34.Simptomele unui sistem virusat
Dupa ce am aratat modurile în care virusii sunt capabili sa infecteze un calculator, sa vedem cum se pot ei raspândi si dezvolta în timp. Trebuie sa facem diferenta între un virus activ în memorie si un virus stocat pe disc.Un virus devine activ în memorie atunci când este executat, în caz ca el este un virus rezident. Odata rezident, starea activa poate fi terminata fie când virusul se dezactiveaza singur, fie când oprim calculatorul.Oricum, un virus nu dispare de pe un suport informatic la oprirea alimentarii. Când pornim calculatorul cu o discheta virusata, virusul va deveni activ în memorie si apoi va virusa discul. La urmatoarea oprire, virusul va fi distrus din memorie, dar nu si de pe disc.Ca un virus sa poata infecta un calculator trebuie sa fie executat. E posibil sa protejam un calculator împotriva virusarii, asigurându-ne ca sistemul executa numai programe care nu contin virusi. Aceasta nu înseamna ca doar fisierele COM si EXE sunt o potentiala sursa de virusare – viata e ceva mai complicata. Orice fisier care contine cod executabil, pentru sistemele Windows, trebuie sa fie tratat ca o posibila sursa de virusare.Un virus poate sa fie mentinut inactiv, pornind calculatorul cu o discheta sistem curata si protejata la scriere. Chiar daca discul acelui calculator este virusat, virusul nu este activ în memorie si un anti-virus îl poate curata.
Cei care sunt initiati în domeniul virusilor de calculatoare nu vor avea probabil dificultati în a spune daca un calculator este suspect de a fi infectat cu un virus nou.
Virusii se pot raspândi nestingheriti doar atâta timp cât ramân nedetectati. Din acest motiv, majoritatea virusilor nu îsi manifesta prezenta în sistem. Numai programele antivirus pot detecta prezenta unei asemenea infectii. Exista, totusi, mai multi virusi, ce îsi fac simtita prezenta în sistem prin efectele secundare generate.
Prezenta unui virus poate fi descoperită in urma mai multor simptome:
ˇcresterea memoriei utilizate;
ˇscaderea vitezei de operare a calculatorului;
ˇtimp suplimentar la executia programelor;
ˇaccesarea excesiva a harddiscului sau a unei dischete protejate in unitatea de disc;
ˇprogramele nu mai pot fi executate (cazul virusilor overwrite);
ˇerori anormale de protectie la scriere;
ˇimposibilitatea de pornire a Windows-ului;
ˇblocarea Windows-ului prin accesarea directa a hardware-ului de catre virusi;
ˇavertismentul Windows care semnaleaza faptul ca nu se utilizeaza accesul pe 32 de biti;
ˇimposibilitatea salvării documentelor decat ca template.
Dacă se remarca orice anomalie de functionare a calculatorului (inclusă sau nu in lista anterioara) se recomandă devirusarea rapida.
Cum va puteţi contamina calculatorul cu viruşi informatici?
Cele mai multe dintre calculatoare se contaminează la citirea suporturilor(floppy disc,discCD/DVD,memorii flash,hard-disk-uri portabile) purtătoare de viruşi care provin de pe/la un alt calculator, sau prin descarcarea unor fisiere infectate de pe Internet. Suportul poate conţine orice tip de fişier/program deja infectat sau virusul poate fi localizat intr-o zona a suportului. La rândul lui Internetul a devenit un instrument de transmitare a viruşilor.
Mecanismul de contaminare clasic consta in ramanerea rezidenta in memoria interna a secventei purtatoare a virusului, ascunsa intr-un program care se executa. Programul modificat prin actiunea virusului,cu secventa de virus incorporata,este salvat pe discul care a fost lansat, constituind la randul sau un nou purtator de virus. Virusarea este relativ rapida, avand ca efect infectarea tuturor programelor lansate in executie,atata timp cat virusul este rezident in memoria interna.
O tehnica mai evoluata de contaminare consta in introducerea secventei de program ce contine virusul, in urma procesului de instalare a unui produs; in momentul instalarii produsului, acestuia i se a adauga instructiuni intr-o secventa ce defineste un cod de virus.
Cele mai vulnerabile fisiere sunt fisierele executabile de tip .exe si .com, deoarece acestea contin programele in forma executabila, care se incarca in memoria interna pentru executie, unde se localizeaza initial virusul; deasemeni, pentru a patrunde in zonele protejate ale sistemului, virusul are nevoie de drepturi de acces pe care nu la are, in timp ce programul pe care s-a implantat ii mai gireaza aceste drepturi, fara ca utilizatorul sa aiba cunostiita de acest lucru.
Infectarea este inevitabila datorita schimbului de informatii. Modalitati de infectare, există două modalitati principale de infectare:
ˇ prin intermediul dischetelor. Se recomandă scanarea dischetei inainte de fiecare copiere de pe aceasta si folosirea protectiei la scriere in cazul in care se doreste doar citirea acesteia.
ˇ prin transferul de fisiere din retea (e-mail, internet, retea locală). Se recomandă scanarea tuturor fisierelor transferate din retea pe harddisk-ul local.
De obicei, asociem termenul de "computer virus" cu un mic program ticalos a carui tinta este de a distruge informatiile de pe disc. Virusii nu sunt singurele forme intentionate de a atenta la securitatea datelor de pe calculatorul dumneavoastra, mai sunt cai troieni, bombe logice, viermi.
Un virus apare in calculator prin diverse mijloace, isi desfasoara activitatea, strica ce poate strica, se inmulteste cat se poate inmulti, molipseste si alte calculatoare daca are ocazia. Daca este un virus rau, va muri in cele din urma odata cu sistemul pe care l-a infectat (si distrus), sau este curatat de un antivirus corespunzator. Daca nu este un virus rau poate sa "convietuiasca" mult si bine cu sistemul pe care l-a infectat, producand numai unele neajunsuri minore. Dar, poti fi sigur oare ca un virus pe care-l ai si care nu face, aparent, decat sa cante din cand in cand cate un cantecel, nu are pus in el un ceas care il face sa-ti formateze discul chiar pe data de "zz:ll:aa".
Cum se manifesta virusii?
Odata ajuns in calculator,pentru a-si indeplini in mod eficient scopul,virusul actioneaza in doua etape. In prima faza de multiplicare,virusul se reproduce doar,marind astfel considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea activa,usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea unor fisiere sau chiar reformatatrea hard disk-ului.
Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au nevoie de o gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul. Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza. Atasarea se poate face la inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie.
In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.
Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta a invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de initializare.
O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume de control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului.
Virusii care se inmultesc din ce in ce mai mult, polifereaza datorita urmatorilor factori:
Punerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi, pe baza carora s-au scris mai multe variante de noi virusi
Aparitia si punerea in circulatie, cu documentatie sursa completa, a unor pachete de programe specializate pentru generarea de virusi. Doua dintre acestea sunt Man’s VCL (Nuke) si PC-MPC de la Phalcon/Skim; ambele au fost puse in circulatie in 1992.
Distribuirea in 1992, via BBS-ului bulgar, a programului MTE - “ masina de produs mutatii”- conceput de Dark Avenger din Sofia. Acest program este insotit de o documentatie de utilizare suficient de detaliata si de un virus simplu, didactic. Link-editarea unui virus existent cu MTE si un generator de numere aleatoare duce la transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si schimba secventa de instructiuni la fiecare multiplicare, functia de baza ramanand nealterata,dar devenind practic de nedectat prin scanare
Raspandirea BBS-urilor (Bulletin Board System),care permit oricarui utilizator Pc dotat cu un modem sa transmita programe spre si dinspre un calculator. Un sistem este lipsit de virusi,daca in memorie nu este rezident sau ascuns nici un virus,iar programele care se ruleaza sunt curate. In aceasta conceptie, programul antivirus vizeaza atat memoria calculatoarelor, cat si programele executabile. Cum in practica nu poate fi evitata importarea de fisiere virusate, metode antivirus cauta sa asigure protectie in anumite cazuri perticulare, si anume:
la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste scanarea. Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi caracateristice virusilor din biblioteca programului de scanare;
daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de control. Aceste sume constituie o semnatura a programului si orice modificare a lui va duce la o modificare a sumei sale de control;
in calculator exista o serie de programe care nu se modifica, reprezentand zestrea se soft a calculatorului, care se protejeaza pur si simplu la scriere.
Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte prea dramatice. De exemplu." KeyPress" duce la aparitia pe ecran a sirului "AAAAA",daca se apasa tasta "A".
Cei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor: stergeri,formatari de disc, bruiaj de informatii, modificari in bazele de date,etc.
Uneori,virusii atacau dupa o lunga perioada de somnolenta. De exemplu," Golden Gate" nu devine agresiv decat dupa ce a infectat 500 de programe, "Cyber TechB" nu a actionat, in schimb, decat pana la 31 decembrie 1993.
Alte exemple de viruşi
Pentru a putea sa va faceti o idee de cat de periculosi sunt, prezentăm mai jos, pe scurt câţiva dintre cei mai vechi si cunoscuţi viruşi si efectele acestora.Exista o mare varietate de virusi:
-Win95.CIH.1003.A
Ce infecteaza: Fisiere executabile Win32 PE
Cand infecteaza: La executie
Unde se scrie in fisier. Fisierele executabile Win32 PE sunt structurate pe sectiuni si de cele mai multe ori sectiunile nu sunt utilizate integral. La infectare, virusul cauta spatiile libere din fisierul atacat si le foloseste pentru a-si scrie acolo codul executabil. Astfel, virusul infecteaza fara sa lungeasca fisierele. Dupa aceea modifica punctul de intrare in program in asa fel incat executia sa inceapa cu codul virusului. Executia programului-gazda nu este perturbata deoarece virusul retine in corpul sau unde incepe programul din fisierul parazitat.
Cum putem identifica fisierele infectate. Cel mai sigur este sa fie utilizat un antivirus. In lipsa unui antivirus, se poate cauta in primii 1024 octeti din fisier semnatura "KBQPP" - virusul nu este polimorf, dar acest lucru nu este sigur pentru ca este posibil sa aveti un fisier dezinfectat care sa mai contina inca semnatura.
Actiunea curenta a virusului.Virusul se poate inmulti oricand. Puteti sta cu virusul in calculator luni de zile si puteti sa nu observati nimic. Asta nu inseamna ca virusul nu face nimic in acest timp, el se inmulteste in liniste replicandu-si codul in toate fisierele de tip Win32 PE pe care le executati. De aceea, daca descoperiti acest virus, nu trebuie sa va alarmati. Nu ati pierdut inca nimic.
Actiunea distructiva a virusului.Pe 26 aprilie virusul strica in doua feluri:
a) incearca sa scrie gunoaie peste flash BIOS, dar reuseste numai la unele calculatoare;
b) scrie gunoaie pe primul hard disc in primele sectoare.
Consecintele sunt de obicei dezastruoase.
a) Daca virusul a distrus continutul flash BIOS-ului, calculatorul nu mai porneste si flash BIOS-ul trebuie inlocuit. Exista posibilitatea repararii, dar fara un flash BIOS bun nu se poate da drumul la calculator. Se poate incerca o reparare astfel: se da drumul la calculator folosind un flash BIOS bun, se scoate din mers, se inlocuieste cu cel defect si se rescrie. Daca se reseteaza calculatorul, atunci procedura trebuie reluata.
b) Daca discul este partitionat in mai mult de o partitie, atunci toate partitiile in afara de prima se pot recupera foarte usor, este suficient sa fie refacut primul sector de pe disc folosind programe specializate sau apeland la un specialist. Daca prima partitie este formatata FAT32, atunci zonele sistem, fiind mai extinse, nu se distrug integral si pot fi refacute, informatia fiind redundanta. Daca prima partitie este formatata FAT16, atunci zonele sistem sunt integral distruse si recuperarea datelor este extrem de dificila, chiar imposibila.
Cum sa ne ferim de actiunea distructiva a virusului. Cea mai buna solutie este verificarea si eventual dezinfectarea folosind un antivirus. Alte solutii ar fi: salvarea datelor importante, schimbarea datei calculatorului sau nepornirea calculatorului pe 26 aprilie.
-Win32.HLLP.Bora.11264
Ce infecteaza fisiere EXE (PE-uri) inserandu-si codul la inceputul fisierului.
Cand un program infectat este rulat, codul virusului se executa si cauta o noua victima care este infectata. Virusul incearca sa infecteze si fisierul RUNDLL32.EXE din directorul in care este instalat sistemul de operare.Virusul foloseste programul mIRC pentru a se autotrimite pe IRC. In directorul in care este instalat mIRC-ul este creat un fisier infectat numit
"WINTEST.EXE" si este modificat scriptul de initializare (al mIRC-ului) astfel incat acest fisier sa fie trimis pe IRC.
Pe 15 aprilie virusul afiseaza mesajul: Virus -=Temple=- Build 002 Copyright (c) by Wit AKA CyberViper 1999.
-Win95.Tip.2475 :Tip.2475 - este o ruletă rusească foarte periculoasă. A apărut în Rusia şi s-a răspândit imediat si în tara noastră. Corupe memoria flash si suprascrie discul hard în Windows 9x.
Este un virus rezident care functioneaza numai pe Windows 95, 98, ME, dar nu pe NT sau Windows 2000. Virusul infecteaza fisierele EXE (PE-urile) atunci cand sunt deschise.
Virusul se adauga la sfarsitul fisierului infectat si se cripteaza.
Payload-ul este imprumutat de la alt virus (CIH).
Pe 26 aprilie virusul incearca sa stearga continutul Flash BIOS-ului.
In corpul virusului se gaseste urmatorul text:
"This is PFL
32 v1.0".
-X97M.Barisada.A : -este un virus care infecteaza fisierele xls. Virusul insereaza in fiecare fisier infectat un macro ce contine codul viral. Codul este salvat si in fisierul hjb.xls care la infectarea sistemului este creat in directorul in care Microsoft Excel tine fisierele de initializare (XLSTART).
Pe data de 24 aprilie (daca se deschide un fisier infectat) virusul afiseaza un mesaj;
Daca se raspunde cu "No", virusul afiseaza alt mesaj;
In cazul in care se raspunde cu "Yes" virusul afiseaza alt mesaj;
si apoi :
Daca se raspunde cu "No", virusul va sterge datele din fisierul Excel pe care l-a infectat.
Daca se raspunde cu "Yes", datele nu sunt sterse.
-I-Worm.Hybris
Tip: Internet-worm, polimorfic, executabil
Alte nume: W32/Hybris.A@mm,
I-Worm. Hybris.A .. I-Worm.Hybris.E
Dimensiune: variablia
Mod de infectare: Utilizatorul primeste un mail cu urmatorul format:
Subject: Snowhite and the Seven Dwarfs - The REAL story!
Body: Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at morning, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...
Atasament: sexy virgin.scr sau joke.exe sau midgets.scr sau dwarf4you.
De departe cel mai raspandit virus in acest moment, I-Worm.Hybris are raportate de trei ori mai multe atacuri decat urmatorul de pe lista din AVX "Dangerous Zone". Raportat in peste 120 de tari (primele trei sunt Marea Britanie, SUA si Austria) este declarat cel mai activ virus al lunii februarie. Una dintre manifestarile cele mai enervante este "spirala hipnotica" care va aparea pe calculatorul infectat in fiecare al 59-lea minut din ora. Pentru a se apara, virusul activeaza o rutina care blocheaza accesul pe site-urile producatorilor de antivirusi.
Hybris este un virus de tipul Internet-Worm. Se imprastie prin mail interceptand traficul de retea (inclusiv Internet) prin intermediul WSOCK32.DLL. Pentru a se inmulti, virusul cauta adrese de e-mail valide in datele care se transmit/receptioneaza prin intermediul WSOCK32.DLL (pagini HTML, e-mail-uri, etc.) si se trimite la respectivele adrese sub forma unui EXE sau SCR cu nume ales aleator dintr-o lista existenta.
Brain - a apărut pentru prima dată la Universitatea din Maryland, fiind creat de doi fraţi din Lahore, Pakistan. După trei luni de la apariţie s-au numărat peste 100.000 de copii răspândite în întreaga lume. Într-una din variantele sale virusul înlocuieşte numele volumului de dischetă cu numele său.
Charlie - creat în anul 1987 de Frany Swoboda, virus care făcea ca un program să se autocopieze de opt ori.
Cyber-Tech-B - a fost programat să acţioneze numai pe data de 13.12.1993.
Dark Avenger - fabricat în Bulgaria în anul 1990, care conţinea două noi idei: a) infestarea programelor foarte rapid, b) producerea pagubelor să se facă foarte subtil, pentru a nu putea fi detectat o perioadă de timp.
Data Crime - introduce o semnătură de 1168 octeţi.
Form - se instalează în sectorul de boot al discului infectat si cauzează generarea unui sunet, de fiecare dată când se apasă o tastă. Virusul se declanşează numai pe data de 18 a fiecărei luni. Odată cu sunetul se afişează pe ecran si un mesaj obscen la adresa unei persoane numite Corrinne, ca si când ar fi vorba de o răzbunare de natură erotică a unui bun informatician.
Golden Gate - devine agresiv doar după ce a infectat nu mai puţin de 500 de programe.
I Love You - a apărut pe Internet prin intermediul unui mesaj de e-mail, transmis prin Outlook sau MIRC, care conţinea un fişier ataşat cu titlul tentant: "LOVE-LETTER-FOR-YOU.txt.vbs". Dând impresia că este un mesaj inofensiv (fişier cu extensia .TXT), la un dublu-clic sistemul îl execută, deoarece, în realitate, el este un fişier de tip VBScript. Virusul acţionează prin distrugerea registrelor sistemului, rescrierea fişierelor cu extensia .DLL, .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP3, .MP2 si scripturile MIRC (cel mai popular program dedicat Chat-urilor pe Internet).
Mulţi s-au lăsat păcăliţi, astfel că mass-media a anunţat o pagubă la scară mondială de peste 6 miliarde dolari SUA. În Bucureşti, un grup de studenţi a reuşit în timp util să capteze virusul si să-i anihileze efectele.
Jerusalem - virusul are o origine care la vremea când a fost lansat a fost socotit ca fiind un atac terorist, datorită acţiunii distructive ce programa distrugerea de proporţii a datelor la data împlinirii a 40 de ani de la desfiinţarea statului palestinian si faptului că a fost văzut pentru prima dată la Universitatea Evreiască din Ierusalim. Virusul se reproduce în interiorul executabilelor binare ale sistemului de operare DOS, fără a verifica noile infestări. O altă variantă a acestui virus, denumită "Jerusalem B", este mult mai îmbunătăţită si timp de câţiva ani a reprezentat cel mai mare pericol în reţelele de tip Novell. O altă variantă a acestui virus se activează în fiecare zi de vineri pe 13 si şterge fişierul în loc să îl infesteze.
KeyPress - afişează pe ecran şirul "AAAAA" atunci când se apasă o tastă.
Lehigh - infectează fişierul de comenzi MS-DOS numit COMMAND.COM şi se multiplică dintr-odată în patru copii. A apărut în toamna anului 1987, creat probabil de un student de la Universitatea Lehigh.
Maltese Amoebae - de asemenea, virus de tip polimorf.
Michelangelo - apărut în 1992, a făcut prăpăd în multe din calculatoare, cu toate că presa a reuşit să informeze foarte repede despre apariţia acestui virus. Se declanşează în fiecare zi de 6 martie.
Natas - citit invers înseamnă Satan. A apărut în Statele Unite si în America Latină. Virusul poate infecta sectorul de boot, tabela de partiţii, precum si toate fişierele care au extensiile .COM sau .EXE si care au fost executate cel puţin odată.
OneHalf - produs în Cehoslovacia.
Pathgen - produs în Anglia.
Stone - apărut în Noua Zeelandă, făcea să apară pe monitor mesajul "PC-ul tău este de piatră".
Suriv 01, 02, 03 - citit invers, înseamnă Virus.
Tequila - virus de tip polimorf, apărut în Elveţia.
VBS BubbleBoy - virus de tip "vierme", infectează corpul unui mesaj e-mail. Originar din Argentina, are o mărime de 4992 octeţi si este scris în VBScript. El funcţionează pe platforme Windows cu Internet Explorer 5.0 si Outlook 98/2000 sau Outlook Express.
Vendredi 13 - măreşte dimensiunea programelor infectate cu 512 octeţi.
Vienna - introduce o semnătură de 648 octeţi.
Yale - creat în SUA.
Primul dintre macroviruşi este cunoscut ca fiind cel folosit în Word si Word Basic. În iulie 1996 a apărut microvirusul ZM.Laroux care avea menirea de a da peste cap Microsoft Excel.
Niciun comentariu:
Trimiteți un comentariu