CUPRINS:

Introducere..............................................................................................3

Capitolul I Introducere asupra conceptelor de securitate ................4

1.1Definiţii, tipologii de viruşi.................................................................4

1.2Scurt istoric, noţiuni şi concepte al sistemelor de securitate...............5

Capitolul II Utilizarea în practica a antiviruşilor ...............................7

2.1 Detectarea şi eliminarea viruşilor, programe de protecţie antivirus ..7

2.2 Instalarea unui antivirus şi modul de acţiune în cazul infectării

calculatorului .........................................................................................10

Bibliografie............................................................................................16

INTRODUCERE

Securitatea, un concept despre care vorbeşte toata lumea. De la administratorii de reţea şi

pană la utilizatorii reţelelor "de bloc", toţi sunt interesaţi şi vor sa îşi protejeze cat mai eficient

reţeaua şi computerele. Fie că este computer personal sau integrat într-o reţea, că este o reţea

privată cu sau fără conexiune la Internet, necesitatea securizării este certă.

Atacurile externe, viruşi, spam-uri, toate acestea au determinat pe posesorii de calculatoare

şi pe administratorii de reţea să se ferească pe cît posibil, astfel încît sistemele, datele şi

conexiunile lor sa fie in siguranţă şi aparate de orice ar putea deteriora buna funcţionare a

acestora.

Lucrarea de faţă, deşi urmăreşte să studieze soluţii de securizare, trebuie precizat de la bun

început că problema securităţii pe Internet prezintă un mare grad de subiectivitate. Afirmăm

aceasta comparînd realitatea cu tehnologia disponibila la acest moment pentru a oferi suport în

domeniul securităţii.

Cele mai multe dintre aspectele tratate de securitatea pe Internet se bazează pe modalităţile

de securizare a unei reţele şi pe crearea şi implementarea unei politici de securitate. In condiţiile

în care fiecare reţea în parte, oricît de mica, are la baza diferite forme de infrastructură, este mai

greu să se definească o modalitate unica de securizare. Astfel modul de securitate trebuie adaptat

corespunzător fiecărei reţele, în funcţie de topologia ei şi de conexiunea la Internet.

Dincolo de nota de subiectivism care învăluie subiectul securizării, putem distinge cîteva

caracteristici care stau la baza conceptului de securizare şi cîteva etape ce trebuie sa fie urmate in

acest proces.

Securitatea, ca şi necesitate, s-a născut ca urmare a dezvoltării Internetului, aşa încît odată

cu creşterea accesului la această reţea s-a constatat şi sporirea numărului de fraude.

Exista sute de metode de a pătrunde intr-un sistem informatic şi există căi ce pot fi

speculate de către o singura persoana în doar cîteva ore. Modalităţile de pătrundere în reţea şi

implicit intr-un computer sunt nenumărate şi orice persoana rău intenţionată care doreşte să

pătrundă într-un calculator o va face dacă nu este "păzit" aşa cum trebuie.

Prea puţină securitate este un dezavantaj, prea multa, de asemenea, poate fi un dezavantaj,

însa trebuie înţeles că elaborarea unui sistem solid, bine securizat, cu proceduri de acces din

exterior bine puse la punct conferă reţelei multiple avantaje din punct de vedere al accesului din

exterior. Astfel, orîcat de mică este reţeaua, existenţa unei politici de securitate este necesară.

Dar nu numai de atacurile externe sau de viruşi prezintă pericol. O atenţie sporită necesită şi

3

posibilile atacuri din interiorul reţelei, in cazul unor persoane rău intenţionate, care pot accesa

sau distruge anumite documente chiar dacă nu au un scop anume.

Am arătat mai sus de ce poate fi vulnerabil un calculator sau reţea. Există oare soluţii să

eliminăm riscul ca oricine să poată pătrunde in computerul dumneavoastră?

In Republica Moldova, securitatea IT reprezintă un domeniu relativ nou. Problemele

privind protecţia datelor au început sa fie avute în vedere de curînd. Securitatea a fost abordată

empiric, în urma unor demersuri legislative sau ca urmare a consultantei primite organizaţii de la

companiile IT. Accentul a fost pus pe achiziţionarea de componente ale unui sistem de securitate

(antivirus, firewall, intrusion detection, vpn, control access etc.). Orice acţiune merita apreciata,

întrucît chiar şi puţina securitate e mai buna decît deloc. Insă utilizarea componentelor unui

sistem de protecţie incomplet, nu rezolva problema. Soluţiile şi tehnologiile de securitate sunt

complementare. Şi nu sunt puţine. Instalarea acestor componente care asigura un grad oarecare

de protecţie, nu este încă dublata de cunoştinţe solide în materie şi astfel ne confruntam cu o

falsă percepţie asupra securităţii. Achiziţia unor soluţii disperate determina creşterea costurilor

de administrare şi creează imaginea costisitoare a soluţiilor destinate protecţiei, lănsînd în acelaşi

timp un fals sentiment de protecţie.

4

CAPITOLUL I

INTRODUCERE ASUPRA CONCEPTELOR DE SECURITATE

Înainte de toate avem nevoie să cunoaştem riscurile. Trebuie analizate toate componentele

vulnerabile ale unui sistem informatic: infrastructura, aplicaţiile, bazele de date, sistemele de

operare, etc. Lipsa mecanismelor de cuantificare a riscului duce la concluzii eronate privind

nevoia reală de protecţie, de aceea o analiza dedicata ne poate scuti de multe neplăceri. Exista

instrumente automate care fac analiza vulnerabilităţilor unei reţele şi care, împreună cu metode

complementare de analiza, oferă o imagine cuantificabilă asupra riscului. Aflînd ce avem de

protejat va fi necesar să identificam soluţiile necesare, suficiente şi potrivite protecţiei propriului

sistem informatic.

1.1 DEFINIŢII, TIPOLOGII DE VIRUŞI ŞI ANTIVIRUŞI

Nu ne-am propus în aceste subcapitole să lămurim complet problema şi să discutăm toate

particularităţile referitoare la viruşii calculatoarelor. Ne-am propus doar să abordăm acest subiect

din punct de vedere al realităţii obiective, pornind de la faptul că aceşti viruşi există, sunt o

realitate de multă vreme şi fac mult rău. Ne-am propus, totodată, să înţelegem mai bine ce

reprezintă aceşti viruşi ai calculatoarelor, cum se răspîndesc ei, ce ameninţa şi cum ne putem

apăra împotriva lor. In fine, vom prezenta cîteva exemple, dintre cele mai concludente, şi vom

descrie pagubele produse.

A fost cu adevărat o mare surpriza pentru omenire atunci cînd a descoperit, acum cîteva

decenii, şi a trebuit sa accepte ideea existentei unor viruşi de alta natura decît cea biologică. 

Un virus de calculator, sau virus informatic aşa cum i se mai spune, nu este altceva decît un

program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. 1

O altă definiţie a virusului ar fi - un program capabil de a se înmulţi, strecurîndu-se printre

programele de pe un calculator sau dintr-o reţea şi provocînd diverse efecte, de la unele

inofensive, pana la unele distructive.2

O definiţie ceva mai academica, spune ca virusul este de fapt un acronim, provenit de la Vital Information Resources Under Siege.3

1 I.Roşca, N.Ţăpuş, Internen şi Intranet concepte şi aplicaţii, Bucureşti 2000.2 Radames Evdochimov, Note de curs Conceptele de bază ale Tehnologiei Informaţiei şi Sistemuluide calcul, Bălţi, 2010

3 Mojzi Mihai, Securitatea sistemelor de calcul şi a reţelelor de calculatoare,Bucureşti,2009

5

Aceste programe au, de regulă, proprietatea să se autoreproduce, ataşîndu-se altor

programe şi executînd operaţii nedorite şi uneori de distrugere. Dimensiunile mici ale

programului-virus reprezintă o caracteristică importantă, întrucît autorii ţin foarte mult ca

produsul lor cu intenţii agresive să nu fie observat cu uşurinţă. 

Aşa cum am menţionat deja, cînd un virus infectează un disc, de exemplu, el se

autoreproduce, ataşîndu-se la alte programe, inclusiv la programele vitale ale sistemului. Ca şi in

cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioadă de

mai multe zile sau săptămîni, timp in care, orice disc introdus in sistem poate fi infectat cu o

copie ascunsa a virusului. Atunci cînd apar, efectele sunt diferite, variind de la mesaje glumeţe la

erori în funcţionarea programelor de sistem sau ştergeri catastrofice a tuturor informaţiilor de pe

un hard disk. De aceea nu este indicat să se plece de la ipoteza ca un virus nu înseamna ceva mai

mult decît o gluma. In general, cei care construiesc viruşi sunt programatori autentici, cu

experienţă bogata şi cu cunoştinţe avansate în limbajul de programare pe care îl folosesc.

Elaborarea de viruşi este uneori şi o activitate de grup, în care sunt selectaţi, antrenaţi şi plătiţi cu

sume uriaşe specialiştii de înaltă clasa. 

Virusul informatic este, aşadar, un program rău intenţionat, introdus în memoria

calculatorului, care la un moment dat devine activ, atacînd prin distrugere sau alterare fişiere sau

autocopiindu-se în fişiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate la

rîndul său să infecteze alte programe. 

Virusul este caracterizat de următoarele proprietăţi: 

- poate modifica fişiere şi programe ale utilizatorilor, prin inserarea în acestea a întregului

cod sau numai a unei părţi speciale din codul sau ;

- modificările pot fi provocate nu numai programelor, ci şi unor grupuri de programe; 

- are nevoie şi poate să recunoască dacă un program a fost deja infectat pentru a putea

interzice o noua modificare a acestuia. 

Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori

acelaşi fişier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai

infectez". 

Viruşii ajung într-un calculator atunci când copiaţi fişiere de pe un alt calculator (via

dischete), când preluaţi fişiere din Internet, în general prin transferul de date între două două

sisteme, dintre care cel sursă posedă date infectate.

Unii viruşi sunt programaţi să monitorizeze data sistemului şi să acţioneze numai la o

anumită dată (de exemplu, Michelangelo se activează în ziua de 6 Martie, ziua de naştere a

marelui artist italian) sau în momentul când sunt îndeplinite anumite condiţii de sistem (de

6

exemplu, Stoned se activează la fiecare a opta bootare). Până la îndeplinirea condiţiilor de

activare, aceşti viruşi nu atacă sistemul, ci doar se înmulţesc infectând şi alte programe.

Atâta timp cât numărul de fişiere infectate este relativ mic, prezenţa lor în calculator

practic nu se observă. Dar după o perioadă de timp, unele programe încetează să mai lucreze iar

altele încep să lucreze incoerent şi afişează pe ecran diferite mesaje neînţelese. În acest moment

majoritatea programelor utilizate mai frecvent sunt deja infectate, chiar mai mult, este posibil ca

unele programe infectate să fie transmise şi altor calculatoare.

Denumirea de virus a fost folosită pentru prima dată în literatura de specialitate de

expertul american Fred Cohen (în 1983), care a atras atenţia asupra unor programe care au două

caracteristici tipice:

Sunt capabile să realizeze copii după ele însele (se reproduc) şi să infecteze alte programe

prin includerea codului lor în noile programe care devin gazde;

Sunt capabile să execute o acţiune definită, în particular să distrugă alte programe.

Programul-virus trebuie să fie de dimensiuni reduse ca să nu fie observat. De aceea,

programele virus se scriau la începuturi în limbaj de asamblare de către programatori calificaţi.

La ora actuală se foloseşte pentru scrierea viruşilor şi limbajul C dar şi VBA (Visual Basic for

Application, limbajul folosit pentru scrierea macro-urilor în programele pachetului Microsoft

Office). Unii programatori au făcut aceste programe în glumă, fără a-şi da seama de urmări; alţii,

în semn de răzbunare (de exemplu, contra firmei care l-a concediat). Autorii au dat viruşilor

nume răsunătoare cum ar fi: Dark Avenger, Aids, sau Thanksgiving. În orice caz,

programele-virus se pot răspândi la toate calculatoarele compatibile cu acele pentru care au fost

scrise.

La ora actuală, pe lângă termenul clasic de virus, din categoria programelor care produc

efecte nedorite fac parte şi următoarele:

Vierme – program care-şi creează copii pe alte calculatoare într-o reţea. De exemplu

Explore-Zip care se retransmite ca un ataşament de mail aparent arhivat. Acesta a distrus o

mulţime de PC-uri în iunie 1999.

Cal troian – program care execută o acţiune mascată. Se ascunde, de regulă, într-o funcţie

atractivă, care să determine utilizatorul să-l lanseze. De exemplu, pretinde a fi un accesoriu sau

un update la un driver.

Backdoor – un cal troian care permite accesul unui hacker la un alt calculator prin

intermediul Internetului (sau a oricărei reţele TCP/IP). Este construit din două componente:

server şi client. Serverul trebuie pornit pe calculatorul ce urmează a fi spionat. Prin client,

hackerul controlează de la distanţă calculatorul victimei.

Hoax – fals avertisment cu privire la programe sau mail-uri presupus periculoase.

7

În forma cea mai generală virusii se împart în:

Virusi hardware

Virusi software

Virusi hardware sunt mai rar întâlniţi, acestia fiind de regulă livraţi odată cu

echipamentul. Majoritatea sunt virusi software, creaţi de specialistii în informatică, foarte abili si

buni cunoscători ai sistemelor de calcul, în special al modului cum lucrează software-ul de bază

si cel aplicativ.

Din punct de vedere al capacităţii de multiplicare virusii se împart în două categorii:

Virusi care se reproduc, infectează si distrug

Virusi care nu se reproduc, dar se înfiltrează în sistem si provoacă distrugeri fără să lase

urme (Worms).

În funcţie de tipul distrugerilor în sistem se disting:

Virusi care provoacă distrugerea programelor în care sunt inclusi;

Virusi care nu provoaca distrugeri, dar incomodează lucrul cu sistemul de calcul, se

manifestă prin încetinirea vitezei de lucru, blocarea tastaturii, afisarea unor mesaje sau imagini

nejustificate.

Virusi cu mare putere de distrugere, care provoacă incidente pentru întreg sistemul, cum

ar fi: distrugerea tablei de alocare a fisierelor de pe hard disk, modificarea continutului

directorului rădăcină, alocarea integrală si irecuperabilă a informaţiei existente.

Primii virusi atacau programele gazdă. De exemplu “Brain” care înlocuia numele

volumului dischetei cu al sau, “Vendredi13” care crestea dimensiunea programelor cu 512

octeţi.

Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au

reacţionat însă prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile

să infecteze un program, fără ca alterarea să fie prea ostentativă.

Odată introdus pe disc, a doua fază a vieţii unui virus este autoprogramarea. Virusii

încearcă să infecteze cât mai multe programe, înainte de a ataca propriu-zis. Pentru a opera cât

mai eficient virusii îsi lasă semnatura în fiecare program infectat, pentru a nu-l contamina încă

odata. Pe acest principiu lucrează si antivirusii, adică pe reperarea unei intruziuni. Ei analizeaza

unităţiile de disc pentru a căuta semnăturile cunoscute. Această tehnica prezintă însă un defect

major: virusul trebuie identificat, deci tabela de semnături trebuie să fie reactualizată.

Viruşii au forme de manifestare cît se poate de diverse. Uni se mulţumesc să afişeze

mesaje de pace sau să cînte o melodie. Alţii perturbă lucrul utilizatorului, însă fără consecinţe

8

prea dramatice. De exemplu “KeyPress” duce la apariţia pe ecran a şirului “AAAAA”, dacă se

apasă tasta “A”. Cei mai neplăcuţi viruşi sunt cei care sunt programaţi pentru distrugerea datelor:

ştergeri, formatări per disc, bruiaj de informaţii, modificări în bazele de date, etc.

Uneori viruşii atacau după o lunga perioadă de somnolenţă. De exemplu “Golden Gate”

nu devine agresiv decît după ce a infectat 500 de programe, “Cyber Techb” nu a acţionat decît

pînă în 1993.

În manualul de utilizare al MS-DOS, Microsoft împarte viruşii în trei categorii:

Viruşi care infectează sistemul de boot

Viruşi care infectează fişierele

Viruşi Cal Troian

Totuşi o clasificare mai amănunţită a viruşilor ar arata astfel:

Armmati – o formă mai recentă de viruşi, care conţin proceduri ce implică dezasamblarea

şi analiza de către un antivirus, editorii fiind nevoiţi să-şi dubleze eforturile pentru a dezvolta

antidotul ex.: “Whale”.

Autoecriptori – înglobează în corpul lor metode de criptare sofisticare făcînd detecţia

destul de dificilă. Din fericire, pot fi descoperiţi prin faptul ca încorporează o rutină de decriptare

ex.: “Cascade”.

Camarazii – sunt avantajaţi de o particularitate a DOS-ului, care execută programele .com

înaintea celor .exe. Fişierul original nu se modifică şi poate trece de testul antiviruşilor

avansaţi. Odată lansat fişierul respectiv, ceea ce se execută nu este fişierul .com, ci fişierul .exe

infectat. Acest lucru determină propagarea viruşilor şi la alte aplicaţii.

Furişaţi (stealth) – aceşti viruşi îşi maschează prezenţa prin deturnarea întreruperilor

DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fişier executabil a

crescut, deci este infectat. Exemplu: “512”, “Atheus”, “Brain”, “Damage”, “Gremlin”,

“Holocaust” şi “Telecom”.

Infecţie multiplă – cu cîţiva ani în urmă viruşii erau repartizaţi în două grupuri bine

separate: cei care infectau programele şi cei care operau asupra sectorului de boot şi a tabelelor

de partiţii.

Poliformi – sunt cei mai sofisticaţi viruşi dintre cei întîlniţi pănă acum. Un “motor” de

mutaţii permite transformarea lor în mii de variante de cod diferite. Exemplu: “Andre”,

“Cheeba”, “Dark Avenger”, “Phoenix 2000”, “Maltese Fish” etc.

Viruşi ai sectorului de boot ai tabelelor de partiţii – ei infectează şi/sau cealaltă dintre

aceste zone critice ale dischetei sau hard disk –ului. Infectarea sectorului de boot este

periculoasă, deoarece la pornirea calculatorului codul special MBP (Master Boot Program) de

per dischetă de execuţie înainte de DOS. Dacă acolo este prezent un virus, s-ar putea să nu fie

9

repetabil. Tabelele de partiţii conţin informaţii despre organizarea structurii discului, ele

neputînd fi contaminate ci doar stricate. Majoritatea antiviruşilor actuali pot detecta o infecţie în

MBP, propunînd în general suprimarea MBP-ului şi înlocuirea lui cu o formă sănătoasă.

Exemplu: ”Alameda”, “Asthar”, “Bloodie”, “Cannabis”, “Choos”.

Se poate suspecta că un calculator a fost infectat, dacă prezintă una sau mai multe din

simptomele următoare:

Încărcarea programelor în memorie, pentru execuţie, durează mai mult decît la utilizarea

anterioară. Operaţiile care solicită intens accesul la memorie devin lente.

Spaţiul ocupat de fişiere pe hard disk creşte foarte mult, creşte dimensiunea fişierelor

(virusul se ataşează acestora).

Se produc accese nejustificate ale dischetei sau hard disk-ului.

Se semnalează erori de protecţie la scriere nejustificate (virusul accesează discheta pentru a

scrie pe ea).

Apar caractere ciudate în lista de fişiere a unui director (virusul se auto-stochează într-o

zonă de date a discului, deghizîndu-se într-un fişier).

Pe monitor, apar mesaje ciudate (virusul Stoned afişează mesajul Your PC is stoned,

virusul One Half afişează mesajul Dis is one half).

Anumite programe se blochează sau pur şi simplu nu mai rulează (virusul strică fişierul

executabil).

În fişiere document sau în bazele de date, apar caractere ciudate în locul informaţiilor

memorate (virusul strică fişierele cu date).

Într-un top al celor mai răspîndiţi 10 viruşi, publicat de revista CHIP în numărul 1 din

2000, pe primul loc s-a situat virusul Melissa. Acesta este primul exemplu de succes al unui virus

care se răspîndeşte activ prin Internet. El se transmite primelor 50 de adrese de mail, pe care le

găseşte în agenda Outlook. La 26 martie 1999 s-a răspîndit cu o viteză uluitoare, ca nici un alt

virus înaintea sa, prin Internet. Virusul de macro se găseşte într-un document Word, activîndu-se la

deschiderea acestuia. Melissa nu are o funcţie distrugătoare, dar a condus în multe firme la

supraîncărcarea serverelor de mail.

Deşi este plasat doar pe locul 4, în topul viruşilor, virusul CIH este primul care atacă

programul BIOS, paralizînd astfel hardware-ul. În plus, o parte a hard disk-ului este suprascrisă

astfel încît un megabyte este distrus, iar restul devine inaccesibil. Pentru recuperarea datelor există

programul MRECOVER (http://members.xoom.com/monirdomain). O variantă a acestui virus

se activează la 26 aprilie, altele la 26 a fiecărei luni. Autorul lui este studentul în informatică de 23

de ani, din Taiwan, Chen Ing-Hau.

10

Controversata problema a viruşilor de calculatoare a născut ideea că orice virus poate fi

combătut, adică depistat şi anihilat. Cu toate acestea, există programatori care susţin ca pot

construi viruşi ce nu pot fi detectaţi şi distruşi.

1.2SCURT ISTORIC, NOŢIUNI ŞI CONCEPTE ALE SISTEMELOR DE SECURITATE

Pornind de la conceptul bine experimentat că este mai puţin costisitor sa previi decît să

tratezi, este necesar să se acorde o atenţie deosebită problemei viruşilor. Intr-o formă simplistă,

lupta împotriva viruşilor s-ar putea rezuma la o singura fraza: trebuie îmbunătăţite programele şi

curăţate dischetele înaintea introducerii lor in unitatea centrala. 

Exista astăzi mai multe organizaţii internaţionale care se ocupa cu problemele viruşilor pe

calculator. Una dintre acestea se numeşte CARO - Computer Anti-virus Researcher

Organisation, şi este o organizaţie constituită din cei mai reputaţi experţi din lume care se ocupa

cu standardizarea şi clasificarea viruşilor. Incă din anul 1990 a fost înfiinţatş o instituţie

specializata în acest domeniu, numita EICAR - Institutul European pentru Cercetarea

Programelor Anti-Virus. Aceasta organizaţie s-a bucurat de un real succes, mai ales în întalnirile

cu vînzătorii de programe. 

In decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software, astăzi

foarte la modă. Tot in acelaşi an, dar in luna aprilie, firma Central Point Anti-Virus a lansat

produsul CPAV. 

Există mai multe publicaţii internaţionale pe aceasta temă, iar Internet-ul abundă de

materiale şi informaţii. Cea mai importanta revista internaţionala dedicata raportării şi analizei

viruşilor se numeşte Virus Bulletin. De la lansarea sa în iulie 1989, revista a monitorizat noile

dezvoltări din domeniul programării viruşilor şi a evaluat cele mai actualizate instrumente şi

tehnici pentru combaterea ameninţării reprezentate de viruşi. 

In lupta împotriva viruşilor este necesar să se cunoască cele mai importante şi eficiente

mijloace, metode şi tehnici care pot fi utilizate în acest scop. Pentru aceasta, este nevoie sa ne

familiarizam cu cîteva noţiuni şi concepte specifice. 

Suma de control (Checksum) este o valoare numerică obţinută din octeţii individuali ai

unui fişier. Împreuna cu data creării, mărimea şi atributele DOS ale fişierului, suma de control

este memorată în fişiere de tip lista de control. De obicei, are lungimea de 32 sau 64 biţi. 

Un alt termen des utilizat este CRC. Acronimul lui "Cycled Redundancy Check", in

traducere - "Control Redundant Ciclic", el reprezintă o metodă matematică folosită pentru

verificarea integrităţii datelor. Este o forma de suma de control, care se bazează pe teoria

11

polinoamelor de lungime maxima. Deşi este mai sigura decît cea bazată pe o simplă sumă de

control, metoda CRC nu oferă totuşi o adevărata securitate criptografica. 

O secventa de octeţi sau, mai general, o combinaţie de secvenţe variabile, prin care

programele Antivirus încearcă sa identifice viruşii se numeşte semnătura unui virus (virus

signature). 

Operaţia prin care se elimina un virus dintr-un fişier sau dintr-un sistem se numeşte

dezinfecţie (clean). Desigur, contaminarea unui calculator cu un virus informatic se numeşte

infecţie (infection). 

Tehnica prin care se adaugă unui program executabil o porţiune de cod, pentru a se asigura

autoverificarea sa, în aşa fel încît suma sa de control să fie verificată înainte ca programul

propriu-zis să se execute, se numeşte imunizare (immunization). Orice modificare făcută

programului poate fi deci verificată şi execuţia refuzată. Aceasta tehnica poate provoca multe

probleme deoarece ea interferă adesea cu programul pe care încearcă sa-l protejeze. 

Atunci cînd se generează o amprentă (o informaţie de control) pentru un fişier spunem că s-

a efectuat o inoculare (inoculate). Este suficient apoi să se compare această amprentă cu alta

calculată ulterior pentru a detecta alterarea eventuală a fişierului de către un virus. 

12

CAPITOLUL II

UTILIZAREA ÎN PRACTICA A ANTIVIRUŞILOR

2.1 DETECTAREA ŞI ELIMINAREA VIRUŞILOR, PROGRAME DE PROTECŢIE ANTIVIRUS

Fiecare virus conţine un mecanism de autorecunoaştere. În felul acesta se poate evita

contaminarea repetată a aceluiasi fişier, cu acelaşi tip de virus. Dacă un virus nu se autorecunoaşte

el este foarte uşor de descoperit, deoarece prin includeri repetate în acelaşi program, lungimea

programului infectat creşte continuu pînă cînd lungimea devine prea mare. În acest caz sistemul de

operare afişează mesajul "Program too big to fit in memory""Program too big to fit in memory" şi execuţia este abandonată.

Mecanismele de autorecunoaştere sunt diferite, cel mai simplu este însă semnăturasemnătura

virusului. Prin semnătură se înţelege un şir de caractere hexazecimale specific virusului, şir care

nu apare (cu mare probabilitate) în altă parte. Semnătura este deci diferită de la virus la virus, are

lungime variabilă care de regulă nu depăşeşte 80 de octeţi.

De exemplu virusul cunoscut sub numele FU MANCHUFU MANCHU, codificat FUFU, are semnătura

"72454D484F72", codul are lungimea 2086 octeţi, se instalează la începutul fişierelor de tip

.COM şi la sfârşitul fişierelor de tip .EXE şi provoacă reîncărcarea aleatoare a sistemului la cald

(adică prin Ctrl+Alt+Delete).

Înainte de a infecta un nou fişier, virusul testează dacă semnătura sa este prezentă în corpul

fişierului la care urmează să fie cuplat. Dacă semnătura există, atunci procesul de contaminare nu

mai are sens (ar creşte prea repede dimensiunea programului), şi este abandonat.

Algoritmul de funcţionare al unui program ce conţine virus este următorul:

1. Încărcarea şi lansarea programului virusat.

1. Salt din program la secvenţa de virus care preia controlul.

1. Verificarea condiţiilor de distrugere. Dacă condiţiile sunt îndeplinite, se trece la

pasul 6, în caz contrar se continuă cu pasul 4.

1. Dacă virusul nu este în memorie, atunci se instalează rezident pentru a infecta noi

programe.

1. Se execută programul original. Virusul rămîne în memorie şi se trece la pasul 7.

1. Se execută distrugerile conform secvenţei de program a virusului. În funcţie de

rezultat, calculatorul poate fi folosit sau nu în continuare.

1. Se redă controlul sistemului de operare.

13

Mulţi programatori şi organizaţii victime ale răspîndirii viruşilor elaborează programe

proprii de detectare şi eliminare a acestora. Practic, pentru toţi viruşii cunoscuţi există deja

programe care îi detectează şi elimină. Procesul de detectare a viruşilor se bazează pe

recunoaşterea semnăturii. În cazul în care se detectează semnătura unui virus cunoscut se va

raporta existenţa acestuia. Dacă se cunosc tipurile de fişiere care pot fi infectate cu un anumit virus,

procesul de detectare poate fi mărginit doar la acestea.

Programele de eliminare a virusului ca şi programele de detectare verifică toate fişierele. În

cazul în care s-a găsit un fişier infectat se încearcă efectuarea operaţiei inverse procesului de

infectare, se încearcă refacerea stării iniţiale a fişierului. Nu toate fişierele infectate pot fi refăcute.

Fişierele care nu pot fi refăcute devin inutilizabile şi de regulă se elimină.

Operaţiile care se execută în scopul detectării viruşilor şi refacerii fişierelor sunt specifice

fiecărui virus. De obicei fiecare program detectează şi lichidează mai mulţi viruşi cunoscuţi, dar nu

poate fi scris un program care ar detecta şi lichida orice virus. De aceea, fiecare utilizator trebuie să

fie conştient de faptul că maşina sa poate fi infectată oricînd de un virus care nu este detectat de

programele antivirus care le foloseşte.

Motivul care a făcut posibil fenomenul virusului de calculator îl reprezintă lipsa mijloacelor

eficiente de protecţie contra acceselor neautorizate. În legătură cu aceasta, diverse firme şi

programatori au început să elaboreze programe care să reducă acest neajuns.

Aceste programe se află permanent în memoria calculatorului (sunt rezidente) şi

interceptează orice acţiune suspectă din partea programului în execuţie (acţiuni specifice viruşilor).

Printre acţiunile suspecte sunt considerate şi următoarele:

Modificarea fişierelor .EXE şi .COM;

Scrieri directe pe disc (la adrese absolute);

Formatarea discului;

Utilizarea unor programe rezidente.

La orice încercare de a efectua astfel de acţiuni, pe ecran apare un mesaj care comunică

acţiunea solicitată şi care program o solicită. Utilizatorul poate permite executarea ei sau o poate

interzice.

Modul de protecţie antivirus descris mai sus are o mulţime de neajunsuri:

Programul antivirus, fiind încărcat rezident în memoria operativă, micşorează

volumul de memorie accesibilă utilizatorului;

Pot fi cazuri în care un program are de efectuat multe operaţii "suspecte" şi

utilizatorul va trebui de fiecare dată să le confirme, fapt care măreşte timpul de execuţie al

programului;

Există viruşi care nu sunt detectaţi de programele antivirus rezidente.

14

Avantajul acestei metode constă în faptul că viruşii se detectează în etapa iniţială de

infectare, cînd încă n-au reuşit să se înmulţească sau să strice ceva pe disc.

Majoritatea programelor antivirus pot fi întrerupte la comanda utilizatorului (de exemplu, în

cazul în care un program are nevoie de multă memorie). De aceea se recomandă folosirea

programelor antivirus rezidente în mod permanent sau tot timpul cît acest lucru este posibil.

Comanda de lansare a programului antivirus poate fi inclusă în fişierul AUTOEXEC.BAT

(sub DOS) sau în folderul StartUp (sub Windows). În cazul executării unor programe care cer

multă memorie operativă, programul antivirus poate fi oprit, apoi lansat din nou. Dacă sunt indicii

că în lipsa antivirusului programele care s-au executat puteau fi infectate, se recomandă

reîncărcarea sistemului de operare şi executarea unui program de detectare a viruşilor.

Pentru a putea alege un program antivirus cît mai bun este important ca acsesta să ofere

următoarele facilităţi esenţiale:

Posibilitatea de verificare selectivă pentru discuri, directoare şi fişiere (facilitate

utilă în momentul în care nu doriţi să verificaţi întreg hard disk-ul ci numai directorul în care

aţi salvat fişierele preluate din Internet sau de pe alt calculator).

Capacitatea de a verifica şi dezinfecta fişiere din arhive în format ZIP sau ARJ.

Realizarea unei verificări a memoriei şi hard disk-ului înaintea instalării (lucru

necesar pentru a evita instalarea pe un sistem deja infectat).

Verificarea integrităţii fişierelor, prin intermediul sumelor de control.

Posibilitatea de analiză euristică (facilitatea este foarte importantă în cazul viruşilor

care îşi schimbă semnătura la fiecare infecţie).

Prezenţa unei componente rezidente (TSR – task stay resident) care să verifice toate

acţiunile care se execută în sistem.

Prezenţa unui scheduler, pentru programarea unei verificări la o anumită oră şi

într-o anumită zi din lună.

Lista viruşilor pe care îi poate detecta.

Afişarea unui raport de stare în urma activităţii desfăşurate de antivirus.

Posibilitatea de actualizare automată (prin descărcare din Internet) cu noii viruşi

apăruţi şi acordarea de asistenţă tehnică.

2.2. INSTALAREA UNUI ANTIVIRUS ŞI MODUL DE ACŢIUNE ÎN CAZUL

INFECTĂRII CALCULATORULUI

15

Este bine să fie instalat pe calculatorul personal mai mult de un program antivirus (de

obicei două, dar nu mai mult de trei) şi să realizaţi actualizarea fiecăruia cel puţin în fiecare lună,

dacă este posibil, chiar mai des.

Majoritatea utilizatorilor cunosc faptul că pentru interzicerea scrierii informaţiilor pe

dischete trebuie obturată fanta respectivă. Aceasta metodă se foloseşte pentru protecţia dischetelor

etalon, care conţin fişiere arhivă, programe şi date ce pot fi utilizate, dar nu se permite modificarea

lor.

Chiar şi discul Winchester poate fi protejat la scriere. Acest lucru se poate realiza prin

împărţirea lui în discuri logice, unele discuri logice pot fi protejate la scriere astfel încît toate

fişierele pe care le conţin sunt "apărate" de modificări, în particular de infectarea cu viruşi.

Protecţia la scriere poate fi instalată/dezinstalată în orice moment. Ca urmare, mai întîi se

scriu fişierele şi apoi se instalează protecţia. Dacă trebuie modificate unele fişiere sau trebuie scrise

fişiere noi pe disc, se scoate protecţia pentru acest timp, după care se reinstalează.

Pentru a vă proteja calculator faţă de acţiunile viruşilor este bine să respectaţi următoarele

reguli:

1. Protejaţi-vă dischetele la scriere cînd le introduceţi în calculatoare a căror integritate

este suspectă.

2. Scoateţi dischetele/CD-urile/DVD-urile din unitate la pornirea calculatorului.

3. Configuraţi BIOS-ul astfel încît bootarea să se încerce întîi de pe discul C:.

4. Folosiţi un program antivirus bun pentru a verifica fişierele pe care urmează să le

copiaţi pe o dischetă.

5. Folosiţi pentru instalarea programelor numai suporturi originale, protejate la scriere,

care poartă sigla firmei producătoare.

6. Nu instalaţi software pirat, în special jocuri.

7. Folosiţi întotdeauna componentele rezidente în memorie ale antivirusului pe care îl

aveţi instalat.

8. Verificaţi întregul spaţiu de stocare pe care îl aveţi la dispoziţie o dată la două

săptămâni.

9. Verificaţi fişierele preluate din Internet sau printr-o reţea.

10. Păstraţi la îndemînă o dischetă/CD sistem (care să conţină şi driverele mai

importante).

Vom instala un ativirus gratuit, pentru a descarca şi instala programul antivirus gratuit AVG

Free Edition pe calculatorul personal este necesar să fie urmaţi pasii de mai jos:

16

Pasul 1: Se accesează pagina oficiala de download a programului gratuit AVG Free Edition disponibilă la adresahttp://free.avg.com/ww-en/free-antivirus-download, apoi se derulează pană în partea inferioara şi se accesează butonul Download:

 

Pasul 2: In pagina urmatoare se apasă butonul Download Now pentru a incepe descarcarea programului antivirus gratuit AVG Free Edition pe calculatorul personal:

17

18

Pasul 3: Se apasă butonul Run din fereastra de confirmare aparută în partea inferioară pentru a incepe descarcarea şi instalarea programului antivirus gratuit AVG Free Edition pe calculatorul tau: 

19

Pasul 4: Se aşteaptă descărcarea şi verificarea programului de instalare a antivirus-ului gratuit AVG Free Edition:

 

Pasul 5: La intrebarea de confirmare a instalării programului antivirus gratuit AVG Free Edition ne asigurăm că numele Verified Publisher este AVG Technologies şi se apasă butonul Yes:

 

20

Pasul 6: Apoi aşteaptă extragerea fisierelor descărcate pentru instalarea programului antivirus gratuit AVG Free Edition:

Pasul 7: Citim acordul de licenţă pentru folosirea programului antivirus gratuit AVG Free Edition şi dacă suntem de acord se apasă pe butonul Accept:

Pasul 8: Se selectează optiunea Basic protection şi se apasă butonul Next pentru a continua instalarea programului antivirus gratuit AVG Free Edition pe calculatorul personal:

21

Pasul 9: Se selectează opţiunea Custom install şi se apasă butonul Next pentru a continua instalarea programului antivirus gratuit AVG Free Edition:

Pasul 10: Dacă folosim alt program de email decît Microsoft Outlook atunci se selectează optiunea Personal E-mail Scanner pentru a activa protecţia antivirus pentru programul tau de email. Apoi se apasă butonul Next pentru a continua instalarea programului antivirus gratuit AVG Free Edition pe calculatorul personal:

22

Pasul 11: SE DE-selectează opţiunile din pagina urmatoare pentru a nu aduce modificări modului în care accesăm internetul. Apoi se apasă butonul Next pentru continuarea instalării programului antivirus gratuit AVG Free Edition:

Pasul 12: Se aşteaptă descarcarea componentelor necesare pentru instalarea programului antivirus gratuit AVG Antivirus Free Edition pe calculatorul personal:

23

Pasul 13: Configurarea componentelor programului antivirus gratuit AVG Free Edition se face automat in urma descarcarii: 

Pasul 14: Urmeaza apoi copierea fisierelor descarcate pentru a instala programul

antivirus gratuit AVG Free Edition pe calculatorul tau:

24

Pasul 15: INtre timp va aparea pe ecranul calculatorului tau casuta de informare a

programului antivirus gratuit AVG Free Edition. Ulterior vei putea folosi aceasta casuta

pentru a lansa scanari ale calculatorului sau actualizari ale programului:

Pasul 16: Urmeaza ultima fereastra a etapei de descarcare si instalare a

programului antivirus gratuit AVG Free Edition pe calculatorul tau. Alege optiunile care ti

se potrivesc si apasa pe butonul Restart Now deoarece este necesar ca sistemul de

operare sa fie actualizat pentru rularea in conditii optime a programului antivirus gratuit

AVG Free Edition:

Paul 17: Dupa re-pornirea calculatorului tau programul antivirus gratuit AVG Free

Edition pe care tocmai l-ai instalat te va intampina cu fereastra de scanare initiala a

25

sistemului. Scanarea va avea loc in fundal si nu consuma multe resurse, deci poti

apasa cu incredere pe butonul Start the scan now:

Pasul 18: In partea dreapta-jos va aparea notificarea programului antivirus gratuit

AVG Free Edition:

Pasul 19: La incheierea scanarii calculatorului tau programul antivirus gratuit AVG

Free Edition iti va afisa o notificare cu rezultatele scanarii. Scanarea poate dura pana la

o ora iar la incheierea ei poti avea siguranta ca ai un calculator curat:

Pasii de mai sus exemplifica descarcarea si instalarea programului antivirus gratuit

AVG Free Edition pe un calculator cu Microsoft Windows 7 si Internet Explorer 9. Daca

descarci si instalezi programul antivirus gratuit AVG Free Edition folosind un sistem de

operare sau un browser diferit este posibil ca imaginile sa difere putin; totusi pasii de

descarcare si instalare raman aceiasi.

Utilizarea programelor antivirus permite detectarea viruşilor în etapa iniţială de infectare,

cînd încă nu au fost infectate alte programe. În acest caz trebuie încărcat sistemul de operare de pe

dischetă, şters programul infectat şi înlocuit cu unul neinfectat. Pentru a verifica că virusul nu a

infectat nici un fişier, trebuie lansat de pe dischetă un program de detectare a viruşilor.

Este bine să se ştie dacă pentru virusul descoperit există sau nu programe de detectare şi

eliminare. Pentru a găsi programul dorit se lansează pe rând toate programele disponibile de

26

detectare şi lichidare a virusilor. Dacă un program dintre acestea raportează că a găsit virusul, el va

fi folosit în continuare pentru a detecta toate programele infectate de pe toate discurile. Fişierele

care nu pot fi refăcute în acest proces trebuie distruse.

Dischetele etalon de pe care se încarcă în aceste cazuri sistemul de operare şi programul de

detectare trebuie să fie protejate fizic la scriere. Tot de pe această dischetă trebuie lansat programul

antivirus. Aceste măsuri vor permite lichidarea urmărilor infectării cu pierderi minimale.

Se recomandă folosirea în permanenţă a unui program antivirus şi întreţinerea în stare

funcţională a copiilor de arhivă. Programul antivirus trebuie utilizat neapărat când se lansează în

execuţie un program străin despre care nu se ştie dacă este infectat sau nu. Dacă se dispune de mai

multe programe de detectare a viruşilor, se recomandă verificarea oricărei dischete înainte de

utilizare.

La ora actuală există un număr important de programe antivirus printre care amintim:

- RAV (Romanian AntiVirus) este unul din cei doi antiviruşi produşi integral în România.

Nu numai că este un produs românesc, dar acest antivirus este printre puţinele care au o

recunoaştere internaţională semnificativă;

- Symantec a lansat la îneputul toamnei 1999, versiunea 6.0 a recunoscutului antivirus pe

care îl produce, Norton Antivirus, care de altfel a fost etichetat 2000;

- Programul SCANSCAN a fost elaborat de firma McAfeeMcAfee, care este cunoscută pentru produsele

sale foarte eficiente pentru prevenirea şi combaterea viruşilor calculatoarelor compatibile IBM-PC;

- BitDefender Online Scanner este un instrument antivirus si antispyware cu care poți

verifica starea de securitate al calculatorului tău folosind premiatele motoare de scanare

BitDefender;

- Kaspersky Anti-Virus este o aplicaţie de securitate ce protejează foarte bine calculatorul

impotriva atacurilor informatice.

Orice program care garantează siguranţa trebuie procurat şi folositOrice program care garantează siguranţa trebuie procurat şi folosit!

27