Text Derulant

widget

26 dec. 2010

Virusii informatici(I)-Ce este un virus informatic?

33.Virusii informatici(I)

In acest post voi trata chestiuni legate de virusii informatici,care de la un timp au ajuns un flagel.Acest post va fi impartit in mai multe parti datorita dimensiunii mari.


Ce este un virus informatic?

Cuvântul "virus" este folosit in ziua de astăzi si pentru a descrie un tip de program pentru calculator care este creat cu scopul declarat de a distruge datele sau echipamentele calculatorului.Virusii informatici sunt cele mai periculoase arme in razboiul datelor. Numarul actual al virusilor este foarte mare (o cifra exacta este greu de dat), zilnic apar virusi noi.Viruşii sunt programe de foarte mica dimensiune, de regula invizibili cu mijloace uzuale ale sistemului, care se găsesc pe calculator fie ca un fişier executabil, fie atasati unor programe, caz in care se numesc "paraziţi". Ei sunt capabili sa se "infiltreze" in zone ce raman " ascunse" utilizatorului obişnuit, sa producă modificări distructive asupra datelor ce se afla pe discuri, asupra altor componente ale calculatorului, si sa se"reproducă", inmultindu-se la fel ca o infectie virala.
Virusii informatici - sunt, in esenta,microprograme greu de depistat,ascunse in alte programe,care asteapta un moment favorabil pentru a provoca defectiuni ale sistemului de calcul(blocarea acestuia,comenzi sau mesaje neasteptate,alte actiuni distructive).Se poate aprecia ca un virus informatic este un microprogram cu actiune distructiva localizat in principal in memoria interna,unde astepta un semnal pentru a-si declansa activitatea.Istoria viruşilor de calculatoare este lungă şi interesantă. Dar ea a devenit cu adevărat palpitantă abia din momentul în care a început să se dezvolte industria PC-urilor si aparitia Internetului. Pe măsură ce dezvoltarea calculatoarelor progresa, a devenit posibilă si accesarea a mai mult de un program într-un singur computer. În acelaşi timp, s-a manifestat şi o reacţie împotriva a tot ceea ce însemna computerul. Această tendinţă are rădăcini mai vechi, dar impactul computerelor de tip PC a fost aşa de mare, încât si reacţiile împotriva acestora au început să se facă mai evidente.
În anul 1986, nişte programatori de la Basic&Amjad au descoperit că un anumit sector dintr-un floppy disk conţine un cod executabil care funcţiona de câte ori porneau computerul cu discheta montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un program propriu. Acest program putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un floppy disc.
     În acelaşi an, programatorul Ralf Burger a descoperit că un fişier poate fi făcut să se autocopieze, ataşând o copie într-un alt director. El a făcut si o demonstraţie despre acest efect pe care l-a numit VirDem (Virus Demonstration). Acesta a reprezentat un prim exemplu de virus, autentic dar destul de nevinovat, întrucât nu putea infecta decât fişierele cu extensia .COM.
La scurt timp au început să apară numeroşi viruşi, fabricaţi peste tot în lume. Ei au evoluat rapid, luând diverse forme si înglobând idei din ce în ce mai sofisticate.
     Iată o scurtă dar spectaculoasă evoluţie a fabricării în serie în toate colturile lumii si lansării pe piaţă a viruşilor:
- în anul 1990 erau cunoscuţi si catalogaţi 300 de viruşi
- în anul 1991 existau peste 1000 de viruşi
- în anul 1994 erau înregistraţi peste 4000 de viruşi
- în anul 1995 s-au înregistrat peste 7000 de viruşi
     Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de macrovirus, devenind în scurt timp o adevărată ameninţare, deoarece erau mult mai uşor de fabricat decât părinţii lor viruşii. Aceştia nu erau adresaţi numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi folosiţi pentru orice program, uşurându-se calea de apariţie a cunoscuţilor microvirusi care au infestat fişierele la acea vreme produsul Lotus AmiPro.
     Primul dintre macroviruşi a fost cel folosit în Word si Word Basic. În luna iulie 1996 a apărut si primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel.
     
Nu mi-am propus în acest post să lămurim complet problema si să discutăm toate particularităţile referitoare la viruşii calculatoarelor. Mi-am propus doar să abordăm acest subiect din punct de vedere al realităţii obiective, pornind de la faptul că aceşti viruşii există, sunt o realitate de multă vreme si fac mult rău. Mi-am propus, totodată, să înţelegem mai bine ce reprezintă aceşti viruşi ai calculatoarelor, cum se răspândesc ei, ce ameninţă si cum ne putem apăra împotriva lor. În fine, voi prezenta câteva exemple, dintre cele mai concludente, si vom descrie pagubele produse. În fine, voi discuta si despre metodele practice de a combate acest flagel.
     
Precizez că acest post nu are deloc pretenţia de a epuiza subiectul. El se adresează acelor utilizatori care folosesc calculatorul aproape zilnic dar nu-l cunosc suficient de bine. Ca urmare, nu voi oferi nici un lucru nou pentru programatorii, inginerii de sistem sau administratorii de sisteme, baze de date sau aplicaţii. Cu alte cuvinte, nu-i voi putea ajuta în mod deosebit pe adevăraţii specialişti ai calculatoarelor, interesaţi de această problemă în cele mai mici detalii.
     A fost cu adevărat o mare surpriză pentru omenire atunci când a descoperit, acum câteva decenii, si a trebuit să accepte ideea existentei unor viruşi de altă natură decât cea biologică.
Un virus de calculator, sau virus informatic aşa cum i se mai spune, nu este altceva decât un program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. Acest program are, de regulă, proprietatea că se autoreproduce, ataşându-se altor programe si executând operaţii nedorite si uneori de distrugere.
     Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii ţin foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă.
Aşa cum am menţionat deja, când un virus infectează un disc, de exemplu, el se autoreproduce, ataşându-se la alte programe, inclusiv la programele vitale ale sistemului. Ca si în cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioadă de mai multe zile sau săptămâni, timp în care, orice disc introdus în sistem poate fi infectat cu o copie ascunsă a virusului.
     Atunci când apar, efectele sunt diferite, variind de la mesaje glumeţe la erori în funcţionarea programelor de sistem sau ştergeri catastrofice a tuturor informaţiilor de pe un hard disk. De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
     În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată si cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este uneori si o activitate de grup, în care sunt selectaţi, antrenaţi si plătiţi cu sume uriaşe specialiştii de înaltă clasă.

Iata citeva dintre efectele pe care le generează viruşii software:

a) distrugerea unor fişiere;
b) modificarea dimensiunii fişierelor;
c) ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;
d) distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii informaţiei de pe disc;
e) diverse efecte grafice/sonore inofensive, dar deranjante;
f) încetinirea vitezei de lucru a calculatorului pana la blocare.

     Virusul informatic este, aşadar, un program rău intenţionat, introdus în memoria calculatorului, care la un moment dat devine activ, atacând prin distrugere sau alterare fişiere sau autocopiindu-se în fişiere aflate pe diferite suporturi. Fiecare program infectat poate la rândul său să infecteze alte programe.
     
Virusul este caracterizat de următoarele proprietăţi:

- poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod sau numai a unei părţi speciale din codul său
- modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe
- are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o nouă modificare a acestuia.
     Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori acelaşi fişier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai infectez".
     
Controversata problemă a viruşilor de calculatoare a născut ideea că orice virus poate fi combătut, adică depistat si anihilat. Cu toate acestea, există programatori care susţin că pot construi viruşi ce nu pot fi detectaţi si distruşi. Este cazul unui grup de programatori polonezi care au anunţat pe Internet, în urmă cu câţiva ani, că pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, conţinea câteva idei interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap utilizatorilor de servicii Internet. Supăraţi de faptul că lumea a exagerat atât de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceşti programatori intenţionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare". După părerea lor, ar putea fi construiţi viruşi care pot distruge cu mult mai mult decât a făcut-o "I Love You", adică o pagubă la scară planetară estimată atunci la circa 6 miliarde de dolari SUA. În plus, autorii au expus metode noi de reproducere a viruşilor, fără posibilităţi prea mari de a putea fi depistaţi si anihilaţi.
Intenţiile, făcute publice de aceşti indivizi, păreau dintre cele mai diabolice. Din fericire, se pare că acest plan diabolic nu a fost până la urmă dus la capăt, ameninţările acestor indivizi oprindu-se doar la faza de proiect. Totuşi, aceste ameninţări au putut avea măcar efectul unui adevărat semnal de alarmă. A fost avertizată întreaga omenire că pot exista si din acest punct de vedere ameninţări dintre cele mai serioase care, desigur, nu ar trebui deloc neglijate.
 


Clasificarea viruşilor


    Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de şantaj si constrângere.
     Viruşii pot fi clasificaţi după diferite criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi. Totuşi, o enumerare a acestora este benefică, deoarece ea reflectă diversitatea caracteristicilor si tipurilor de viruşi.
 
Viruşii se clasifica pot clasifica in:

-Viruşi Hardware: sunt cei care afectează hard discul, floppy-discul si memoria.Virusii hardware sunt mai rar intalniti,acestia fiind de regula, livrati o data cu echipamentul.

-Viruşi Software: afectează fişierele si programele aflate in memorie sau pe disc, inclusiv sistemul de operare sau componente ale acestuia si sunt creati de specialisti in informatica foarte abili si buni cunoscatoari ai sistemelor de calcul,in special al modului cum lucreaza software-ul de baza si cel aplicativ.

Din punct de vedere al capacitatii de multiplicare,virusii se impart in doua categorii:
-Virusi care se reproduc,infecteaza si distrug
-Virusi care nu se reproduc,dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase urme(Worms).

In functie de tipul distrugerilor in sistem se disting:

-Virusi care provoaca distrugerea programului in care sunt inclusi

-Virusi care nu provoaca distrugeri,dar incomodeaza lucrul cu sistemul de calcul; se manifesta prin incetinirea vitezei de lucru,blocarea tastaturii,reinitializarea aleatorie a sistemului, afisarea unor mesaje sau imagini nejustificate

-Virusi cu mare putere de distrugere,care provoaca incidente pentru intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina, alterarea integrala si irecuperabila a informatiei existente. Exista si virusi distructivi care odata ajunsi pe hard-diskul calculatorului, incep sa isi faca de cap, sa stearga fisiere si chiar sa transforme hardul intr-o piesa buna de aruncat la gunoi. In mare masura infectarea calculatorului poate fi prevenita, dar pentru aceasta avem nevoie de un program antivirus.

In manualul de utilizare al MS-DOS,Microsoft imparte virusii in trei categorii:

Virusi care infecteaza sistemul de boot
Virusi care infecteaza fisierele
Virusi tip Cal Troian

Ultimii sunt acele programe care aparent au o anumita intrebuintare,dar sunt inzestrati cu proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata astfel:
Armati – o forma mai recenta de virusi,care contin proceduri ce impiedica dezasamblarea si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta  antidotul (ex:” Whale”)
Autoencriptori – inglobeaza in corpul lor metode de criptare sofisticate facand detectia destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare( ex: “Cascade”)
Camarazi – sunt avantajati de o particularitate a DOS-ului, care executa programele .com inaintea celor .exe. Acesti virusi se ataseaza de fisierele .exe,apoi le copiaza schimband extensia in .com. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. Odata lansat in executie fisierul respectiv,ceea ce se execua nu este fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatii
Furisati(stealth) – acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut,deci este infectat . Exemplu:“512”,”Atheus”,”Brain”, ”Damage”,  ”Gremlin”,”Holocaust”,”Telecom”
Infectie multipla – cu cativa ani in urma virusi erau repartizati in doua grupuri bine separate: cei care infectau programele si cei care operau asupra sectorului de boot si a tebelelor de partitii. Virusii  cu infectie multipla,mai rcenti, pot contamina ambele tipuri de elemente. Exemplu: ”Authax”,” Crazy Eddie”,”Invader”,” Malaga”,etc
Polimorfi –sunt cei mai sofisticati dintre cei intalniti pana acum. Un “motor” de mutatii permite transformarea lor in mii de variante de cod diferite. Exemplu: ”Andre”,” Cheeba”,”Dark Avenger”,”Phoenix 2000”,” Maltese Fish”,etc
Virusi ai sectorului de boot si ai tabelelor de partitii – ei infecteaza una si/sau cealalta dintre aceste zone critice ale dischetei sau hard disk-ului. Infectarea sectorului de boot este periculoasa,deoarece la pornirea calculatorului codul special MBP(Master Boot Program) de pe discheta se execuata inainte de DOS. Daca acolo este prezent un virus, s-ar putea sa nu fie reperabil. Tabelele de partitii contin informatii despre organizare structurii discului,ele neputand fi contaminate,ci doar stricate. Majoritatea antivirusilor actuali pot detecta o infectie in MBP,propund,in general, suprimarea MBP-ului si inlocuirea lui cu o forma sanatoasa( de exemplu cum procedeaza Norton Antivirus). Exemplu:” Alameda”,”Ashar”,”Bloodie”,”Cannabis”,”Chaos”.

Computerul poate fi asemuit,la un moment dat cu un organism biologic,care se poate ,,imbolnavi".Am sa prezint si o altfel de clasificare a virusilor, oferind pentru câteva variante mai interesante si unele detalii (în această prezentare a fost preferată ordinea alfabetică, pentru a putea fi consultată ca pe un dicţionar):
      
-Bacteria - este programul care se înmulţeşte rapid si se localizează în sistemul gazdă, ocupând procesorul si memoria centrală a calculatorului, provocând paralizia completă a acestuia.
     
-Bomba (Bomb) - este un mecanism, nu neapărat de tip viral, care poate provoca în mod intenţionat distrugerea datelor. Este de fapt ceea ce face faima viruşilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, până la adevărate catastrofe, cum ar fi ştergerea tuturor fişierelor de pe hard disk.
     
-Bomba cu ceas (Timer bomb) - este un virus de tip bombă, numit si bombă cu întârziere, programat special pentru a acţiona la un anumit moment de timp. Este de fapt, o secvenţă de program introdusă în sistem, care intră în funcţiune numai condiţionat de o anumită dată si oră. Această caracteristică foarte importantă face ca procesul de detectare să fie foarte dificil, sistemul putând să funcţioneze corect o bună perioadă de timp. Acţiunea lui distructivă este deosebită, putând şterge fişiere, bloca sistemul, formata hard disk-ul si distruge toate fişierele sistem.
     
-Bomba logică (Logic bomb) - este un virus de tip bombă, care provoacă stricăciuni atunci când este îndeplinită o anumită condiţie, precum prezenta ori absenta unui nume de fişier pe disc. De fapt, reprezintă un program care poate avea acces în zone de memorie în care utilizatorul nu are acces, caracterizându-se prin efect distructiv puternic si necontrolat. O astfel de secvenţă de program introdusă în sistem, intră în funcţiune numai condiţionat de realizarea unor condiţii prealabile.
     
-Calul troian (Trojan horse) - reprezintă programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a cărui execuţie produce efecte secundare nedorite, în general neanticipate de către utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparentă de funcţionare normală.
Calul troian este un program pe calculator care apare pentru a executa funcţii valide, dar conţine ascunse în codul său instrucţiuni ce pot provoca daune sistemelor pe care se instalează şi rulează, deseori foarte severe.
     Un exemplu foarte cunoscut astăzi de un astfel de program este cel numit Aids Information Kit Trojan.
     Pe un model de tip "cal troian" s-a bazat marea păcăleală care a stârnit multă vâlvă la sfârşitul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care păreau să conţină informaţii despre SIDA, au fost expediate de la o adresă bine cunoscută din Londra, către corporaţii, firme de asigurări si profesionişti din domeniul sănătăţii, din Europa si America de Nord. Destinatarii care au încărcat discurile pe calculatoarele lor, au avut surpriza să descopere destul de repede că acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reuşit să şteargă complet datele de pe hard disk-urile pe care au fost copiate.
Programele de tip "cal-troian" mai conţin o caracteristică importantă. Spre deosebire de viruşii obişnuiţi de calculator, aceştia nu se pot înmulţi în mod automat. Acest fapt nu constituie însă o consolare semnificativă pentru cineva care tocmai a pierdut zile si luni de muncă pe un calculator.
     
-Viermele (Worm) - este un program care, inserat într-o reţea de calculatoare, devine activ într-o staţie de lucru în care nu se rulează nici un program. El nu infectează alte fişiere, aşa cum fac adevăraţii viruşi. Se multiplică însă în mai multe copii pe sistem si, mai ales, într-un sistem distribuit de calcul. În acest fel "mănâncă" din resursele sistemului (RAM, disc, CPU etc.).
     
-Virus (Virus) - este un program care are funcţii de infectare, distructive si de incorporare a copiilor sale în interiorul altor programe. Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Noţiunea mai generală se referă adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea că se autocopiază, astfel încât poate infecta părţi din sistemul de operare şi/sau programe executabile. Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică este relativ bună pentru a descrie acţiunea unui virus informatic în lumea reală.
     
-Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea iniţială a procesului de încărcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (încărcare) atacă fie sectorul de încărcare principal, fie sectorul de încărcare DOS de pe disc. Toţi viruşii sectorului de încărcare modifică într-un anume fel conţinutul sectorului de boot. Modificările sectorului de boot nu trebuie să fie prea extinse: unii viruşi mai noi din această categorie sunt capabili să infecteze discul fix, modificând doar zece octeţi din acest sector.
     
-Virus ataşat (Appending virus) - este un virus care îşi ataşează codul la codul existent al fişierului, nedistrugând codul original. Primul care se execută atunci când se lansează fişierul infectat este virusul. Apoi, acesta se multiplică, face sau nu ceva stricăciuni, după care redă controlul codului original si permite programului să se execute normal în continuare. Acesta este modul de acţiune al unui "virus clasic".
     
-Virus companion (Companion virus) - este un virus care infectează fişiere de tip .EXE prin crearea unui fişier COM având acelaşi nume si conţinând codul viral. El speculează o anumită caracteristică a sistemului DOS prin care, dacă două programe, unul de tip .EXE si celălalt de tip .COM, au acelaşi nume, atunci se execută mai întâi fişierul de tip .COM.
     
-Virus criptografic (Crypto virus) - un virus care se infiltrează în memoria sistemului si permite folosirea absolut normală a intrărilor si transmiterilor de date, având proprietatea că, la o anumită dată, se autodistruge, distrugând în acelaşi timp toate datele din sistem si făcându-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de către emiţător aflat la distanţă, prin transmiterea unei comenzi corespunzătoare.
     
-Virus critic (Critical virus) - este un virus care pur si simplu se înscrie peste codul unui fişier executabil fără a încerca să păstreze codul original al fişierului infectat. În cele mai multe cazuri, fişierul infectat devine neutilizabil. Cei mai mulţi viruşi de acest fel sunt viruşi vechi, primitivi, existând însă şi excepţii.
     
-Virus cu infecţie multiplă (Multi-partite virus) - este un virus care infectează atât sectorul de boot, cât si fişierele executabile, având caracteristicile specifice atât ale viruşilor sectorului de încărcare, cât si ale celor paraziţi. Acest tip de virus se ataşează la fişierele executabile, dar îşi plasează codul si în sistemul de operare, de obicei în MBR sau în sectoarele ascunse. Astfel, un virus cu infecţie multiplă devine activ dacă un fişier infectat este executat sau dacă PC-ul este încărcat de pe un disc infectat.
-Viruşii cu auto-multiplicare( self-multiplication viruses) - Aceşti viruşi cu auto-multiplicare fac parte din categoria celor mai inteligenţi, deoarece infectează tot ce ating. In lumea utilizatorilor DOS, majoritatea viruşilor sunt transferaţi prin intermediul codurilor executabile, adică prin fişiere program (COM, EXE, DLL, SYS sau PIF) nu fişiere date. Efectul acestei auto-multiplicări depinde de a doua parte a programului de tip virus informatic. Prima parte este responsabila de găsirea unui mijloc de a se auto-copia. Cea dea doua parte decide ce stricăciune sa facă virusul pe disc. Exista oameni care au capturat un astfel de virus, i-au modificat partea a doua si l-au repus in circulaţie.
     
-Virus de atac binar(Binary attack virus) - este un virus care operează în sistemul de "cal troian", conţinând doar câţiva biţi pentru a se putea lega de sistem, restul fiind de regulă mascat ca un “program neexecutabil”
     
-Virus de legătură (Link virus) - este un virus care modifică intrările din tabela de directoare pentru a conduce la corpul virusului. Ca si viruşii ataşaţi, viruşii de legătură nu modifică conţinutul însuşi al fişierelor executabile, însă alterează structura de directoare, legând primul pointer de cluster al intrării de directoare corespunzătoare fişierelor executabile la un singur cluster conţinând codul virusului. Odată ce s-a executat codul virusului, el încarcă fişierul executabil, citind corect valoarea cluster-ului de start care este stocată în altă parte.
     
-Virus detaşabil (File jumper virus) - este un virus care se dezlipeşte el însuşi de fişierul infectat exact înaintea deschiderii sau execuţiei acestuia şi i se reataşează atunci când programul este închis sau se termină. Această tehnică este foarte eficientă împotriva multor programe de scanare si scheme de validare, deoarece programul de scanare va vedea un fişier "curat" si va considera că totul este în regulă. Aceasta este o tehnică de ascundere (stealth).
 
-Virus invizibil (Stealth virus) - este un virus care îşi ascunde prezenta sa, atât faţă de utilizatori, cât si faţă de programele antivirus, de obicei, prin interceptarea serviciilor de întreruperi.Viruşii sectorului de sistem au dat amploare unui nou tip de viruşi numiţi "stealth viruses", adică viruşi care se ascund. Chiar daca calculatorul respectiv are un antivirus destul de bun, in momentul când acesta porneşte, virusul are posibilitatea de a se ascunde. Deci in momentul când un virus contaminează calculatorul, noi, utilizatori numai deţinem controlul lui, acesta fiind preluat de aceşti "stealth viruses" care sunt incarcati automat in memorie la pornirea calculatorului.
     
-Virus morfic (Morphic virus) - un virus care îşi schimbă constant codul de programare si configurarea în scopul evitării unei structuri stabile care ar putea fi uşor identificată şi eliminată.
     
-Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruşii nerezidenţi în memorie nu rămân activi după ce programul infectat a fost executat. El operează după un mecanism simplu si infectează doar executabilele atunci când un program infectat se execută. Comportarea tipică a unui astfel de virus este de a căuta un fişier gazdă potrivit atunci când fişierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă.
      
-Virus parazit (Parasitic virus) - este un virus informatic, care se ataşează de alt program si se activează atunci când programul este executat. El poate să se ataşeze fie la începutul programului, fie la sfârşitul său, ori poate chiar să suprascrie o parte din codul programului. Infecţia se răspândeşte, de obicei, atunci când fişierul infectat este executat. Clasa viruşilor paraziţi poate fi separată în două: viruşii care devin rezidenţi în memorie după execuţie şi cei nerezidenţi. Viruşii rezidenţi în memorie tind să infecteze alte fişiere, pe măsură ce acestea sunt accesate, deschise sau executate.
     
-Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat, pentru a ocoli sistemele de protecţie acolo unde se instalează. El este criptat si automodificabil. Un virus polimorfic adaugă aleator octeţi de tip "garbage" (gunoi) la codul de decriptare si/sau foloseşte metode de criptare/decriptare pentru a preveni existenta unor secvenţe constante de octeţi. Rezultatul net este un virus care poate avea o înfăţişare diferită în fiecare fişier infectat, făcând astfel mult mai dificilă detectarea lui cu un scaner.
     
-Virus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât, chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fişier, să invoce o rutină "trigger" (de declanşare a unei anumite acţiuni) sau să monitorizeze activitatea sistemului. Aproape toţi viruşii care infectează MBR-ul sunt viruşi rezidenţi. În general, viruşii rezidenţi "agaţă" codul sistemului de operare.
Marea majoritate a viruşilor actuali folosesc tehnici de ascundere. Există si un termen des folosit în acest domeniu; el se numeşte stealth (ascundere) si desemnează tehnicile folosite de anumiţi viruşi care încearcă să scape de detecţie. De exemplu, un lucru pe care-l pot face viruşii rezidenţi, este să intercepteze comenzile (funcţiile) DOS de tip DIR si să raporteze dimensiunile originale ale fişierelor, si nu cele modificate datorită ataşării virusului. Tehnicile Spawning si File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate.
     
-Viruşii spioni(Spyware virus) - Pe lângă numeroşii viruşi, cunoscuţi la această oră în lumea calculatoarelor, există o categorie aparte de astfel de "intruşi", care au un rol special: acela de a inspecta, în calculatoarele sau reţelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la proprietar, la o anumită dată şi în anumite condiţii, un raport complet privind "corespondenta" pe Internet si alte "acţiuni" efectuate de către cel spionat prin intermediul calculatorului.
Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de poştă electronică şi aşteaptă cuminte până apar condiţiile unui răspuns la aceeaşi adresă. Cât timp se află în reţea, acesta culege informaţiile care îl interesează, le codifică într-un anumit mod, depunându-le într-o listă a sa si apoi le transmite la proprietar.
Un virus de acest gen poate pătrunde şi se poate ascunde, de exemplu, într-un fişier tip "doc" primit printr-un e-mail. El îşi începe activitatea odată cu închiderea unui document activ, atunci când verifică dacă acesta a fost infectat cu o anumită parte din codul său special.
Unii viruşi din această categorie îşi i-au măsuri ca să nu fie depistaţi si distruşi de programele de dezinfectare.
Într-o secvenţă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze diferite mesaje si acţiuni, le adaugă la lista sa secretă şi aşteaptă condiţiile ca să le transmită la destinatar, nimeni altul decât cel care l-a expediat.
În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca şi cum în casa noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete şi nesecrete şi, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care aşteaptă.
Din păcate, viruşii spioni sunt de multe ori neglijaţi. Nici chiar programele de dezinfectare nu sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o acţiune distructivă directă.
Totuşi, pagubele pot fi uneori însemnate, nemaipunând la socoteală şi faptul că nimeni pe lumea aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare. Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intruşi" există şi pot pătrunde în viaţa noastră şi pe această cale.
Un astfel de virus spion a fost descoperit de un student în primăvara anului 1999, în reţeaua de calculatoare a dezvoltătorilor de software ai Direcţiei Informatică din CS Sidex SA. Deşi la această oră este cunoscut si numele celui care a promovat virusul cu pricina, o firmă de software din Bucureşti, din motive lesne de înţeles nu-i vom dezvălui numele aici. Scris în limbajul VBS, virusul nu a apucat să-şi facă "datoria", aceea de a colecta informaţii confidenţiale şi diferite tipuri de documente active, deoarece a fost depistat la timp si înlăturat. Prezentăm, totuşi, pe scurt, descrierea acestuia şi modul său de acţiune:
- virusul a apărut în reţea printr-un document de tip ".doc" ataşat unui mesaj de poştă electronică
- el s-a declanşat odată cu închiderea documentului respectiv
- câteva linii speciale de cod ale virusului se autocopiau în anumite documente active si template-uri
- la închiderea documentului respectiv, verifica dacă a reuşit infestarea, apoi actualiza un fişier propriu cu anumite informaţii de genul: data si ora, numele taskului lansat, adresa etc.
- cu adresa captată, prin intermediul FTP expedia la destinaţie lista cu informaţiile culese, împreună cu documentul infestat
- transmiterea se făcea în ziua de 1 a fiecărei luni, în condiţiile în care protecţia de pe calculatorul gazdă era nulă.
Un program care acţionează în acest mod este cunoscut în literatura de specialitate cu numele de spyware (spion).
O serie de viruşi de e-mail, precum celebrul Melissa, încearcă să trimită documente confidenţiale - personale sau ale companiei la care lucraţi. Iar dacă celebrul cal troian numit "Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului PC oricui va solicita acest lucru.
Chiar si în condiţiile în care sistemul este bine protejat împotriva atacurilor din exterior, este posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectaţi la Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web.
Unele programe spyware sunt instalate în mod automat atunci când vizitaţi un anumit site de Web ce face apel la ele. Altele sunt instalate împreună cu aplicaţii de tip shareware sau freeware. Instalarea se produce uneori fără a fi conştienţi de ea sau chiar acceptabilă prin apăsarea butonului Yes fără citirea textului licenţei de utilizare.
În presă au fost acuzate o serie de aplicaţii spyware pentru inventarierea software-ului instalat pe sistemul utilizatorului, scanarea Registrului, căutarea de informaţii confidenţiale, toate acestea fiind trimise apoi către anumite site-uri de Web. Adevărul este că nici o astfel de acuzaţie nu s-a dovedit întemeiată. Programele spyware nu sunt denumite astfel pentru că ele "fură" informaţii private ci pentru modul secret în care acţionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea utilizatorului.
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de recepţionat mesaje publicitare, afişează aceste informaţii în programele asociate si încearcă să ajusteze mesajul publicitar preferinţelor si obiceiurilor utilizatorilor. Altele colectează informaţii statistice pentru clienţii lor. Toate aceste programe pretind că vă protejează informaţiile private si la o analiză atentă se dovedeşte că au dreptate. Informaţiile nepersonale ce sunt adunate de aceste programe ar putea fi totuşi folosite într-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.
Iată câteva exemple de acest gen. Unul dintre acestea se referă la programul Comet Cursors, care nu este altceva decât un control ActiveX realizat si oferit de firma Comet Systems (www.cometsystems.com). Acesta permite site-urilor de Web ce au licenţiat acest control să ofere cursoare ciudate, animate si variat colorate. În funcţie de setările securităţii din browser-ul de Web, controlul ActiveX, semnat digital si certificat, se poate transfera si instala fără a vă cere permisiunea si fără cunoştinţa dvs. El contorizează numărul de vizitatori de pe site-urile de Web afiliate folosind tocmai aceste cursoare. Programul asociază fiecărui utilizator un număr de identificare unic, un ID, în aşa fel încât să poată raporta numărul de vizitatori distincţi. Nu se urmăreşte o persoană reală, ci doar raportarea acestor vizitatori ca număr.
În acest mod, totuşi, firma intră în posesia adresei dvs. de IP. Prin aceasta se poate face legătură cu persoana, prin linia închiriată. Astfel, se poate afla prin ce furnizor de Internet vă conectaţi la reţea.
O dezinstalare a acestui program nu poate fi făcută cu multă uşurinţă. De aceea, uneori este nevoie de a apela chiar la firma în cauză pentru a solicita un program de dezinstalare.
Un alt exemplu este produsul TSAdBot, de la firma Conducent Technologies, fostă TimeSink. El este distribuit prin intermediul mai multor programe shareware si freeware, printre care si versiunea de Windows a utilitarului popular de comprimare PKZip. Rolul său este acela de a transfera de la site-ul său reclame si a le afişa în timpul rulării programului respectiv. Programul raportează sistemul de operare, adresa de IP a furnizorului de servicii Internet, Id-ul programului pe care îl folosim si numărul de reclame diferite ce au fost afişate. Poate, de asemenea, transmite când s-a făcut clic pe un banner publicitar precum si răspunsurile la un chestionar, dacă acesta a fost completat la instalarea produsului.
În timp ce rulaţi un program care înglobează si acest produs, acesta din urmă se foloseşte de conexiunea Internet pentru a trimite informaţii si a transfera mesajele publicitare. Doar un firewall personal, precum ZoneAlarm, vă poate avertiza de producerea acestui lucru.
Dezinstalarea unui astfel de program este si ea o operaţie care poate da bătăi de cap utilizatorilor. Uneori este necesar să fie dezinstalate toate programele care îl folosesc pentru a fi siguri că acest produs dispare definitiv din calculatorul dvs.
În acelaşi mod acţionează si produsul Aureate DLL de la Radiate.com, instalat de pe sute de programe freeware si shareware si care, în timp ce afişează bannere publicitare atunci când programul rulează, transferă reclamele de la site-ul Radiate si raportează înapoi informaţii despre ce reclame au fost vizionate si pe care s-a făcut clic si datele unui chestionar propriu care a fost completat la instalare sau care poate reapărea la un anumit timp de la instalarea iniţială. Dezinstalarea programului originar nu elimină si DLL-ul, care continuă să funcţioneze independent.
În plus faţă de celelalte programe, Aureate DLL introduce si o breşă în securitatea sistemului gazdă, un lucru apreciat de specialişti ca fiind foarte periculos. Un hacker rău intenţionat ar putea redirecta produsul să se conecteze la site-ul său. Astfel, acel server ar putea să preia controlul lui Aureate DLL si să-l determine să transfere fragmente periculoase de cod care apoi vor fi lansate în execuţie.
Linia de demarcaţie dintre analizele demografice necesare marketingului si invadarea spaţiului privat a fost ştearsă cu mult înainte de inventarea spyware-ului. În momentul de faţă, utilizatorul este bombardat de mesaje publicitare trimise prin poştă electronică la anumite adrese. De fiecare dată când participaţi la un concurs, completaţi un chestionar sau dacă trimiteţi un talon pentru vreo reducere, sunteţi adăugaţi la baza de date a vânzătorului. Oamenii ce lucrează în marketing îşi doresc să afle cele mai mici aspecte ale vieţii cumpărătorilor, în aşa fel încât ei să fie "atinşi" de mesajele publicitare. Unii oameni par să nu fie deranjaţi de acest lucru, simţindu-se bine să primească scrisori si cataloage care se potrivesc propriilor interese si pasiuni. Dacă acest lucru nu vi se potriveşte, atunci va trebui să staţi în permanentă alerta.
Posted by Nicu (a.k.a DarkShadow) at 12/26/2010 06:13:00 a.m.

Un comentariu:

  1. Unknown9 iunie 2014 la 17:12

    Interesant articol , pacat ca este copiat.Uite aici scris de mine http://spiridonsilviu.com/2014/02/tu-ce-stii-despre-virusi-ce-sunt-virusii.html

    RăspundețiȘtergere

Abonați-vă la: Postare comentarii (Atom)