vineri, 19 august 2011
Istoria virusilor
Istoria virusilor de calculatoare este lungă si interesantă. Dar ea a devenit cu adevărat palpitantă abia din momentul în care a început să se dezvolte industria PC-urilor. Pe măsură ce dezvoltarea acestor calculatoare noi progresa, a devenit posibilă si accesarea a mai mult de un program într-un singur computer. În acelasi timp, s-a manifestat si o reactie împotriva a tot ceea ce însemna computerul. Această tendintă are rădăcini mai vechi, dar impactul computerelor de tip PC a fost asa de mare, încât si reactiile împotriva acestora au început să se facă mai evidente.
În anul 1986, niste programatori de la Basic&Amjad au descoperit că un anumit sector dintr-un floppy disk contine un cod executabil care functiona de câte ori porneau computerul cu discheta montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un program propriu. Acest program putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un floppy disc.
În acelasi an, programatorul Ralf Burger a descoperit că un fisier poate fi făcut să se autocopieze, atasând o copie într-un alt director. El a făcut si o demonstratie despre acest efect pe care l-a numit VirDem (Virus Demonstration). Acesta a reprezentat un prim exemplu de virus, autentic dar destul de nevinovat, întrucât nu putea infecta decât fisierele cu extensia .COM.
La scurt timp au început să apară numerosi virusi, fabricati peste tot în lume. Ei au evoluat rapid, luând diverse forme si înglobând idei din ce în ce mai sofisticate.
Iată o scurtă dar spectaculoasă evolutie a fabricării în serie în toate colturile lumii si lansării pe piată a virusilor:
- în anul 1990 erau cunoscuti si catalogati 300 de virusi
- în anul 1991 existau peste 1000 de virusi
- în anul 1994 erau înregistrati peste 4000 de virusi
- în anul 1995 s-au înregistrat peste 7000 de virusi
Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de macrovirus, devenind în scurt timp o adevărată amenintare, deoarece erau mult mai usor de fabricat decât părintii lor virusii. Acestia nu erau adresati numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi folositi pentru orice program, usurându-se calea de aparitie a cunoscutilor microvirusi care au infestat fisierele la acea vreme produsul Lotus AmiPro.
Primul dintre macrovirusi a fost cel folosit în Word si Word Basic. În luna iulie 1996 a apărut si primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel.
În anul 1986, niste programatori de la Basic&Amjad au descoperit că un anumit sector dintr-un floppy disk contine un cod executabil care functiona de câte ori porneau computerul cu discheta montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un program propriu. Acest program putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un floppy disc.
În acelasi an, programatorul Ralf Burger a descoperit că un fisier poate fi făcut să se autocopieze, atasând o copie într-un alt director. El a făcut si o demonstratie despre acest efect pe care l-a numit VirDem (Virus Demonstration). Acesta a reprezentat un prim exemplu de virus, autentic dar destul de nevinovat, întrucât nu putea infecta decât fisierele cu extensia .COM.
La scurt timp au început să apară numerosi virusi, fabricati peste tot în lume. Ei au evoluat rapid, luând diverse forme si înglobând idei din ce în ce mai sofisticate.
Iată o scurtă dar spectaculoasă evolutie a fabricării în serie în toate colturile lumii si lansării pe piată a virusilor:
- în anul 1990 erau cunoscuti si catalogati 300 de virusi
- în anul 1991 existau peste 1000 de virusi
- în anul 1994 erau înregistrati peste 4000 de virusi
- în anul 1995 s-au înregistrat peste 7000 de virusi
Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de macrovirus, devenind în scurt timp o adevărată amenintare, deoarece erau mult mai usor de fabricat decât părintii lor virusii. Acestia nu erau adresati numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi folositi pentru orice program, usurându-se calea de aparitie a cunoscutilor microvirusi care au infestat fisierele la acea vreme produsul Lotus AmiPro.
Primul dintre macrovirusi a fost cel folosit în Word si Word Basic. În luna iulie 1996 a apărut si primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel.
Ce este un virus de calculator?
Nu ne-am propus în aceste capitole să lămurim complet problema si să discutăm toate particularitătile referitoare la virusii calculatoarelor. Ne-am propus doar să abordăm acest subiect din punct de vedere al realitătii obiective, pornind de la faptul că acesti virusii există, sunt o realitate de multă vreme si fac mult rău. Ne-am propus, totodată, să întelegem mai bine ce reprezintă acesti virusi ai calculatoarelor, cum se răspândesc ei, ce amenintă si cum ne putem apăra împotriva lor. În fine, vom prezenta câteva exemple, dintre cele mai concludente, si vom descrie pagubele produse. În fine, vom discuta si despre metodele practice de a combate acest flagel.
Mai precizăm că aceste capitole nu au deloc pretentia de a epuiza subiectul. Ele se adresează acelor utilizatori care folosesc calculatorul aproape zilnic dar nu-l cunosc suficient de bine. Ca urmare, nu vom oferi nici un lucru nou pentru programatorii, inginerii de sistem sau administratorii de sisteme, baze de date sau aplicatii. Cu alte cuvinte, nu-i vom putea ajuta în mod deosebit pe adevăratii specialisti ai calculatoarelor, interesati de această problemă în cele mai mici detalii.
A fost cu adevărat o mare surpriză pentru omenire atunci când a descoperit, acum câteva decenii, si a trebuit să accepte ideea existentei unor virusi de altă natură decât cea biologică.
Un virus de calculator, sau virus informatic asa cum i se mai spune, nu este altceva decât un program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. Acest program are, de regulă, proprietatea că se autoreproduce, atasându-se altor programe si executând operatii nedorite si uneori de distrugere.
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii tin foarte mult ca produsul lor cu intentii agresive să nu fie observat cu usurintă.
Asa cum am mentionat deja, când un virus infectează un disc, de exemplu, el se autoreproduce, atasându-se la alte programe, inclusiv la programele vitale ale sistemului. Ca si în cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioadă de mai multe zile sau săptămâni, timp în care, orice disc introdus în sistem poate fi infectat cu o copie ascunsă a virusului.
Atunci când apar, efectele sunt diferite, variind de la mesaje glumete la erori în functionarea programelor de sistem sau stergeri catastrofice a tuturor informatiilor de pe un hard disk. De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
În general, cei care construiesc virusi sunt programatori autentici, cu experientă bogată si cu cunostinte avansate în limbajul de programare pe care îl folosesc. Elaborarea de virusi este uneori si o activitate de grup, în care sunt selectati, antrenati si plătiti cu sume uriase specialistii de înaltă clasă.
Virusul informatic este, asadar, un program rău intentionat, introdus în memoria calculatorului, care la un moment dat devine activ, atacând prin distrugere sau alterare fisiere sau autocopiindu-se în fisiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate la rândul său să infecteze alte programe.
Virusul este caracterizat de următoarele proprietăti:
- poate modifica fisiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod sau numai a unei părti speciale din codul său
- modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe
- are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o nouă modificare a acestuia.
Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori acelasi fisier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai infectez".
Controversata problemă a virusilor de calculatoare a născut ideea că orice virus poate fi combătut, adică depistat si anihilat. Cu toate acestea, există programatori care sustin că pot construi virusi ce nu pot fi detectati si distrusi. Este cazul unui grup de programatori polonezi care au anuntat pe Internet, în urmă cu câtiva ani, că pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, continea câteva idei interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap utilizatorilor de servicii Internet. Supărati de faptul că lumea a exagerat atât de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", acesti programatori intentionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare". După părerea lor, ar putea fi construiti virusi care pot distruge cu mult mai mult decât a făcut-o "I Love You", adică o pagubă la scară planetară estimată atunci la circa 6 miliarde de dolari SUA. În plus, autorii au expus metode noi de reproducere a virusilor, fără posibilităti prea mari de a putea fi depistati si anihilati.
Intentiile, făcute publice de acesti indivizi, păreau dintre cele mai diabolice. Din fericire, se pare că acest plan diabolic nu a fost până la urmă dus la capăt, amenintările acestor indivizi oprindu-se doar la faza de proiect. Totusi, aceste amenintări au putut avea măcar efectul unui adevărat semnal de alarmă. A fost avertizată întreaga omenire că pot exista si din acest punct de vedere amenintări dintre cele mai serioase care, desigur, nu ar trebui deloc neglijate.
Mai precizăm că aceste capitole nu au deloc pretentia de a epuiza subiectul. Ele se adresează acelor utilizatori care folosesc calculatorul aproape zilnic dar nu-l cunosc suficient de bine. Ca urmare, nu vom oferi nici un lucru nou pentru programatorii, inginerii de sistem sau administratorii de sisteme, baze de date sau aplicatii. Cu alte cuvinte, nu-i vom putea ajuta în mod deosebit pe adevăratii specialisti ai calculatoarelor, interesati de această problemă în cele mai mici detalii.
A fost cu adevărat o mare surpriză pentru omenire atunci când a descoperit, acum câteva decenii, si a trebuit să accepte ideea existentei unor virusi de altă natură decât cea biologică.
Un virus de calculator, sau virus informatic asa cum i se mai spune, nu este altceva decât un program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. Acest program are, de regulă, proprietatea că se autoreproduce, atasându-se altor programe si executând operatii nedorite si uneori de distrugere.
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii tin foarte mult ca produsul lor cu intentii agresive să nu fie observat cu usurintă.
Asa cum am mentionat deja, când un virus infectează un disc, de exemplu, el se autoreproduce, atasându-se la alte programe, inclusiv la programele vitale ale sistemului. Ca si în cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioadă de mai multe zile sau săptămâni, timp în care, orice disc introdus în sistem poate fi infectat cu o copie ascunsă a virusului.
Atunci când apar, efectele sunt diferite, variind de la mesaje glumete la erori în functionarea programelor de sistem sau stergeri catastrofice a tuturor informatiilor de pe un hard disk. De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
În general, cei care construiesc virusi sunt programatori autentici, cu experientă bogată si cu cunostinte avansate în limbajul de programare pe care îl folosesc. Elaborarea de virusi este uneori si o activitate de grup, în care sunt selectati, antrenati si plătiti cu sume uriase specialistii de înaltă clasă.
Virusul informatic este, asadar, un program rău intentionat, introdus în memoria calculatorului, care la un moment dat devine activ, atacând prin distrugere sau alterare fisiere sau autocopiindu-se în fisiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate la rândul său să infecteze alte programe.
Virusul este caracterizat de următoarele proprietăti:
- poate modifica fisiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod sau numai a unei părti speciale din codul său
- modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe
- are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o nouă modificare a acestuia.
Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori acelasi fisier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai infectez".
Controversata problemă a virusilor de calculatoare a născut ideea că orice virus poate fi combătut, adică depistat si anihilat. Cu toate acestea, există programatori care sustin că pot construi virusi ce nu pot fi detectati si distrusi. Este cazul unui grup de programatori polonezi care au anuntat pe Internet, în urmă cu câtiva ani, că pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, continea câteva idei interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap utilizatorilor de servicii Internet. Supărati de faptul că lumea a exagerat atât de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", acesti programatori intentionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare". După părerea lor, ar putea fi construiti virusi care pot distruge cu mult mai mult decât a făcut-o "I Love You", adică o pagubă la scară planetară estimată atunci la circa 6 miliarde de dolari SUA. În plus, autorii au expus metode noi de reproducere a virusilor, fără posibilităti prea mari de a putea fi depistati si anihilati.
Intentiile, făcute publice de acesti indivizi, păreau dintre cele mai diabolice. Din fericire, se pare că acest plan diabolic nu a fost până la urmă dus la capăt, amenintările acestor indivizi oprindu-se doar la faza de proiect. Totusi, aceste amenintări au putut avea măcar efectul unui adevărat semnal de alarmă. A fost avertizată întreaga omenire că pot exista si din acest punct de vedere amenintări dintre cele mai serioase care, desigur, nu ar trebui deloc neglijate.
Clasificarea virusilor
Virusii informatici nu afectează numai buna functionare a calculatoarelor. Printr-o proiectare corespunzătoare a părtii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de santaj si constrângere.
Virusii pot fi clasificati după diferite criterii: modul de actiune, tipul de amenintare, grade de distrugere, tipul de instalare, modul de declansare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi. Totusi, o enumerare a acestora este benefică, deoarece ea reflectă diversitatea caracteristicilor si tipurilor de virusi.
Iată o astfel de clasificare, oferind pentru câteva variante mai interesante si unele detalii (în această prezentare a fost preferată ordinea alfabetică, pentru a putea fi consultată ca pe un dictionar):
Bacteria - este programul care se înmulteste rapid si se localizează în sistemul gazdă, ocupând procesorul si memoria centrală a calculatorului, provocând paralizia completă a acestuia.
Bomba (Bomb) - este un mecanism, nu neapărat de tip viral, care poate provoca în mod intentionat distrugerea datelor. Este de fapt ceea ce face faima virusilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, până la adevărate catastrofe, cum ar fi stergerea tuturor fisierelor de pe hard disk.
Bomba cu ceas (Timer bomb) - este un virus de tip bombă, numit si bombă cu întârziere, programat special pentru a actiona la un anumit moment de timp. Este de fapt, o secventă de program introdusă în sistem, care intră în functiune numai conditionat de o anumită dată si oră. Această caracteristică foarte importantă face ca procesul de detectare să fie foarte dificil, sistemul putând să functioneze corect o bună perioadă de timp. Actiunea lui distructivă este deosebită, putând sterge fisiere, bloca sistemul, formata hard disk-ul si distruge toate fisierele sistem.
Bomba logică (Logic bomb) - este un virus de tip bombă, care provoacă stricăciuni atunci când este îndeplinită o anumită conditie, precum prezenta ori absenta unui nume de fisier pe disc. De fapt, reprezintă un program care poate avea acces în zone de memorie în care utilizatorul nu are acces, caracterizându-se prin efect distructiv puternic si necontrolat. O astfel de secventă de program introdusă în sistem, intră în functiune numai conditionat de realizarea unor conditii prealabile.
Calul troian (Trojan horse) - reprezintă programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a cărui executie produce efecte secundare nedorite, în general neanticipate de către utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparentă de functionare normală.
Calul troian este un program pe calculator care apare pentru a executa functii valide, dar contine ascunse în codul său instructiuni ce pot provoca daune sistemelor pe care se instalează si rulează, deseori foarte severe.
Un exemplu foarte cunoscut astăzi de un astfel de program este cel numit Aids Information Kit Trojan.
Pe un model de tip "cal troian" s-a bazat marea păcăleală care a stârnit multă vâlvă la sfârsitul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care păreau să contină informatii despre SIDA, au fost expediate de la o adresă bine cunoscută din Londra, către corporatii, firme de asigurări si profesionisti din domeniul sănătătii, din Europa si America de Nord. Destinatarii care au încărcat discurile pe calculatoarele lor, au avut surpriza să descopere destul de repede că acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reusit să steargă complet datele de pe hard disk-urile pe care au fost copiate.
Programele de tip "cal-troian" mai contin o caracteristică importantă. Spre deosebire de virusii obisnuiti de calculator, acestia nu se pot înmulti în mod automat. Acest fapt nu constituie însă o consolare semnificativă pentru cineva care tocmai a pierdut zile si luni de muncă pe un calculator.
Viermele (Worm) - este un program care, inserat într-o retea de calculatoare, devine activ într-o statie de lucru în care nu se rulează nici un program. El nu infectează alte fisiere, asa cum fac adevăratii virusi. Se multiplică însă în mai multe copii pe sistem si, mai ales, într-un sistem distribuit de calcul. În acest fel "mănâncă" din resursele sistemului (RAM, disc, CPU etc.).
Virus (Virus) - este un program care are functii de infectare, distructive si de incorporare a copiilor sale în interiorul altor programe. Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Notiunea mai generală se referă adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea că se autocopiază, astfel încât poate infecta părti din sistemul de operare si/sau programe executabile. Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără acordul utilizatorului. Asa cum sugerează si numele, analogia biologică este relativ bună pentru a descrie actiunea unui virus informatic în lumea reală.
Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea initială a procesului de încărcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (încărcare) atacă fie sectorul de încărcare principal, fie sectorul de încărcare DOS de pe disc. Toti virusii sectorului de încărcare modifică într-un anume fel continutul sectorului de boot. Modificările sectorului de boot nu trebuie să fie prea extinse: unii virusi mai noi din această categorie sunt capabili să infecteze discul fix, modificând doar zece octeti din acest sector.
Virus atasat (Appending virus) - este un virus care îsi atasează codul la codul existent al fisierului, nedistrugând codul original. Primul care se execută atunci când se lansează fisierul infectat este virusul. Apoi, acesta se multiplică, face sau nu ceva stricăciuni, după care redă controlul codului original si permite programului să se execute normal în continuare. Acesta este modul de actiune al unui "virus clasic".
Virus companion (Companion virus) - este un virus care infectează fisiere de tip .EXE prin crearea unui fisier COM având acelasi nume si continând codul viral. El speculează o anumită caracteristică a sistemului DOS prin care, dacă două programe, unul de tip .EXE si celălalt de tip .COM, au acelasi nume, atunci se execută mai întâi fisierul de tip .COM.
Virus criptografic (Crypto virus)- un virus care se infiltrează în memoria sistemului si permite folosirea absolut normală a intrărilor si transmiterilor de date, având proprietatea că, la o anumită dată, se autodistruge, distrugând în acelasi timp toate datele din sistem si făcându-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de către emitător aflat la distantă, prin transmiterea unei comenzi corespunzătoare.
Virus critic (Critical virus) - este un virus care pur si simplu se înscrie peste codul unui fisier executabil fără a încerca să păstreze codul original al fisierului infectat. În cele mai multe cazuri, fisierul infectat devine neutilizabil. Cei mai multi virusi de acest fel sunt virusi vechi, primitivi, existând însă si exceptii.
Virus cu infectie multiplă (multi-partite virus) - este un virus care infectează atât sectorul de boot, cât si fisierele executabile, având caracteristicile specifice atât ale virusilor sectorului de încărcare, cât si ale celor paraziti. Acest tip de virus se atasează la fisierele executabile, dar îsi plasează codul si în sistemul de operare, de obicei în MBR sau în sectoarele ascunse. Astfel, un virus cu infectie multiplă devine activ dacă un fisier infectat este executat sau dacă PC-ul este încărcat de pe un disc infectat.
Virus de atac binar - este un virus care operează în sistemul de "cal troian", continând doar câtiva biti pentru a se putea lega de sistem, restul fiind de regulă mascat ca un “program neexecutabil”
Virus de legătură (Link virus) - este un virus care modifică intrările din tabela de directoare pentru a conduce la corpul virusului. Ca si virusii atasati, virusii de legătură nu modifică continutul însusi al fisierelor executabile, însă alterează structura de directoare, legând primul pointer de cluster al intrării de directoare corespunzătoare fisierelor executabile la un singur cluster continând codul virusului. Odată ce s-a executat codul virusului, el încarcă fisierul executabil, citind corect valoarea cluster-ului de start care este stocată în altă parte.
Virus detasabil (File jumper virus) - este un virus care se dezlipeste el însusi de fisierul infectat exact înaintea deschiderii sau executiei acestuia si i se reatasează atunci când programul este închis sau se termină. Această tehnică este foarte eficientă împotriva multor programe de scanare si scheme de validare, deoarece programul de scanare va vedea un fisier "curat" si va considera că totul este în regulă. Aceasta este o tehnică de ascundere (stealth).
Virus invizibil (Stealth virus) - este un virus care îsi ascunde prezenta sa, atât fată de utilizatori, cât si fată de programele antivirus, de obicei, prin interceptarea serviciilor de întreruperi.
Virus morfic (Morphic virus) - un virus care îsi schimbă constant codul de programare si configurarea în scopul evitării unei structuri stabile care ar putea fi usor identificată si eliminată.
Virus nerezident (Runtime virus) - este opusul virusului rezident. Virusii nerezidenti în memorie nu rămân activi după ce programul infectat a fost executat. El operează după un mecanism simplu si infectează doar executabilele atunci când un program infectat se execută. Comportarea tipică a unui astfel de virus este de a căuta un fisier gazdă potrivit atunci când fisierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă.
Virus parazit (Parasitic virus) - este un virus informatic, care se atasează de alt program si se activează atunci când programul este executat. El poate să se ataseze fie la începutul programului, fie la sfârsitul său, ori poate chiar să suprascrie o parte din codul programului. Infectia se răspândeste, de obicei, atunci când fisierul infectat este executat. Clasa virusilor paraziti poate fi separată în două: virusii care devin rezidenti în memorie după executie si cei nerezidenti. Virusii rezidenti în memorie tind să infecteze alte fisiere, pe măsură ce acestea sunt accesate, deschise sau executate.
Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat, pentru a ocoli sistemele de protectie acolo unde se instalează. El este criptat si automodificabil. Un virus polimorfic adaugă aleator octeti de tip "garbage" (gunoi) la codul de decriptare si/sau foloseste metode de criptare/decriptare pentru a preveni existenta unor secvente constante de octeti. Rezultatul net este un virus care poate avea o înfătisare diferită în fiecare fisier infectat, făcând astfel mult mai dificilă detectarea lui cu un scaner.
Virus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât, chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fisier, să invoce o rutină "trigger" (de declansare a unei anumite actiuni) sau să monitorizeze activitatea sistemului. Aproape toti virusii care infectează MBR-ul sunt virusi rezidenti. În general, virusii rezidenti "agată" codul sistemului de operare.
Marea majoritate a virusilor actuali folosesc tehnici de ascundere. Există si un termen des folosit în acest domeniu; el se numeste stealth (ascundere) si desemnează tehnicile folosite de anumiti virusi care încearcă să scape de detectie. De exemplu, un lucru pe care-l pot face virusii rezidenti, este să intercepteze comenzile (functiile) DOS de tip DIR si să raporteze dimensiunile originale ale fisierelor, si nu cele modificate datorită atasării virusului. Tehnicile Spawning si File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate.
Virusii spioni - Pe lângă numerosii virusi, cunoscuti la această oră în lumea calculatoarelor, există o categorie aparte de astfel de "intrusi", care au un rol special: acela de a inspecta, în calculatoarele sau retelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la proprietar, la o anumită dată si în anumite conditii, un raport complet privind "corespondenta" pe Internet si alte "actiuni" efectuate de către cel spionat prin intermediul calculatorului.
Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de postă electronică si asteaptă cuminte până apar conditiile unui răspuns la aceeasi adresă. Cât timp se află în retea, acesta culege informatiile care îl interesează, le codifică într-un anumit mod, depunându-le într-o listă a sa si apoi le transmite la proprietar.
Un virus de acest gen poate pătrunde si se poate ascunde, de exemplu, într-un fisier tip "doc" primit printr-un e-mail. El îsi începe activitatea odată cu închiderea unui document activ, atunci când verifică dacă acesta a fost infectat cu o anumită parte din codul său special.
Unii virusi din această categorie îsi i-au măsuri ca să nu fie depistati si distrusi de programele de dezinfectare.
Într-o secventă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze diferite mesaje si actiuni, le adaugă la lista sa secretă si asteaptă conditiile ca să le transmită la destinatar, nimeni altul decât cel care l-a expediat.
În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca si cum în casa noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete si nesecrete si, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care asteaptă.
Din păcate, virusii spioni sunt de multe ori neglijati. Nici chiar programele de dezinfectare nu sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o actiune distructivă directă.
Totusi, pagubele pot fi uneori însemnate, nemaipunând la socoteală si faptul că nimeni pe lumea aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare. Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intrusi" există si pot pătrunde în viata noastră si pe această cale.
Bacteria - este programul care se înmulteste rapid si se localizează în sistemul gazdă, ocupând procesorul si memoria centrală a calculatorului, provocând paralizia completă a acestuia.
Bomba (Bomb) - este un mecanism, nu neapărat de tip viral, care poate provoca în mod intentionat distrugerea datelor. Este de fapt ceea ce face faima virusilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, până la adevărate catastrofe, cum ar fi stergerea tuturor fisierelor de pe hard disk.
Bomba cu ceas (Timer bomb) - este un virus de tip bombă, numit si bombă cu întârziere, programat special pentru a actiona la un anumit moment de timp. Este de fapt, o secventă de program introdusă în sistem, care intră în functiune numai conditionat de o anumită dată si oră. Această caracteristică foarte importantă face ca procesul de detectare să fie foarte dificil, sistemul putând să functioneze corect o bună perioadă de timp. Actiunea lui distructivă este deosebită, putând sterge fisiere, bloca sistemul, formata hard disk-ul si distruge toate fisierele sistem.
Bomba logică (Logic bomb) - este un virus de tip bombă, care provoacă stricăciuni atunci când este îndeplinită o anumită conditie, precum prezenta ori absenta unui nume de fisier pe disc. De fapt, reprezintă un program care poate avea acces în zone de memorie în care utilizatorul nu are acces, caracterizându-se prin efect distructiv puternic si necontrolat. O astfel de secventă de program introdusă în sistem, intră în functiune numai conditionat de realizarea unor conditii prealabile.
Calul troian (Trojan horse) - reprezintă programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a cărui executie produce efecte secundare nedorite, în general neanticipate de către utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparentă de functionare normală.
Calul troian este un program pe calculator care apare pentru a executa functii valide, dar contine ascunse în codul său instructiuni ce pot provoca daune sistemelor pe care se instalează si rulează, deseori foarte severe.
Un exemplu foarte cunoscut astăzi de un astfel de program este cel numit Aids Information Kit Trojan.
Pe un model de tip "cal troian" s-a bazat marea păcăleală care a stârnit multă vâlvă la sfârsitul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care păreau să contină informatii despre SIDA, au fost expediate de la o adresă bine cunoscută din Londra, către corporatii, firme de asigurări si profesionisti din domeniul sănătătii, din Europa si America de Nord. Destinatarii care au încărcat discurile pe calculatoarele lor, au avut surpriza să descopere destul de repede că acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reusit să steargă complet datele de pe hard disk-urile pe care au fost copiate.
Programele de tip "cal-troian" mai contin o caracteristică importantă. Spre deosebire de virusii obisnuiti de calculator, acestia nu se pot înmulti în mod automat. Acest fapt nu constituie însă o consolare semnificativă pentru cineva care tocmai a pierdut zile si luni de muncă pe un calculator.
Viermele (Worm) - este un program care, inserat într-o retea de calculatoare, devine activ într-o statie de lucru în care nu se rulează nici un program. El nu infectează alte fisiere, asa cum fac adevăratii virusi. Se multiplică însă în mai multe copii pe sistem si, mai ales, într-un sistem distribuit de calcul. În acest fel "mănâncă" din resursele sistemului (RAM, disc, CPU etc.).
Virus (Virus) - este un program care are functii de infectare, distructive si de incorporare a copiilor sale în interiorul altor programe. Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Notiunea mai generală se referă adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea că se autocopiază, astfel încât poate infecta părti din sistemul de operare si/sau programe executabile. Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără acordul utilizatorului. Asa cum sugerează si numele, analogia biologică este relativ bună pentru a descrie actiunea unui virus informatic în lumea reală.
Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea initială a procesului de încărcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (încărcare) atacă fie sectorul de încărcare principal, fie sectorul de încărcare DOS de pe disc. Toti virusii sectorului de încărcare modifică într-un anume fel continutul sectorului de boot. Modificările sectorului de boot nu trebuie să fie prea extinse: unii virusi mai noi din această categorie sunt capabili să infecteze discul fix, modificând doar zece octeti din acest sector.
Virus atasat (Appending virus) - este un virus care îsi atasează codul la codul existent al fisierului, nedistrugând codul original. Primul care se execută atunci când se lansează fisierul infectat este virusul. Apoi, acesta se multiplică, face sau nu ceva stricăciuni, după care redă controlul codului original si permite programului să se execute normal în continuare. Acesta este modul de actiune al unui "virus clasic".
Virus companion (Companion virus) - este un virus care infectează fisiere de tip .EXE prin crearea unui fisier COM având acelasi nume si continând codul viral. El speculează o anumită caracteristică a sistemului DOS prin care, dacă două programe, unul de tip .EXE si celălalt de tip .COM, au acelasi nume, atunci se execută mai întâi fisierul de tip .COM.
Virus criptografic (Crypto virus)- un virus care se infiltrează în memoria sistemului si permite folosirea absolut normală a intrărilor si transmiterilor de date, având proprietatea că, la o anumită dată, se autodistruge, distrugând în acelasi timp toate datele din sistem si făcându-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de către emitător aflat la distantă, prin transmiterea unei comenzi corespunzătoare.
Virus critic (Critical virus) - este un virus care pur si simplu se înscrie peste codul unui fisier executabil fără a încerca să păstreze codul original al fisierului infectat. În cele mai multe cazuri, fisierul infectat devine neutilizabil. Cei mai multi virusi de acest fel sunt virusi vechi, primitivi, existând însă si exceptii.
Virus cu infectie multiplă (multi-partite virus) - este un virus care infectează atât sectorul de boot, cât si fisierele executabile, având caracteristicile specifice atât ale virusilor sectorului de încărcare, cât si ale celor paraziti. Acest tip de virus se atasează la fisierele executabile, dar îsi plasează codul si în sistemul de operare, de obicei în MBR sau în sectoarele ascunse. Astfel, un virus cu infectie multiplă devine activ dacă un fisier infectat este executat sau dacă PC-ul este încărcat de pe un disc infectat.
Virus de atac binar - este un virus care operează în sistemul de "cal troian", continând doar câtiva biti pentru a se putea lega de sistem, restul fiind de regulă mascat ca un “program neexecutabil”
Virus de legătură (Link virus) - este un virus care modifică intrările din tabela de directoare pentru a conduce la corpul virusului. Ca si virusii atasati, virusii de legătură nu modifică continutul însusi al fisierelor executabile, însă alterează structura de directoare, legând primul pointer de cluster al intrării de directoare corespunzătoare fisierelor executabile la un singur cluster continând codul virusului. Odată ce s-a executat codul virusului, el încarcă fisierul executabil, citind corect valoarea cluster-ului de start care este stocată în altă parte.
Virus detasabil (File jumper virus) - este un virus care se dezlipeste el însusi de fisierul infectat exact înaintea deschiderii sau executiei acestuia si i se reatasează atunci când programul este închis sau se termină. Această tehnică este foarte eficientă împotriva multor programe de scanare si scheme de validare, deoarece programul de scanare va vedea un fisier "curat" si va considera că totul este în regulă. Aceasta este o tehnică de ascundere (stealth).
Virus invizibil (Stealth virus) - este un virus care îsi ascunde prezenta sa, atât fată de utilizatori, cât si fată de programele antivirus, de obicei, prin interceptarea serviciilor de întreruperi.
Virus morfic (Morphic virus) - un virus care îsi schimbă constant codul de programare si configurarea în scopul evitării unei structuri stabile care ar putea fi usor identificată si eliminată.
Virus nerezident (Runtime virus) - este opusul virusului rezident. Virusii nerezidenti în memorie nu rămân activi după ce programul infectat a fost executat. El operează după un mecanism simplu si infectează doar executabilele atunci când un program infectat se execută. Comportarea tipică a unui astfel de virus este de a căuta un fisier gazdă potrivit atunci când fisierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă.
Virus parazit (Parasitic virus) - este un virus informatic, care se atasează de alt program si se activează atunci când programul este executat. El poate să se ataseze fie la începutul programului, fie la sfârsitul său, ori poate chiar să suprascrie o parte din codul programului. Infectia se răspândeste, de obicei, atunci când fisierul infectat este executat. Clasa virusilor paraziti poate fi separată în două: virusii care devin rezidenti în memorie după executie si cei nerezidenti. Virusii rezidenti în memorie tind să infecteze alte fisiere, pe măsură ce acestea sunt accesate, deschise sau executate.
Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat, pentru a ocoli sistemele de protectie acolo unde se instalează. El este criptat si automodificabil. Un virus polimorfic adaugă aleator octeti de tip "garbage" (gunoi) la codul de decriptare si/sau foloseste metode de criptare/decriptare pentru a preveni existenta unor secvente constante de octeti. Rezultatul net este un virus care poate avea o înfătisare diferită în fiecare fisier infectat, făcând astfel mult mai dificilă detectarea lui cu un scaner.
Virus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât, chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fisier, să invoce o rutină "trigger" (de declansare a unei anumite actiuni) sau să monitorizeze activitatea sistemului. Aproape toti virusii care infectează MBR-ul sunt virusi rezidenti. În general, virusii rezidenti "agată" codul sistemului de operare.
Marea majoritate a virusilor actuali folosesc tehnici de ascundere. Există si un termen des folosit în acest domeniu; el se numeste stealth (ascundere) si desemnează tehnicile folosite de anumiti virusi care încearcă să scape de detectie. De exemplu, un lucru pe care-l pot face virusii rezidenti, este să intercepteze comenzile (functiile) DOS de tip DIR si să raporteze dimensiunile originale ale fisierelor, si nu cele modificate datorită atasării virusului. Tehnicile Spawning si File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate.
Virusii spioni - Pe lângă numerosii virusi, cunoscuti la această oră în lumea calculatoarelor, există o categorie aparte de astfel de "intrusi", care au un rol special: acela de a inspecta, în calculatoarele sau retelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la proprietar, la o anumită dată si în anumite conditii, un raport complet privind "corespondenta" pe Internet si alte "actiuni" efectuate de către cel spionat prin intermediul calculatorului.
Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de postă electronică si asteaptă cuminte până apar conditiile unui răspuns la aceeasi adresă. Cât timp se află în retea, acesta culege informatiile care îl interesează, le codifică într-un anumit mod, depunându-le într-o listă a sa si apoi le transmite la proprietar.
Un virus de acest gen poate pătrunde si se poate ascunde, de exemplu, într-un fisier tip "doc" primit printr-un e-mail. El îsi începe activitatea odată cu închiderea unui document activ, atunci când verifică dacă acesta a fost infectat cu o anumită parte din codul său special.
Unii virusi din această categorie îsi i-au măsuri ca să nu fie depistati si distrusi de programele de dezinfectare.
Într-o secventă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze diferite mesaje si actiuni, le adaugă la lista sa secretă si asteaptă conditiile ca să le transmită la destinatar, nimeni altul decât cel care l-a expediat.
În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca si cum în casa noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete si nesecrete si, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care asteaptă.
Din păcate, virusii spioni sunt de multe ori neglijati. Nici chiar programele de dezinfectare nu sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o actiune distructivă directă.
Totusi, pagubele pot fi uneori însemnate, nemaipunând la socoteală si faptul că nimeni pe lumea aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare. Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intrusi" există si pot pătrunde în viata noastră si pe această cale.
Un astfel de virus spion a fost descoperit de un student în primăvara anului 1999, în reteaua de calculatoare a dezvoltătorilor de software ai Directiei Informatică din CS Sidex SA. Desi la această oră este cunoscut si numele celui care a promovat virusul cu pricina, o firmă de software din Bucuresti, din motive lesne de înteles nu-i vom dezvălui numele aici. Scris în limbajul VBS, virusul nu a apucat să-si facă "datoria", aceea de a colecta informatii confidentiale si diferite tipuri de documente active, deoarece a fost depistat la timp si înlăturat. Prezentăm, totusi, pe scurt, descrierea acestuia si modul său de actiune:
- virusul a apărut în retea printr-un document de tip ".doc" atasat unui mesaj de postă electronică
- el s-a declansat odată cu închiderea documentului respectiv
- câteva linii speciale de cod ale virusului se autocopiau în anumite documente active si template-uri
- la închiderea documentului respectiv, verifica dacă a reusit infestarea, apoi actualiza un fisier propriu cu anumite informatii de genul: data si ora, numele taskului lansat, adresa etc.
- cu adresa captată, prin intermediul FTP expedia la destinatie lista cu informatiile culese, împreună cu documentul infestat
- transmiterea se făcea în ziua de 1 a fiecărei luni, în conditiile în care protectia de pe calculatorul gazdă era nulă.
- virusul a apărut în retea printr-un document de tip ".doc" atasat unui mesaj de postă electronică
- el s-a declansat odată cu închiderea documentului respectiv
- câteva linii speciale de cod ale virusului se autocopiau în anumite documente active si template-uri
- la închiderea documentului respectiv, verifica dacă a reusit infestarea, apoi actualiza un fisier propriu cu anumite informatii de genul: data si ora, numele taskului lansat, adresa etc.
- cu adresa captată, prin intermediul FTP expedia la destinatie lista cu informatiile culese, împreună cu documentul infestat
- transmiterea se făcea în ziua de 1 a fiecărei luni, în conditiile în care protectia de pe calculatorul gazdă era nulă.
Un program care actionează în acest mod este cunoscut în literatura de specialitate cu numele de spyware (spion).
O serie de virusi de e-mail, precum celebrul Melissa, încearcă să trimită documente confidentiale - personale sau ale companiei la care lucrati. Iar dacă celebrul cal troian numit "Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului PC oricui va solicita acest lucru.
Chiar si în conditiile în care sistemul este bine protejat împotriva atacurilor din exterior, este posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectati la Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web.
Unele programe spyware sunt instalate în mod automat atunci când vizitati un anumit site de Web ce face apel la ele. Altele sunt instalate împreună cu aplicatii de tip shareware sau freeware. Instalarea se produce uneori fără a fi constienti de ea sau chiar acceptabilă prin apăsarea butonului Yes fără citirea textului licentei de utilizare.
În presă au fost acuzate o serie de aplicatii spyware pentru inventarierea software-ului instalat pe sistemul utilizatorului, scanarea Registrului, căutarea de informatii confidentiale, toate acestea fiind trimise apoi către anumite site-uri de Web. Adevărul este că nici o astfel de acuzatie nu s-a dovedit întemeiată. Programele spyware nu sunt denumite astfel pentru că ele "fură" informatii private ci pentru modul secret în care actionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea utilizatorului.
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de receptionat mesaje publicitare, afisează aceste informatii în programele asociate si încearcă să ajusteze mesajul publicitar preferintelor si obiceiurilor utilizatorilor. Altele colectează informatii statistice pentru clientii lor. Toate aceste programe pretind că vă protejează informatiile private si la o analiză atentă se dovedeste că au dreptate. Informatiile nepersonale ce sunt adunate de aceste programe ar putea fi totusi folosite într-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.
Iată câteva exemple de acest gen. Unul dintre acestea se referă la programul Comet Cursors, care nu este altceva decât un control ActiveX realizat si oferit de firma Comet Systems (www.cometsystems.com). Acesta permite site-urilor de Web ce au licentiat acest control să ofere cursoare ciudate, animate si variat colorate. În functie de setările securitătii din browser-ul de Web, controlul ActiveX, semnat digital si certificat, se poate transfera si instala fără a vă cere permisiunea si fără cunostinta dvs. El contorizează numărul de vizitatori de pe site-urile de Web afiliate folosind tocmai aceste cursoare. Programul asociază fiecărui utilizator un număr de identificare unic, un ID, în asa fel încât să poată raporta numărul de vizitatori distincti. Nu se urmăreste o persoană reală, ci doar raportarea acestor vizitatori ca număr.
În acest mod, totusi, firma intră în posesia adresei dvs. de IP. Prin aceasta se poate face legătură cu persoana, prin linia închiriată. Astfel, se poate afla prin ce furnizor de Internet vă conectati la retea.
O dezinstalare a acestui program nu poate fi făcută cu multă usurintă. De aceea, uneori este nevoie de a apela chiar la firma în cauză pentru a solicita un program de dezinstalare.
Un alt exemplu este produsul TSAdBot, de la firma Conducent Technologies, fostă TimeSink. El este distribuit prin intermediul mai multor programe shareware si freeware, printre care si versiunea de Windows a utilitarului popular de comprimare PKZip. Rolul său este acela de a transfera de la site-ul său reclame si a le afisa în timpul rulării programului respectiv. Programul raportează sistemul de operare, adresa de IP a furnizorului de servicii Internet, Id-ul programului pe care îl folosim si numărul de reclame diferite ce au fost afisate. Poate, de asemenea, transmite când s-a făcut clic pe un banner publicitar precum si răspunsurile la un chestionar, dacă acesta a fost completat la instalarea produsului.
În timp ce rulati un program care înglobează si acest produs, acesta din urmă se foloseste de conexiunea Internet pentru a trimite informatii si a transfera mesajele publicitare. Doar un firewall personal, precum ZoneAlarm, vă poate avertiza de producerea acestui lucru.
Dezinstalarea unui astfel de program este si ea o operatie care poate da bătăi de cap utilizatorilor. Uneori este necesar să fie dezinstalate toate programele care îl folosesc pentru a fi siguri că acest produs dispare definitiv din calculatorul dvs.
În acelasi mod actionează si produsul Aureate DLL de la Radiate.com, instalat de pe sute de programe freeware si shareware si care, în timp ce afisează bannere publicitare atunci când programul rulează, transferă reclamele de la site-ul Radiate si raportează înapoi informatii despre ce reclame au fost vizionate si pe care s-a făcut clic si datele unui chestionar propriu care a fost completat la instalare sau care poate reapărea la un anumit timp de la instalarea initială. Dezinstalarea programului originar nu elimină si DLL-ul, care continuă să functioneze independent.
În plus fată de celelalte programe, Aureate DLL introduce si o bresă în securitatea sistemului gazdă, un lucru apreciat de specialisti ca fiind foarte periculos. Un hacker rău intentionat ar putea redirecta produsul să se conecteze la site-ul său. Astfel, acel server ar putea să preia controlul lui Aureate DLL si să-l determine să transfere fragmente periculoase de cod care apoi vor fi lansate în executie.
Linia de demarcatie dintre analizele demografice necesare marketingului si invadarea spatiului privat a fost stearsă cu mult înainte de inventarea spyware-ului. În momentul de fată, utilizatorul este bombardat de mesaje publicitare trimise prin postă electronică la anumite adrese. De fiecare dată când participati la un concurs, completati un chestionar sau dacă trimiteti un talon pentru vreo reducere, sunteti adăugati la baza de date a vânzătorului. Oamenii ce lucrează în marketing îsi doresc să afle cele mai mici aspecte ale vietii cumpărătorilor, în asa fel încât ei să fie "atinsi" de mesajele publicitare. Unii oameni par să nu fie deranjati de acest lucru, simtindu-se bine să primească scrisori si cataloage care se potrivesc propriilor interese si pasiuni. Dacă acest lucru nu vi se potriveste, atunci va trebui să stati în permanentă alertă.
Iată si câteva sfaturi privind securitatea acestor chestiuni:
- verificati setările de securitate ale browser-ului Web pentru a fi sigur că nici un control ActiveX nu poate fi instalat fără stirea dvs. În Internet Explorer 5, alegeti Options din meniul Tools si selectati tab-ul Security si setati optiunile complete pentru a elimina astfel de posibilitătii
- de fiecare dată când instalati un program sau un utilitar cititi cu atentie licenta însotitoare, chiar dacă vi se pare un lucru inutil. Dacă sunt mentionate sisteme integriste de livrare a reclamelor, folosirea în background a conexiunii Internet sau orice altceva ce duce la spyware, s-ar putea să vă gânditi la abandonarea instalării. Si dacă, chiar după ce v-ati luat aceste precautii, noul joc sau utilitar afisează bannere dinamice, o idee bună ar fi să vă documentati în amănunt cu privire la functionarea lui.
- puteti afla destul de multe informatii de pe site-ul de Web al producătorului programului spyware. Este bine să consultati aceste informatii înainte de a instala un produs de tip shareware sau freeware.
- apelati la pagina de Web ShieldsUp! de pe site-ul de Web Gibson Research care testează securitatea sistemului în acelasi mod în care un hacker ar încerca să vadă dacă există vreo cale de atac.
În fine, apelati site-ul OptOut (www.grc.com/optout.htm) de pe Internet, care oferă informatii si câteva instrumente pentru cei ce doresc să nu mai fie o sursă de informatii de marketing prin intermediul programelor spyware. Există informatii detaliate cu privire la toate programele spyware cunoscute, cu nume si adrese de Web ale furnizorilor, ce informatii sunt culese si ce programe le integrează. Un astfel de utilitar costă mai putin de 25 $ USA, pret în care intră o perioadă nedefinită de actualizări gratuite ale bazei de date cu noi programe spyware. El localizează toate programele spyware din sistem si oferă posibilitatea eliminării lor. El caută în sistem aplicatii spyware cunoscute, raportează existenta lor si execută eliminarea fisierelor în cauză. În anumite variante, programul este oferit si gratuit.
Un cunoscut specialist în acest domeniu, Neil J. Rubenking, este de părere că până acum nu există nici o dovadă că programele declarate spyware adună informatii confidentiale sau că fac o legătură între aceste informatii si persoane individuale. S-ar putea să considerati că cedarea unor anumite informatii non-personale este micul pret ce trebuie plătit pentru programele gratuite. Dar posibilitatea de a se abuza de aceste informatii există, asa că este important să stiti cu cine vă partajati conexiunea la Internet.
Alte exemple de virusi
O serie de virusi de e-mail, precum celebrul Melissa, încearcă să trimită documente confidentiale - personale sau ale companiei la care lucrati. Iar dacă celebrul cal troian numit "Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului PC oricui va solicita acest lucru.
Chiar si în conditiile în care sistemul este bine protejat împotriva atacurilor din exterior, este posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectati la Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web.
Unele programe spyware sunt instalate în mod automat atunci când vizitati un anumit site de Web ce face apel la ele. Altele sunt instalate împreună cu aplicatii de tip shareware sau freeware. Instalarea se produce uneori fără a fi constienti de ea sau chiar acceptabilă prin apăsarea butonului Yes fără citirea textului licentei de utilizare.
În presă au fost acuzate o serie de aplicatii spyware pentru inventarierea software-ului instalat pe sistemul utilizatorului, scanarea Registrului, căutarea de informatii confidentiale, toate acestea fiind trimise apoi către anumite site-uri de Web. Adevărul este că nici o astfel de acuzatie nu s-a dovedit întemeiată. Programele spyware nu sunt denumite astfel pentru că ele "fură" informatii private ci pentru modul secret în care actionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea utilizatorului.
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de receptionat mesaje publicitare, afisează aceste informatii în programele asociate si încearcă să ajusteze mesajul publicitar preferintelor si obiceiurilor utilizatorilor. Altele colectează informatii statistice pentru clientii lor. Toate aceste programe pretind că vă protejează informatiile private si la o analiză atentă se dovedeste că au dreptate. Informatiile nepersonale ce sunt adunate de aceste programe ar putea fi totusi folosite într-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.
Iată câteva exemple de acest gen. Unul dintre acestea se referă la programul Comet Cursors, care nu este altceva decât un control ActiveX realizat si oferit de firma Comet Systems (www.cometsystems.com). Acesta permite site-urilor de Web ce au licentiat acest control să ofere cursoare ciudate, animate si variat colorate. În functie de setările securitătii din browser-ul de Web, controlul ActiveX, semnat digital si certificat, se poate transfera si instala fără a vă cere permisiunea si fără cunostinta dvs. El contorizează numărul de vizitatori de pe site-urile de Web afiliate folosind tocmai aceste cursoare. Programul asociază fiecărui utilizator un număr de identificare unic, un ID, în asa fel încât să poată raporta numărul de vizitatori distincti. Nu se urmăreste o persoană reală, ci doar raportarea acestor vizitatori ca număr.
În acest mod, totusi, firma intră în posesia adresei dvs. de IP. Prin aceasta se poate face legătură cu persoana, prin linia închiriată. Astfel, se poate afla prin ce furnizor de Internet vă conectati la retea.
O dezinstalare a acestui program nu poate fi făcută cu multă usurintă. De aceea, uneori este nevoie de a apela chiar la firma în cauză pentru a solicita un program de dezinstalare.
Un alt exemplu este produsul TSAdBot, de la firma Conducent Technologies, fostă TimeSink. El este distribuit prin intermediul mai multor programe shareware si freeware, printre care si versiunea de Windows a utilitarului popular de comprimare PKZip. Rolul său este acela de a transfera de la site-ul său reclame si a le afisa în timpul rulării programului respectiv. Programul raportează sistemul de operare, adresa de IP a furnizorului de servicii Internet, Id-ul programului pe care îl folosim si numărul de reclame diferite ce au fost afisate. Poate, de asemenea, transmite când s-a făcut clic pe un banner publicitar precum si răspunsurile la un chestionar, dacă acesta a fost completat la instalarea produsului.
În timp ce rulati un program care înglobează si acest produs, acesta din urmă se foloseste de conexiunea Internet pentru a trimite informatii si a transfera mesajele publicitare. Doar un firewall personal, precum ZoneAlarm, vă poate avertiza de producerea acestui lucru.
Dezinstalarea unui astfel de program este si ea o operatie care poate da bătăi de cap utilizatorilor. Uneori este necesar să fie dezinstalate toate programele care îl folosesc pentru a fi siguri că acest produs dispare definitiv din calculatorul dvs.
În acelasi mod actionează si produsul Aureate DLL de la Radiate.com, instalat de pe sute de programe freeware si shareware si care, în timp ce afisează bannere publicitare atunci când programul rulează, transferă reclamele de la site-ul Radiate si raportează înapoi informatii despre ce reclame au fost vizionate si pe care s-a făcut clic si datele unui chestionar propriu care a fost completat la instalare sau care poate reapărea la un anumit timp de la instalarea initială. Dezinstalarea programului originar nu elimină si DLL-ul, care continuă să functioneze independent.
În plus fată de celelalte programe, Aureate DLL introduce si o bresă în securitatea sistemului gazdă, un lucru apreciat de specialisti ca fiind foarte periculos. Un hacker rău intentionat ar putea redirecta produsul să se conecteze la site-ul său. Astfel, acel server ar putea să preia controlul lui Aureate DLL si să-l determine să transfere fragmente periculoase de cod care apoi vor fi lansate în executie.
Linia de demarcatie dintre analizele demografice necesare marketingului si invadarea spatiului privat a fost stearsă cu mult înainte de inventarea spyware-ului. În momentul de fată, utilizatorul este bombardat de mesaje publicitare trimise prin postă electronică la anumite adrese. De fiecare dată când participati la un concurs, completati un chestionar sau dacă trimiteti un talon pentru vreo reducere, sunteti adăugati la baza de date a vânzătorului. Oamenii ce lucrează în marketing îsi doresc să afle cele mai mici aspecte ale vietii cumpărătorilor, în asa fel încât ei să fie "atinsi" de mesajele publicitare. Unii oameni par să nu fie deranjati de acest lucru, simtindu-se bine să primească scrisori si cataloage care se potrivesc propriilor interese si pasiuni. Dacă acest lucru nu vi se potriveste, atunci va trebui să stati în permanentă alertă.
Iată si câteva sfaturi privind securitatea acestor chestiuni:
- verificati setările de securitate ale browser-ului Web pentru a fi sigur că nici un control ActiveX nu poate fi instalat fără stirea dvs. În Internet Explorer 5, alegeti Options din meniul Tools si selectati tab-ul Security si setati optiunile complete pentru a elimina astfel de posibilitătii
- de fiecare dată când instalati un program sau un utilitar cititi cu atentie licenta însotitoare, chiar dacă vi se pare un lucru inutil. Dacă sunt mentionate sisteme integriste de livrare a reclamelor, folosirea în background a conexiunii Internet sau orice altceva ce duce la spyware, s-ar putea să vă gânditi la abandonarea instalării. Si dacă, chiar după ce v-ati luat aceste precautii, noul joc sau utilitar afisează bannere dinamice, o idee bună ar fi să vă documentati în amănunt cu privire la functionarea lui.
- puteti afla destul de multe informatii de pe site-ul de Web al producătorului programului spyware. Este bine să consultati aceste informatii înainte de a instala un produs de tip shareware sau freeware.
- apelati la pagina de Web ShieldsUp! de pe site-ul de Web Gibson Research care testează securitatea sistemului în acelasi mod în care un hacker ar încerca să vadă dacă există vreo cale de atac.
În fine, apelati site-ul OptOut (www.grc.com/optout.htm) de pe Internet, care oferă informatii si câteva instrumente pentru cei ce doresc să nu mai fie o sursă de informatii de marketing prin intermediul programelor spyware. Există informatii detaliate cu privire la toate programele spyware cunoscute, cu nume si adrese de Web ale furnizorilor, ce informatii sunt culese si ce programe le integrează. Un astfel de utilitar costă mai putin de 25 $ USA, pret în care intră o perioadă nedefinită de actualizări gratuite ale bazei de date cu noi programe spyware. El localizează toate programele spyware din sistem si oferă posibilitatea eliminării lor. El caută în sistem aplicatii spyware cunoscute, raportează existenta lor si execută eliminarea fisierelor în cauză. În anumite variante, programul este oferit si gratuit.
Un cunoscut specialist în acest domeniu, Neil J. Rubenking, este de părere că până acum nu există nici o dovadă că programele declarate spyware adună informatii confidentiale sau că fac o legătură între aceste informatii si persoane individuale. S-ar putea să considerati că cedarea unor anumite informatii non-personale este micul pret ce trebuie plătit pentru programele gratuite. Dar posibilitatea de a se abuza de aceste informatii există, asa că este important să stiti cu cine vă partajati conexiunea la Internet.
Alte exemple de virusi
Prezentăm mai jos pe scurt câtiva dintre cei mai cunoscuti virusi, mai vechi si mai noi:
Brain - a apărut pentru prima dată la Universitatea din Maryland, fiind creat de doi frati din Lahore, Pakistan. După trei luni de la aparitie s-au numărat peste 100.000 de copii răspândite în întreaga lume. Într-una din variantele sale virusul înlocuieste numele volumului de dischetă cu numele său.
Cascade - produs în Germania.
Charlie - creat în anul 1987 de Frany Swoboda, virus care făcea ca un program să se autocopieze de opt ori.
Cyber-Tech-B - a fost programat să actioneze numai pe data de 13.12.1993.
Dark Avenger - fabricat în Bulgaria în anul 1990, care continea două noi idei: a) infestarea programelor foarte rapid, b) producerea pagubelor să se facă foarte subtil, pentru a nu putea fi detectat o perioadă de timp.
Data Crime - introduce o semnătură de 1168 octeti.
Form - se instalează în sectorul de boot al discului infectat si cauzează generarea unui sunet, de fiecare dată când se apasă o tastă. Virusul se declansează numai pe data de 18 a fiecărei luni. Odată cu sunetul se afisează pe ecran si un mesaj obscen la adresa unei persoane numite Corrinne, ca si când ar fi vorba de o răzbunare de natură erotică a unui bun informatician.
Golden Gate - devine agresiv doar după ce a infectat nu mai putin de 500 de programe.
I Love You - a apărut pe Internet prin intermediul unui mesaj de e-mail, transmis prin Outlook sau MIRC, care continea un fisier atasat cu titlul tentant: "LOVE-LETTER-FOR-YOU.txt.vbs". Dând impresia că este un mesaj inofensiv (fisier cu extensia .TXT), la un dublu-clic sistemul îl execută, deoarece, în realitate, el este un fisier de tip VBScript. Virusul actionează prin distrugerea registrelor sistemului, rescrierea fisierelor cu extensia .DLL, .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP3, .MP2 si scripturile MIRC (cel mai popular program dedicat Chat-urilor pe Internet).
Multi s-au lăsat păcăliti, astfel că mass-media a anuntat o pagubă la scară mondială de peste 6 miliarde dolari SUA. În Bucuresti, un grup de studenti a reusit în timp util să capteze virusul si să-i anihileze efectele.
Jerusalem - virusul are o origine care la vremea când a fost lansat a fost socotit ca fiind un atac terorist, datorită actiunii distructive ce programa distrugerea de proportii a datelor la data împlinirii a 40 de ani de la desfiintarea statului palestinian si faptului că a fost văzut pentru prima dată la Universitatea Evreiască din Ierusalim. Virusul se reproduce în interiorul executabilelor binare ale sistemului de operare DOS, fără a verifica noile infestări. O altă variantă a acestui virus, denumită "Jerusalem B", este mult mai îmbunătătită si timp de câtiva ani a reprezentat cel mai mare pericol în retelele de tip Novell. O altă variantă a acestui virus se activează în fiecare zi de vineri pe 13 si sterge fisierul în loc să îl infesteze.
KeyPress - afisează pe ecran sirul "AAAAA" atunci când se apasă o tastă.
Lehigh - infectează fisierul de comenzi MS-DOS numit COMMAND.COM si se multiplică dintr-odată în patru copii. A apărut în toamna anului 1987, creat probabil de un student de la Universitatea Lehigh.
Maltese Amoebae - de asemenea, virus de tip polimorf.
Michelangelo - apărut în 1992, a făcut prăpăd în multe din calculatoare, cu toate că presa a reusit să informeze foarte repede despre aparitia acestui virus. Se declansează în fiecare zi de 6 martie.
Natas - citit invers înseamnă Satan. A apărut în Statele Unite si în America Latină. Virusul poate infecta sectorul de boot, tabela de partitii, precum si toate fisierele care au extensiile .COM sau .EXE si care au fost executate cel putin odată.
OneHalf - produs în Cehoslovacia.
Pathgen - produs în Anglia.
Stone - apărut în Noua Zeelandă, făcea să apară pe monitor mesajul "PC-ul tău este de piatră".
Suriv 01, 02, 03 - citit invers, înseamnă Virus.
Tequila - virus de tip polimorf, apărut în Elvetia.
Tip.2475 - este o ruletă rusească foarte periculoasă. A apărut în Rusia si s-a răspândit imediat si în tara noastră. Corupe memoria flash si suprascrie discul hard în Windows 9x.
VBS BubbleBoy - virus de tip "vierme", infectează corpul unui mesaj e-mail. Originar din Argentina, are o mărime de 4992 octeti si este scris în VBScript. El functionează pe platforme Windows cu Internet Explorer 5.0 si Outlook 98/2000 sau Outlook Express.
Vendredi 13 - măreste dimensiunea programelor infectate cu 512 octeti.
Vienna - introduce o semnătură de 648 octeti.
Yale - creat în SUA.
Brain - a apărut pentru prima dată la Universitatea din Maryland, fiind creat de doi frati din Lahore, Pakistan. După trei luni de la aparitie s-au numărat peste 100.000 de copii răspândite în întreaga lume. Într-una din variantele sale virusul înlocuieste numele volumului de dischetă cu numele său.
Cascade - produs în Germania.
Charlie - creat în anul 1987 de Frany Swoboda, virus care făcea ca un program să se autocopieze de opt ori.
Cyber-Tech-B - a fost programat să actioneze numai pe data de 13.12.1993.
Dark Avenger - fabricat în Bulgaria în anul 1990, care continea două noi idei: a) infestarea programelor foarte rapid, b) producerea pagubelor să se facă foarte subtil, pentru a nu putea fi detectat o perioadă de timp.
Data Crime - introduce o semnătură de 1168 octeti.
Form - se instalează în sectorul de boot al discului infectat si cauzează generarea unui sunet, de fiecare dată când se apasă o tastă. Virusul se declansează numai pe data de 18 a fiecărei luni. Odată cu sunetul se afisează pe ecran si un mesaj obscen la adresa unei persoane numite Corrinne, ca si când ar fi vorba de o răzbunare de natură erotică a unui bun informatician.
Golden Gate - devine agresiv doar după ce a infectat nu mai putin de 500 de programe.
I Love You - a apărut pe Internet prin intermediul unui mesaj de e-mail, transmis prin Outlook sau MIRC, care continea un fisier atasat cu titlul tentant: "LOVE-LETTER-FOR-YOU.txt.vbs". Dând impresia că este un mesaj inofensiv (fisier cu extensia .TXT), la un dublu-clic sistemul îl execută, deoarece, în realitate, el este un fisier de tip VBScript. Virusul actionează prin distrugerea registrelor sistemului, rescrierea fisierelor cu extensia .DLL, .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP3, .MP2 si scripturile MIRC (cel mai popular program dedicat Chat-urilor pe Internet).
Multi s-au lăsat păcăliti, astfel că mass-media a anuntat o pagubă la scară mondială de peste 6 miliarde dolari SUA. În Bucuresti, un grup de studenti a reusit în timp util să capteze virusul si să-i anihileze efectele.
Jerusalem - virusul are o origine care la vremea când a fost lansat a fost socotit ca fiind un atac terorist, datorită actiunii distructive ce programa distrugerea de proportii a datelor la data împlinirii a 40 de ani de la desfiintarea statului palestinian si faptului că a fost văzut pentru prima dată la Universitatea Evreiască din Ierusalim. Virusul se reproduce în interiorul executabilelor binare ale sistemului de operare DOS, fără a verifica noile infestări. O altă variantă a acestui virus, denumită "Jerusalem B", este mult mai îmbunătătită si timp de câtiva ani a reprezentat cel mai mare pericol în retelele de tip Novell. O altă variantă a acestui virus se activează în fiecare zi de vineri pe 13 si sterge fisierul în loc să îl infesteze.
KeyPress - afisează pe ecran sirul "AAAAA" atunci când se apasă o tastă.
Lehigh - infectează fisierul de comenzi MS-DOS numit COMMAND.COM si se multiplică dintr-odată în patru copii. A apărut în toamna anului 1987, creat probabil de un student de la Universitatea Lehigh.
Maltese Amoebae - de asemenea, virus de tip polimorf.
Michelangelo - apărut în 1992, a făcut prăpăd în multe din calculatoare, cu toate că presa a reusit să informeze foarte repede despre aparitia acestui virus. Se declansează în fiecare zi de 6 martie.
Natas - citit invers înseamnă Satan. A apărut în Statele Unite si în America Latină. Virusul poate infecta sectorul de boot, tabela de partitii, precum si toate fisierele care au extensiile .COM sau .EXE si care au fost executate cel putin odată.
OneHalf - produs în Cehoslovacia.
Pathgen - produs în Anglia.
Stone - apărut în Noua Zeelandă, făcea să apară pe monitor mesajul "PC-ul tău este de piatră".
Suriv 01, 02, 03 - citit invers, înseamnă Virus.
Tequila - virus de tip polimorf, apărut în Elvetia.
Tip.2475 - este o ruletă rusească foarte periculoasă. A apărut în Rusia si s-a răspândit imediat si în tara noastră. Corupe memoria flash si suprascrie discul hard în Windows 9x.
VBS BubbleBoy - virus de tip "vierme", infectează corpul unui mesaj e-mail. Originar din Argentina, are o mărime de 4992 octeti si este scris în VBScript. El functionează pe platforme Windows cu Internet Explorer 5.0 si Outlook 98/2000 sau Outlook Express.
Vendredi 13 - măreste dimensiunea programelor infectate cu 512 octeti.
Vienna - introduce o semnătură de 648 octeti.
Yale - creat în SUA.
Primul dintre macrovirusi este cunoscut ca fiind cel folosit în Word si Word Basic. În iulie 1996 a apărut microvirusul ZM.Laroux care avea menirea de a da peste cap Microsoft Excel.
Cum ne apărăm împotriva virusilor
Cum ne apărăm împotriva virusilor
Pornind de la conceptul bine experimentat că este mai putin costisitor să previi decât să tratezi, este necesar să se acorde o atentie deosebită problemei virusilor. Într-o formă simplistă, lupta împotriva virusilor s-ar putea rezuma la o singură frază: trebuie îmbunătătite programele si curătate dischetele înaintea introducerii lor în unitatea centrală.
Există astăzi mai multe organizatii internationale care se ocupă cu problemele virusilor pe calculator. Una dintre acestea se numeste CARO - Computer Anti-virus Researcher Organisation, si este o organizatie constituită din cei mai reputati experti din lume care se ocupă cu standardizarea si clasificarea virusilor.
Încă din anul 1990 a fost înfiintată o institutie specializată în acest domeniu, numită EICAR - Institutul European pentru Cercetarea Programelor Anti-Virus. Această organizatie s-a bucurat de un real succes, mai ales în întâlnirile cu vânzătorii de programe.
În decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software, astăzi foarte la modă. Tot în acelasi an, dar în luna aprilie, firma Central Point Anti-Virus a lansat produsul CPAV.
Există mai multe publicatii internationale pe această temă, iar Internet-ul abundă de materiale si informatii. Cea mai importantă revistă internatională dedicată raportării si analizei virusilor se numeste Virus Bulletin. De la lansarea sa în iulie 1989, revista a monitorizat noile dezvoltări din domeniul programării virusilor si a evaluat cele mai actualizate instrumente si tehnici pentru combaterea amenintării reprezentate de virusi.
În lupta împotriva virusilor este necesar să se cunoască cele mai importante si eficiente mijloace, metode si tehnici care pot fi utilizate în acest scop. Pentru aceasta, este nevoie să ne familiarizăm cu câteva notiuni si concepte specifice.
Suma de control (Checksum) este o valoare numerică obtinută din octetii individuali ai unui fisier. Împreună cu data creării, mărimea si atributele DOS ale fisierului, suma de control este memorată în fisiere de tip listă de control. De obicei, are lungimea de 32 sau 64 biti.
Un alt termen des utilizat este CRC. Acronimul lui "Cycled Redundancy Check", în traducere - "Control Redundant Ciclic", el reprezintă o metodă matematică folosită pentru verificarea integritătii datelor. Este o formă de sumă de control, care se bazează pe teoria polinoamelor de lungime maximă. Desi este mai sigură decât cea bazată pe o simplă sumă de control, metoda CRC nu oferă totusi o adevărată securitate criptografică.
O secventă de octeti sau, mai general, o combinatie de secvente variabile, prin care programele antivirus încearcă să identifice virusii se numeste semnătura unui virus (virus signature).
Operatia prin care se elimină un virus dintr-un fisier sau dintr-un sistem se numeste dezinfectie (clean). Desigur, contaminarea unui calculator cu un virus informatic se numeste infectie (infection).
Tehnica prin care se adaugă unui program executabil o portiune de cod, pentru a se asigura autoverificarea sa, în asa fel încât suma sa de control să fie verificată înainte ca programul propriu-zis să se execute, se numeste imunizare (immunization). Orice modificare făcută programului poate fi deci verificată si executia refuzată. Această tehnică poate provoca multe probleme deoarece ea interfera adesea cu programul pe care încearcă sa-l protejeze.
Atunci când se generează o amprentă (o informatie de control) pentru un fisier spunem că s-a efectuat o inoculare (inoculate). Este suficient apoi să se compare această amprentă cu alta calculată ulterior pentru a detecta alterarea eventuală a fisierului de către un virus.
Un program antivirus care caută fisiere infectate, analizând secvente identificabile ca apartinând unor virusi cunoscuti (asa numitele "semnături" de virus) se numeste program de scanare (scanner). Programele de scanare au diverse limitări, printre care, cea mai importantă este faptul că ele nu pot căuta decât virusi deja identificati sau cunoscuti.
Un software antivirus (anti-virus software) reprezintă un produs program utilizat pentru a identifica si deseori pentru a furniza mijloacele necesare eliminării virusilor de pe sistemele infectate. Acest proces este denumit frecvent "curătare" sau "dezinfectare".
Un software de dezinfectie (desinfection software) nu este altceva decât un program care încearcă să îndepărteze virusii de pe discurile infectate, astfel încât să restaureze elementele infectate la starea lor anterioară. Dat fiind faptul că adesea virusii sunt polimorfi (schimbati de o manieră subtilă), software-ul de dezinfectare poate să facă greseli cu consecinte potential catastrofale pentru integritatea datelor. Detectia virusilor sectorului de încărcare este cu mult mai fezabilă decât cea a fisierelor executabile, iar utilizarea programelor de sistem (DEL, SYS, FDISK si FORMAT) reprezintă adesea o solutie preferabilă.
Vaccinul este un program pe calculator realizat pentru a oferi o protectie împotriva virusilor de calculator. Adăugând un cod scurt la fisiere, de declansează o alarmă atunci când un virus încearcă să modifice fisierul. Vaccinurile mai sunt numite si programe de imunizare.
Autorii răuvoitori de virusi ai calculatoarelor stiu de existenta programelor de vaccinare si antivirus si unii dintre ei se ocupă cu crearea de noi virusi care să le contracareze. Dacă folositi calculatorul pentru afaceri sau aplicatii profesionale vitale, protejati datele introducând în calculator numai copii noi, care nu au fost deschise, de programe obtinute direct de la producători.
Din activitatea programelor anti-virus pot rezulta si alarme false. O monitorizare a procesului de dezinfectare este deseori foarte utilă.
O metodă de detectare a fisierelor virusate constă în compararea periodică a fisierului cu cel original, din dată, oră si dimensiune. Aceste teste nu prezintă totală încredere deoarece atât data si ora, cât si dimensiunea fisierelor pot fi manipulate convenabil, fără a ne putea da seama dacă s-a umblat în fisierul original si dacă acesta a fost alterat.
Există si alte elemente care pot fi verificate, cum ar fi sumele de control (check sum), mai de încredere, dar nu totală, prin care datele dintr-un fisier sunt însumate si trecute printr-un algoritm specific, rezultând un fel de semnătură pentru acel fisier. Sumele de control functionează pentru verificarea integritătii unui fisier în cazul transferului dintr-un punct în altul. Pentru protectie, lista sumelor de control este necesar a fi păstrată pe un server separat, chiar pe un mediu separat accesibil doar de root si de utilizatorii de încredere. Totusi această tehnică este insuficientă când sunt atacuri sofisticate împotriva integritătii fisierelor, existând pericolul ca la destinatie să ajungă un fisier necorespunzător.
Pe Internet se găsesc însă suficiente materiale referitoare la modul în care pot fi învinse sistemele care folosesc sume de control, multe dintre ele chiar prin actiunea virusilor. Multe dintre utilitarele antivirus folosesc o analiză a cifrei de control pentru a identifica activităti de virusare.
Există tehnici satisfăcătoare bazate pe calcularea unei amprente digitale (digital fingerprint) sau semnătură pentru fisiere. Algoritmii care realizează acest lucru fac parte din familia MD, cea mai cunoscută implementare fiind MD5. Aceasta este o functie neinversabilă (one-way) care generează semnătura digitală pentru un fisier prin intermediul unui algoritm de condensare a mesajului (message digest). Algoritmul preia la intrare un mesaj de o lungime arbitrară si produce un rezultat pe 128 biti denumit amprentă (fingerprint) sau rezumat (message digest). Algoritmul se bazează pe un concept conform căruia este imposibil prin prelucrare să se producă două mesaje cu acelasi rezumat sau să se reconstituie un mesaj pornind de la un anumit rezumat. Algoritmul MD5 este proiectat pentru aplicatii bazate pe semnături digitale, în care un fisier de dimensiuni mari trebuie comprimat într-un mod sigur înainte de a fi criptat cu o cheie privată (secretă).
Un produs care utilizează algoritmul MD5 este S/Key dezvoltat de Bell Laboratories pentru implementarea unei scheme de parole unic valabile (one-time), care sunt aproape imposibil de spart, desi parolele sunt transmise în clar, dar datorită faptului că parola fiind de unică valabilitate, nu mai este de nici un folos pentru un eventual intrus.
O tehnică foarte interesantă aplicată în combaterea virusilor se bazează pe utilizarea programelor automodificabile (self-modifying program). Acestea sunt programe care îsi schimbă deliberat propriul lor cod, cu scopul de a se proteja împotriva virusilor sau copierilor ilegale. În acest mod devine foarte dificilă validarea prin mijloace conventionale.
Cine ne apără ?
Există astăzi mai multe organizatii internationale care se ocupă cu problemele virusilor pe calculator. Una dintre acestea se numeste CARO - Computer Anti-virus Researcher Organisation, si este o organizatie constituită din cei mai reputati experti din lume care se ocupă cu standardizarea si clasificarea virusilor.
Încă din anul 1990 a fost înfiintată o institutie specializată în acest domeniu, numită EICAR - Institutul European pentru Cercetarea Programelor Anti-Virus. Această organizatie s-a bucurat de un real succes, mai ales în întâlnirile cu vânzătorii de programe.
În decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software, astăzi foarte la modă. Tot în acelasi an, dar în luna aprilie, firma Central Point Anti-Virus a lansat produsul CPAV.
Există mai multe publicatii internationale pe această temă, iar Internet-ul abundă de materiale si informatii. Cea mai importantă revistă internatională dedicată raportării si analizei virusilor se numeste Virus Bulletin. De la lansarea sa în iulie 1989, revista a monitorizat noile dezvoltări din domeniul programării virusilor si a evaluat cele mai actualizate instrumente si tehnici pentru combaterea amenintării reprezentate de virusi.
În lupta împotriva virusilor este necesar să se cunoască cele mai importante si eficiente mijloace, metode si tehnici care pot fi utilizate în acest scop. Pentru aceasta, este nevoie să ne familiarizăm cu câteva notiuni si concepte specifice.
Suma de control (Checksum) este o valoare numerică obtinută din octetii individuali ai unui fisier. Împreună cu data creării, mărimea si atributele DOS ale fisierului, suma de control este memorată în fisiere de tip listă de control. De obicei, are lungimea de 32 sau 64 biti.
Un alt termen des utilizat este CRC. Acronimul lui "Cycled Redundancy Check", în traducere - "Control Redundant Ciclic", el reprezintă o metodă matematică folosită pentru verificarea integritătii datelor. Este o formă de sumă de control, care se bazează pe teoria polinoamelor de lungime maximă. Desi este mai sigură decât cea bazată pe o simplă sumă de control, metoda CRC nu oferă totusi o adevărată securitate criptografică.
O secventă de octeti sau, mai general, o combinatie de secvente variabile, prin care programele antivirus încearcă să identifice virusii se numeste semnătura unui virus (virus signature).
Operatia prin care se elimină un virus dintr-un fisier sau dintr-un sistem se numeste dezinfectie (clean). Desigur, contaminarea unui calculator cu un virus informatic se numeste infectie (infection).
Tehnica prin care se adaugă unui program executabil o portiune de cod, pentru a se asigura autoverificarea sa, în asa fel încât suma sa de control să fie verificată înainte ca programul propriu-zis să se execute, se numeste imunizare (immunization). Orice modificare făcută programului poate fi deci verificată si executia refuzată. Această tehnică poate provoca multe probleme deoarece ea interfera adesea cu programul pe care încearcă sa-l protejeze.
Atunci când se generează o amprentă (o informatie de control) pentru un fisier spunem că s-a efectuat o inoculare (inoculate). Este suficient apoi să se compare această amprentă cu alta calculată ulterior pentru a detecta alterarea eventuală a fisierului de către un virus.
Un program antivirus care caută fisiere infectate, analizând secvente identificabile ca apartinând unor virusi cunoscuti (asa numitele "semnături" de virus) se numeste program de scanare (scanner). Programele de scanare au diverse limitări, printre care, cea mai importantă este faptul că ele nu pot căuta decât virusi deja identificati sau cunoscuti.
Un software antivirus (anti-virus software) reprezintă un produs program utilizat pentru a identifica si deseori pentru a furniza mijloacele necesare eliminării virusilor de pe sistemele infectate. Acest proces este denumit frecvent "curătare" sau "dezinfectare".
Un software de dezinfectie (desinfection software) nu este altceva decât un program care încearcă să îndepărteze virusii de pe discurile infectate, astfel încât să restaureze elementele infectate la starea lor anterioară. Dat fiind faptul că adesea virusii sunt polimorfi (schimbati de o manieră subtilă), software-ul de dezinfectare poate să facă greseli cu consecinte potential catastrofale pentru integritatea datelor. Detectia virusilor sectorului de încărcare este cu mult mai fezabilă decât cea a fisierelor executabile, iar utilizarea programelor de sistem (DEL, SYS, FDISK si FORMAT) reprezintă adesea o solutie preferabilă.
Vaccinul este un program pe calculator realizat pentru a oferi o protectie împotriva virusilor de calculator. Adăugând un cod scurt la fisiere, de declansează o alarmă atunci când un virus încearcă să modifice fisierul. Vaccinurile mai sunt numite si programe de imunizare.
Autorii răuvoitori de virusi ai calculatoarelor stiu de existenta programelor de vaccinare si antivirus si unii dintre ei se ocupă cu crearea de noi virusi care să le contracareze. Dacă folositi calculatorul pentru afaceri sau aplicatii profesionale vitale, protejati datele introducând în calculator numai copii noi, care nu au fost deschise, de programe obtinute direct de la producători.
Din activitatea programelor anti-virus pot rezulta si alarme false. O monitorizare a procesului de dezinfectare este deseori foarte utilă.
O metodă de detectare a fisierelor virusate constă în compararea periodică a fisierului cu cel original, din dată, oră si dimensiune. Aceste teste nu prezintă totală încredere deoarece atât data si ora, cât si dimensiunea fisierelor pot fi manipulate convenabil, fără a ne putea da seama dacă s-a umblat în fisierul original si dacă acesta a fost alterat.
Există si alte elemente care pot fi verificate, cum ar fi sumele de control (check sum), mai de încredere, dar nu totală, prin care datele dintr-un fisier sunt însumate si trecute printr-un algoritm specific, rezultând un fel de semnătură pentru acel fisier. Sumele de control functionează pentru verificarea integritătii unui fisier în cazul transferului dintr-un punct în altul. Pentru protectie, lista sumelor de control este necesar a fi păstrată pe un server separat, chiar pe un mediu separat accesibil doar de root si de utilizatorii de încredere. Totusi această tehnică este insuficientă când sunt atacuri sofisticate împotriva integritătii fisierelor, existând pericolul ca la destinatie să ajungă un fisier necorespunzător.
Pe Internet se găsesc însă suficiente materiale referitoare la modul în care pot fi învinse sistemele care folosesc sume de control, multe dintre ele chiar prin actiunea virusilor. Multe dintre utilitarele antivirus folosesc o analiză a cifrei de control pentru a identifica activităti de virusare.
Există tehnici satisfăcătoare bazate pe calcularea unei amprente digitale (digital fingerprint) sau semnătură pentru fisiere. Algoritmii care realizează acest lucru fac parte din familia MD, cea mai cunoscută implementare fiind MD5. Aceasta este o functie neinversabilă (one-way) care generează semnătura digitală pentru un fisier prin intermediul unui algoritm de condensare a mesajului (message digest). Algoritmul preia la intrare un mesaj de o lungime arbitrară si produce un rezultat pe 128 biti denumit amprentă (fingerprint) sau rezumat (message digest). Algoritmul se bazează pe un concept conform căruia este imposibil prin prelucrare să se producă două mesaje cu acelasi rezumat sau să se reconstituie un mesaj pornind de la un anumit rezumat. Algoritmul MD5 este proiectat pentru aplicatii bazate pe semnături digitale, în care un fisier de dimensiuni mari trebuie comprimat într-un mod sigur înainte de a fi criptat cu o cheie privată (secretă).
Un produs care utilizează algoritmul MD5 este S/Key dezvoltat de Bell Laboratories pentru implementarea unei scheme de parole unic valabile (one-time), care sunt aproape imposibil de spart, desi parolele sunt transmise în clar, dar datorită faptului că parola fiind de unică valabilitate, nu mai este de nici un folos pentru un eventual intrus.
O tehnică foarte interesantă aplicată în combaterea virusilor se bazează pe utilizarea programelor automodificabile (self-modifying program). Acestea sunt programe care îsi schimbă deliberat propriul lor cod, cu scopul de a se proteja împotriva virusilor sau copierilor ilegale. În acest mod devine foarte dificilă validarea prin mijloace conventionale.
Cine ne apără ?
În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă proteja sistemul împotriva virusilor calculatoarelor :
- nu încercati programe executabile de pe sistemele de buletine informative dacă nu sunteti sigur că ele sunt fără virusi (eventual ati văzut pe altcineva folosind programul fără probleme).
- nu preluati programe executabile vândute prin postă si care tin de domeniul public sau în regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încărcati niciodată un program transmis de curând pe un sistem de buletine informative, până când el nu a fost verificat de operatorul de sistem. Când încărcati programul, faceti-o pe un sistem cu două unităti de dischetă, astfel încât el să nu se apropie de hard disk.
- nu copiati dischete pirat ale programelor comercializate, deoarece ele pot contine virusi.
- cumpărati si folositi programe recunoscute de detectare a virusilor
- instalati un program de detectare a virusilor, rezident în memorie, care să examineze fisierele pe care le copiati în calculator.
- nu încercati programe executabile de pe sistemele de buletine informative dacă nu sunteti sigur că ele sunt fără virusi (eventual ati văzut pe altcineva folosind programul fără probleme).
- nu preluati programe executabile vândute prin postă si care tin de domeniul public sau în regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încărcati niciodată un program transmis de curând pe un sistem de buletine informative, până când el nu a fost verificat de operatorul de sistem. Când încărcati programul, faceti-o pe un sistem cu două unităti de dischetă, astfel încât el să nu se apropie de hard disk.
- nu copiati dischete pirat ale programelor comercializate, deoarece ele pot contine virusi.
- cumpărati si folositi programe recunoscute de detectare a virusilor
- instalati un program de detectare a virusilor, rezident în memorie, care să examineze fisierele pe care le copiati în calculator.
Abonați-vă la:
Postări (Atom)