnicii de apărare şi nu anticipează probleme care altfel nu ar putea fi rezolvate.Avantajul lor principal este că nu costă nimic,în cazul în care nici un atac nu-şi face simţită prezenţa.
Tehnicile de apărare de tip preventiv sunt ineficiente în cazul atacurilor de tip nou,al atacurilor ce nu prezentau efecte secundare evidente,al viruşilor greu de urmărit pas cu pas sau al viruşilor de tip evolutiv.
b).Legi împotriva virușilor dăunători
Un mod de a lupta împotriva viruşilor dăunători,din punct de vedere social,era prin crearea şi aplicare în mod ferm a unor legi împotriva lor.Deoarece la sfârşitul anilor `80 viruşii de calculator deveniseră o ameninţare substanţială,administraţiile locale din Statele Unite şi multe dintre guvernele lumii au creat legi împotriva introducerii viruşilor dăunători în sistemele de calcul fără consimţământul proprietarului.
1.ESET Smart Security:Blochează virușii,programele spyware,adware și mesajele spam.Include firewall personal.Oferă protecție pe toate fronturile împotriva tuturor amenințărilor informatice.Instalare ușoară și interfață grafică prietenoasă.
2.ESET NOD32 AntivirusProtecție în timp real împotriva virușilor,programelor spyware,viermilor informatici și alte tipuri de aplicații dăunătoare.Motor avan sat de scanare euristică ThreatSense care blochează cu până la 60% mai multe aplicații periculoase nou apărute.Motor de scanare și detecție unitar,optimizat să conserve resursele calculatorului.
Pornind de la ideea că întotdeauna este mai bine să previi
lucrurile neplăcute decât să le tratezi,consider că aceasta este
valabilă şi în cazul viruşilor de calculatoare.Iată câteva sfaturi:
- nu încercaţi programe executabile de pe sistemele de buletine
informative dacă nu sunteţi sigur că ele sunt fără viruşi (eventual
aţi văzut pe altcineva folosind programul fără probleme).
- nu preluaţi programe executabile vândute prin poştă şi care ţin
de domeniul public sau în regim shareware, dacă nu se precizează
că se verifică fiecare program vândut.
- nu încărcaţi niciodată un program transmis de curând pe un
sistem de buletine informative, până când el nu a fost verificat de
operatorul de sistem. Când încărcaţi programul, faceţi-o pe un
sistem cu două unităţi de dischetă, astfel încât el să nu se apropie
de hard disk. - nu copiaţi dischete pirat ale programelor comercializate,
deoarece ele pot conţine viruşi.
- cumpăraţi şi folosiţi programe recunoscute de detectare a
viruşilor - instalaţi un program de detectare a viruşilor, rezident în
memorie, care să examineze fişierele pe care le copiaţi în
calculator.
Dr. Frederick B. Cohen – “Viruşii calculatoarelor”(TEORA ,București,1995)
George Dimitriu – “Programe antivirus” (TEORA,București,1998)
www.securizare.ro
