virusi antivirusi
TRANSCRIPT
CUPRINS:
Introducere..............................................................................................3
Capitolul I Introducere asupra conceptelor de securitate ................4
1.1Definiţii, tipologii de viruşi.................................................................4
1.2Scurt istoric, noţiuni şi concepte al sistemelor de securitate...............5
Capitolul II Utilizarea în practica a antiviruşilor ...............................7
2.1 Detectarea şi eliminarea viruşilor, programe de protecţie antivirus ..7
2.2 Instalarea unui antivirus şi modul de acţiune în cazul infectării
calculatorului .........................................................................................10
Bibliografie............................................................................................16
INTRODUCERE
Securitatea, un concept despre care vorbeşte toata lumea. De la administratorii de reţea şi
pană la utilizatorii reţelelor "de bloc", toţi sunt interesaţi şi vor sa îşi protejeze cat mai eficient
reţeaua şi computerele. Fie că este computer personal sau integrat într-o reţea, că este o reţea
privată cu sau fără conexiune la Internet, necesitatea securizării este certă.
Atacurile externe, viruşi, spam-uri, toate acestea au determinat pe posesorii de calculatoare
şi pe administratorii de reţea să se ferească pe cît posibil, astfel încît sistemele, datele şi
conexiunile lor sa fie in siguranţă şi aparate de orice ar putea deteriora buna funcţionare a
acestora.
Lucrarea de faţă, deşi urmăreşte să studieze soluţii de securizare, trebuie precizat de la bun
început că problema securităţii pe Internet prezintă un mare grad de subiectivitate. Afirmăm
aceasta comparînd realitatea cu tehnologia disponibila la acest moment pentru a oferi suport în
domeniul securităţii.
Cele mai multe dintre aspectele tratate de securitatea pe Internet se bazează pe modalităţile
de securizare a unei reţele şi pe crearea şi implementarea unei politici de securitate. In condiţiile
în care fiecare reţea în parte, oricît de mica, are la baza diferite forme de infrastructură, este mai
greu să se definească o modalitate unica de securizare. Astfel modul de securitate trebuie adaptat
corespunzător fiecărei reţele, în funcţie de topologia ei şi de conexiunea la Internet.
Dincolo de nota de subiectivism care învăluie subiectul securizării, putem distinge cîteva
caracteristici care stau la baza conceptului de securizare şi cîteva etape ce trebuie sa fie urmate in
acest proces.
Securitatea, ca şi necesitate, s-a născut ca urmare a dezvoltării Internetului, aşa încît odată
cu creşterea accesului la această reţea s-a constatat şi sporirea numărului de fraude.
Exista sute de metode de a pătrunde intr-un sistem informatic şi există căi ce pot fi
speculate de către o singura persoana în doar cîteva ore. Modalităţile de pătrundere în reţea şi
implicit intr-un computer sunt nenumărate şi orice persoana rău intenţionată care doreşte să
pătrundă într-un calculator o va face dacă nu este "păzit" aşa cum trebuie.
Prea puţină securitate este un dezavantaj, prea multa, de asemenea, poate fi un dezavantaj,
însa trebuie înţeles că elaborarea unui sistem solid, bine securizat, cu proceduri de acces din
exterior bine puse la punct conferă reţelei multiple avantaje din punct de vedere al accesului din
exterior. Astfel, orîcat de mică este reţeaua, existenţa unei politici de securitate este necesară.
Dar nu numai de atacurile externe sau de viruşi prezintă pericol. O atenţie sporită necesită şi
3
posibilile atacuri din interiorul reţelei, in cazul unor persoane rău intenţionate, care pot accesa
sau distruge anumite documente chiar dacă nu au un scop anume.
Am arătat mai sus de ce poate fi vulnerabil un calculator sau reţea. Există oare soluţii să
eliminăm riscul ca oricine să poată pătrunde in computerul dumneavoastră?
In Republica Moldova, securitatea IT reprezintă un domeniu relativ nou. Problemele
privind protecţia datelor au început sa fie avute în vedere de curînd. Securitatea a fost abordată
empiric, în urma unor demersuri legislative sau ca urmare a consultantei primite organizaţii de la
companiile IT. Accentul a fost pus pe achiziţionarea de componente ale unui sistem de securitate
(antivirus, firewall, intrusion detection, vpn, control access etc.). Orice acţiune merita apreciata,
întrucît chiar şi puţina securitate e mai buna decît deloc. Insă utilizarea componentelor unui
sistem de protecţie incomplet, nu rezolva problema. Soluţiile şi tehnologiile de securitate sunt
complementare. Şi nu sunt puţine. Instalarea acestor componente care asigura un grad oarecare
de protecţie, nu este încă dublata de cunoştinţe solide în materie şi astfel ne confruntam cu o
falsă percepţie asupra securităţii. Achiziţia unor soluţii disperate determina creşterea costurilor
de administrare şi creează imaginea costisitoare a soluţiilor destinate protecţiei, lănsînd în acelaşi
timp un fals sentiment de protecţie.
4
CAPITOLUL I
INTRODUCERE ASUPRA CONCEPTELOR DE SECURITATE
Înainte de toate avem nevoie să cunoaştem riscurile. Trebuie analizate toate componentele
vulnerabile ale unui sistem informatic: infrastructura, aplicaţiile, bazele de date, sistemele de
operare, etc. Lipsa mecanismelor de cuantificare a riscului duce la concluzii eronate privind
nevoia reală de protecţie, de aceea o analiza dedicata ne poate scuti de multe neplăceri. Exista
instrumente automate care fac analiza vulnerabilităţilor unei reţele şi care, împreună cu metode
complementare de analiza, oferă o imagine cuantificabilă asupra riscului. Aflînd ce avem de
protejat va fi necesar să identificam soluţiile necesare, suficiente şi potrivite protecţiei propriului
sistem informatic.
1.1 DEFINIŢII, TIPOLOGII DE VIRUŞI ŞI ANTIVIRUŞI
Nu ne-am propus în aceste subcapitole să lămurim complet problema şi să discutăm toate
particularităţile referitoare la viruşii calculatoarelor. Ne-am propus doar să abordăm acest subiect
din punct de vedere al realităţii obiective, pornind de la faptul că aceşti viruşi există, sunt o
realitate de multă vreme şi fac mult rău. Ne-am propus, totodată, să înţelegem mai bine ce
reprezintă aceşti viruşi ai calculatoarelor, cum se răspîndesc ei, ce ameninţa şi cum ne putem
apăra împotriva lor. In fine, vom prezenta cîteva exemple, dintre cele mai concludente, şi vom
descrie pagubele produse.
A fost cu adevărat o mare surpriza pentru omenire atunci cînd a descoperit, acum cîteva
decenii, şi a trebuit sa accepte ideea existentei unor viruşi de alta natura decît cea biologică.
Un virus de calculator, sau virus informatic aşa cum i se mai spune, nu este altceva decît un
program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. 1
O altă definiţie a virusului ar fi - un program capabil de a se înmulţi, strecurîndu-se printre
programele de pe un calculator sau dintr-o reţea şi provocînd diverse efecte, de la unele
inofensive, pana la unele distructive.2
O definiţie ceva mai academica, spune ca virusul este de fapt un acronim, provenit de la Vital Information Resources Under Siege.3
1 I.Roşca, N.Ţăpuş, Internen şi Intranet concepte şi aplicaţii, Bucureşti 2000.2 Radames Evdochimov, Note de curs Conceptele de bază ale Tehnologiei Informaţiei şi Sistemuluide calcul, Bălţi, 2010
3 Mojzi Mihai, Securitatea sistemelor de calcul şi a reţelelor de calculatoare,Bucureşti,2009
5
Aceste programe au, de regulă, proprietatea să se autoreproduce, ataşîndu-se altor
programe şi executînd operaţii nedorite şi uneori de distrugere. Dimensiunile mici ale
programului-virus reprezintă o caracteristică importantă, întrucît autorii ţin foarte mult ca
produsul lor cu intenţii agresive să nu fie observat cu uşurinţă.
Aşa cum am menţionat deja, cînd un virus infectează un disc, de exemplu, el se
autoreproduce, ataşîndu-se la alte programe, inclusiv la programele vitale ale sistemului. Ca şi in
cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioadă de
mai multe zile sau săptămîni, timp in care, orice disc introdus in sistem poate fi infectat cu o
copie ascunsa a virusului. Atunci cînd apar, efectele sunt diferite, variind de la mesaje glumeţe la
erori în funcţionarea programelor de sistem sau ştergeri catastrofice a tuturor informaţiilor de pe
un hard disk. De aceea nu este indicat să se plece de la ipoteza ca un virus nu înseamna ceva mai
mult decît o gluma. In general, cei care construiesc viruşi sunt programatori autentici, cu
experienţă bogata şi cu cunoştinţe avansate în limbajul de programare pe care îl folosesc.
Elaborarea de viruşi este uneori şi o activitate de grup, în care sunt selectaţi, antrenaţi şi plătiţi cu
sume uriaşe specialiştii de înaltă clasa.
Virusul informatic este, aşadar, un program rău intenţionat, introdus în memoria
calculatorului, care la un moment dat devine activ, atacînd prin distrugere sau alterare fişiere sau
autocopiindu-se în fişiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate la
rîndul său să infecteze alte programe.
Virusul este caracterizat de următoarele proprietăţi:
- poate modifica fişiere şi programe ale utilizatorilor, prin inserarea în acestea a întregului
cod sau numai a unei părţi speciale din codul sau ;
- modificările pot fi provocate nu numai programelor, ci şi unor grupuri de programe;
- are nevoie şi poate să recunoască dacă un program a fost deja infectat pentru a putea
interzice o noua modificare a acestuia.
Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori
acelaşi fişier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai
infectez".
Viruşii ajung într-un calculator atunci când copiaţi fişiere de pe un alt calculator (via
dischete), când preluaţi fişiere din Internet, în general prin transferul de date între două două
sisteme, dintre care cel sursă posedă date infectate.
Unii viruşi sunt programaţi să monitorizeze data sistemului şi să acţioneze numai la o
anumită dată (de exemplu, Michelangelo se activează în ziua de 6 Martie, ziua de naştere a
marelui artist italian) sau în momentul când sunt îndeplinite anumite condiţii de sistem (de
6
exemplu, Stoned se activează la fiecare a opta bootare). Până la îndeplinirea condiţiilor de
activare, aceşti viruşi nu atacă sistemul, ci doar se înmulţesc infectând şi alte programe.
Atâta timp cât numărul de fişiere infectate este relativ mic, prezenţa lor în calculator
practic nu se observă. Dar după o perioadă de timp, unele programe încetează să mai lucreze iar
altele încep să lucreze incoerent şi afişează pe ecran diferite mesaje neînţelese. În acest moment
majoritatea programelor utilizate mai frecvent sunt deja infectate, chiar mai mult, este posibil ca
unele programe infectate să fie transmise şi altor calculatoare.
Denumirea de virus a fost folosită pentru prima dată în literatura de specialitate de
expertul american Fred Cohen (în 1983), care a atras atenţia asupra unor programe care au două
caracteristici tipice:
Sunt capabile să realizeze copii după ele însele (se reproduc) şi să infecteze alte programe
prin includerea codului lor în noile programe care devin gazde;
Sunt capabile să execute o acţiune definită, în particular să distrugă alte programe.
Programul-virus trebuie să fie de dimensiuni reduse ca să nu fie observat. De aceea,
programele virus se scriau la începuturi în limbaj de asamblare de către programatori calificaţi.
La ora actuală se foloseşte pentru scrierea viruşilor şi limbajul C dar şi VBA (Visual Basic for
Application, limbajul folosit pentru scrierea macro-urilor în programele pachetului Microsoft
Office). Unii programatori au făcut aceste programe în glumă, fără a-şi da seama de urmări; alţii,
în semn de răzbunare (de exemplu, contra firmei care l-a concediat). Autorii au dat viruşilor
nume răsunătoare cum ar fi: Dark Avenger, Aids, sau Thanksgiving. În orice caz,
programele-virus se pot răspândi la toate calculatoarele compatibile cu acele pentru care au fost
scrise.
La ora actuală, pe lângă termenul clasic de virus, din categoria programelor care produc
efecte nedorite fac parte şi următoarele:
Vierme – program care-şi creează copii pe alte calculatoare într-o reţea. De exemplu
Explore-Zip care se retransmite ca un ataşament de mail aparent arhivat. Acesta a distrus o
mulţime de PC-uri în iunie 1999.
Cal troian – program care execută o acţiune mascată. Se ascunde, de regulă, într-o funcţie
atractivă, care să determine utilizatorul să-l lanseze. De exemplu, pretinde a fi un accesoriu sau
un update la un driver.
Backdoor – un cal troian care permite accesul unui hacker la un alt calculator prin
intermediul Internetului (sau a oricărei reţele TCP/IP). Este construit din două componente:
server şi client. Serverul trebuie pornit pe calculatorul ce urmează a fi spionat. Prin client,
hackerul controlează de la distanţă calculatorul victimei.
Hoax – fals avertisment cu privire la programe sau mail-uri presupus periculoase.
7
În forma cea mai generală virusii se împart în:
Virusi hardware
Virusi software
Virusi hardware sunt mai rar întâlniţi, acestia fiind de regulă livraţi odată cu
echipamentul. Majoritatea sunt virusi software, creaţi de specialistii în informatică, foarte abili si
buni cunoscători ai sistemelor de calcul, în special al modului cum lucrează software-ul de bază
si cel aplicativ.
Din punct de vedere al capacităţii de multiplicare virusii se împart în două categorii:
Virusi care se reproduc, infectează si distrug
Virusi care nu se reproduc, dar se înfiltrează în sistem si provoacă distrugeri fără să lase
urme (Worms).
În funcţie de tipul distrugerilor în sistem se disting:
Virusi care provoacă distrugerea programelor în care sunt inclusi;
Virusi care nu provoaca distrugeri, dar incomodează lucrul cu sistemul de calcul, se
manifestă prin încetinirea vitezei de lucru, blocarea tastaturii, afisarea unor mesaje sau imagini
nejustificate.
Virusi cu mare putere de distrugere, care provoacă incidente pentru întreg sistemul, cum
ar fi: distrugerea tablei de alocare a fisierelor de pe hard disk, modificarea continutului
directorului rădăcină, alocarea integrală si irecuperabilă a informaţiei existente.
Primii virusi atacau programele gazdă. De exemplu “Brain” care înlocuia numele
volumului dischetei cu al sau, “Vendredi13” care crestea dimensiunea programelor cu 512
octeţi.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au
reacţionat însă prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
să infecteze un program, fără ca alterarea să fie prea ostentativă.
Odată introdus pe disc, a doua fază a vieţii unui virus este autoprogramarea. Virusii
încearcă să infecteze cât mai multe programe, înainte de a ataca propriu-zis. Pentru a opera cât
mai eficient virusii îsi lasă semnatura în fiecare program infectat, pentru a nu-l contamina încă
odata. Pe acest principiu lucrează si antivirusii, adică pe reperarea unei intruziuni. Ei analizeaza
unităţiile de disc pentru a căuta semnăturile cunoscute. Această tehnica prezintă însă un defect
major: virusul trebuie identificat, deci tabela de semnături trebuie să fie reactualizată.
Viruşii au forme de manifestare cît se poate de diverse. Uni se mulţumesc să afişeze
mesaje de pace sau să cînte o melodie. Alţii perturbă lucrul utilizatorului, însă fără consecinţe
8
prea dramatice. De exemplu “KeyPress” duce la apariţia pe ecran a şirului “AAAAA”, dacă se
apasă tasta “A”. Cei mai neplăcuţi viruşi sunt cei care sunt programaţi pentru distrugerea datelor:
ştergeri, formatări per disc, bruiaj de informaţii, modificări în bazele de date, etc.
Uneori viruşii atacau după o lunga perioadă de somnolenţă. De exemplu “Golden Gate”
nu devine agresiv decît după ce a infectat 500 de programe, “Cyber Techb” nu a acţionat decît
pînă în 1993.
În manualul de utilizare al MS-DOS, Microsoft împarte viruşii în trei categorii:
Viruşi care infectează sistemul de boot
Viruşi care infectează fişierele
Viruşi Cal Troian
Totuşi o clasificare mai amănunţită a viruşilor ar arata astfel:
Armmati – o formă mai recentă de viruşi, care conţin proceduri ce implică dezasamblarea
şi analiza de către un antivirus, editorii fiind nevoiţi să-şi dubleze eforturile pentru a dezvolta
antidotul ex.: “Whale”.
Autoecriptori – înglobează în corpul lor metode de criptare sofisticare făcînd detecţia
destul de dificilă. Din fericire, pot fi descoperiţi prin faptul ca încorporează o rutină de decriptare
ex.: “Cascade”.
Camarazii – sunt avantajaţi de o particularitate a DOS-ului, care execută programele .com
înaintea celor .exe. Fişierul original nu se modifică şi poate trece de testul antiviruşilor
avansaţi. Odată lansat fişierul respectiv, ceea ce se execută nu este fişierul .com, ci fişierul .exe
infectat. Acest lucru determină propagarea viruşilor şi la alte aplicaţii.
Furişaţi (stealth) – aceşti viruşi îşi maschează prezenţa prin deturnarea întreruperilor
DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fişier executabil a
crescut, deci este infectat. Exemplu: “512”, “Atheus”, “Brain”, “Damage”, “Gremlin”,
“Holocaust” şi “Telecom”.
Infecţie multiplă – cu cîţiva ani în urmă viruşii erau repartizaţi în două grupuri bine
separate: cei care infectau programele şi cei care operau asupra sectorului de boot şi a tabelelor
de partiţii.
Poliformi – sunt cei mai sofisticaţi viruşi dintre cei întîlniţi pănă acum. Un “motor” de
mutaţii permite transformarea lor în mii de variante de cod diferite. Exemplu: “Andre”,
“Cheeba”, “Dark Avenger”, “Phoenix 2000”, “Maltese Fish” etc.
Viruşi ai sectorului de boot ai tabelelor de partiţii – ei infectează şi/sau cealaltă dintre
aceste zone critice ale dischetei sau hard disk –ului. Infectarea sectorului de boot este
periculoasă, deoarece la pornirea calculatorului codul special MBP (Master Boot Program) de
per dischetă de execuţie înainte de DOS. Dacă acolo este prezent un virus, s-ar putea să nu fie
9
repetabil. Tabelele de partiţii conţin informaţii despre organizarea structurii discului, ele
neputînd fi contaminate ci doar stricate. Majoritatea antiviruşilor actuali pot detecta o infecţie în
MBP, propunînd în general suprimarea MBP-ului şi înlocuirea lui cu o formă sănătoasă.
Exemplu: ”Alameda”, “Asthar”, “Bloodie”, “Cannabis”, “Choos”.
Se poate suspecta că un calculator a fost infectat, dacă prezintă una sau mai multe din
simptomele următoare:
Încărcarea programelor în memorie, pentru execuţie, durează mai mult decît la utilizarea
anterioară. Operaţiile care solicită intens accesul la memorie devin lente.
Spaţiul ocupat de fişiere pe hard disk creşte foarte mult, creşte dimensiunea fişierelor
(virusul se ataşează acestora).
Se produc accese nejustificate ale dischetei sau hard disk-ului.
Se semnalează erori de protecţie la scriere nejustificate (virusul accesează discheta pentru a
scrie pe ea).
Apar caractere ciudate în lista de fişiere a unui director (virusul se auto-stochează într-o
zonă de date a discului, deghizîndu-se într-un fişier).
Pe monitor, apar mesaje ciudate (virusul Stoned afişează mesajul Your PC is stoned,
virusul One Half afişează mesajul Dis is one half).
Anumite programe se blochează sau pur şi simplu nu mai rulează (virusul strică fişierul
executabil).
În fişiere document sau în bazele de date, apar caractere ciudate în locul informaţiilor
memorate (virusul strică fişierele cu date).
Într-un top al celor mai răspîndiţi 10 viruşi, publicat de revista CHIP în numărul 1 din
2000, pe primul loc s-a situat virusul Melissa. Acesta este primul exemplu de succes al unui virus
care se răspîndeşte activ prin Internet. El se transmite primelor 50 de adrese de mail, pe care le
găseşte în agenda Outlook. La 26 martie 1999 s-a răspîndit cu o viteză uluitoare, ca nici un alt
virus înaintea sa, prin Internet. Virusul de macro se găseşte într-un document Word, activîndu-se la
deschiderea acestuia. Melissa nu are o funcţie distrugătoare, dar a condus în multe firme la
supraîncărcarea serverelor de mail.
Deşi este plasat doar pe locul 4, în topul viruşilor, virusul CIH este primul care atacă
programul BIOS, paralizînd astfel hardware-ul. În plus, o parte a hard disk-ului este suprascrisă
astfel încît un megabyte este distrus, iar restul devine inaccesibil. Pentru recuperarea datelor există
programul MRECOVER (http://members.xoom.com/monirdomain). O variantă a acestui virus
se activează la 26 aprilie, altele la 26 a fiecărei luni. Autorul lui este studentul în informatică de 23
de ani, din Taiwan, Chen Ing-Hau.
10
Controversata problema a viruşilor de calculatoare a născut ideea că orice virus poate fi
combătut, adică depistat şi anihilat. Cu toate acestea, există programatori care susţin ca pot
construi viruşi ce nu pot fi detectaţi şi distruşi.
1.2SCURT ISTORIC, NOŢIUNI ŞI CONCEPTE ALE SISTEMELOR DE SECURITATE
Pornind de la conceptul bine experimentat că este mai puţin costisitor sa previi decît să
tratezi, este necesar să se acorde o atenţie deosebită problemei viruşilor. Intr-o formă simplistă,
lupta împotriva viruşilor s-ar putea rezuma la o singura fraza: trebuie îmbunătăţite programele şi
curăţate dischetele înaintea introducerii lor in unitatea centrala.
Exista astăzi mai multe organizaţii internaţionale care se ocupa cu problemele viruşilor pe
calculator. Una dintre acestea se numeşte CARO - Computer Anti-virus Researcher
Organisation, şi este o organizaţie constituită din cei mai reputaţi experţi din lume care se ocupa
cu standardizarea şi clasificarea viruşilor. Incă din anul 1990 a fost înfiinţatş o instituţie
specializata în acest domeniu, numita EICAR - Institutul European pentru Cercetarea
Programelor Anti-Virus. Aceasta organizaţie s-a bucurat de un real succes, mai ales în întalnirile
cu vînzătorii de programe.
In decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software, astăzi
foarte la modă. Tot in acelaşi an, dar in luna aprilie, firma Central Point Anti-Virus a lansat
produsul CPAV.
Există mai multe publicaţii internaţionale pe aceasta temă, iar Internet-ul abundă de
materiale şi informaţii. Cea mai importanta revista internaţionala dedicata raportării şi analizei
viruşilor se numeşte Virus Bulletin. De la lansarea sa în iulie 1989, revista a monitorizat noile
dezvoltări din domeniul programării viruşilor şi a evaluat cele mai actualizate instrumente şi
tehnici pentru combaterea ameninţării reprezentate de viruşi.
In lupta împotriva viruşilor este necesar să se cunoască cele mai importante şi eficiente
mijloace, metode şi tehnici care pot fi utilizate în acest scop. Pentru aceasta, este nevoie sa ne
familiarizam cu cîteva noţiuni şi concepte specifice.
Suma de control (Checksum) este o valoare numerică obţinută din octeţii individuali ai
unui fişier. Împreuna cu data creării, mărimea şi atributele DOS ale fişierului, suma de control
este memorată în fişiere de tip lista de control. De obicei, are lungimea de 32 sau 64 biţi.
Un alt termen des utilizat este CRC. Acronimul lui "Cycled Redundancy Check", in
traducere - "Control Redundant Ciclic", el reprezintă o metodă matematică folosită pentru
verificarea integrităţii datelor. Este o forma de suma de control, care se bazează pe teoria
11
polinoamelor de lungime maxima. Deşi este mai sigura decît cea bazată pe o simplă sumă de
control, metoda CRC nu oferă totuşi o adevărata securitate criptografica.
O secventa de octeţi sau, mai general, o combinaţie de secvenţe variabile, prin care
programele Antivirus încearcă sa identifice viruşii se numeşte semnătura unui virus (virus
signature).
Operaţia prin care se elimina un virus dintr-un fişier sau dintr-un sistem se numeşte
dezinfecţie (clean). Desigur, contaminarea unui calculator cu un virus informatic se numeşte
infecţie (infection).
Tehnica prin care se adaugă unui program executabil o porţiune de cod, pentru a se asigura
autoverificarea sa, în aşa fel încît suma sa de control să fie verificată înainte ca programul
propriu-zis să se execute, se numeşte imunizare (immunization). Orice modificare făcută
programului poate fi deci verificată şi execuţia refuzată. Aceasta tehnica poate provoca multe
probleme deoarece ea interferă adesea cu programul pe care încearcă sa-l protejeze.
Atunci cînd se generează o amprentă (o informaţie de control) pentru un fişier spunem că s-
a efectuat o inoculare (inoculate). Este suficient apoi să se compare această amprentă cu alta
calculată ulterior pentru a detecta alterarea eventuală a fişierului de către un virus.
12
CAPITOLUL II
UTILIZAREA ÎN PRACTICA A ANTIVIRUŞILOR
2.1 DETECTAREA ŞI ELIMINAREA VIRUŞILOR, PROGRAME DE PROTECŢIE ANTIVIRUS
Fiecare virus conţine un mecanism de autorecunoaştere. În felul acesta se poate evita
contaminarea repetată a aceluiasi fişier, cu acelaşi tip de virus. Dacă un virus nu se autorecunoaşte
el este foarte uşor de descoperit, deoarece prin includeri repetate în acelaşi program, lungimea
programului infectat creşte continuu pînă cînd lungimea devine prea mare. În acest caz sistemul de
operare afişează mesajul "Program too big to fit in memory""Program too big to fit in memory" şi execuţia este abandonată.
Mecanismele de autorecunoaştere sunt diferite, cel mai simplu este însă semnăturasemnătura
virusului. Prin semnătură se înţelege un şir de caractere hexazecimale specific virusului, şir care
nu apare (cu mare probabilitate) în altă parte. Semnătura este deci diferită de la virus la virus, are
lungime variabilă care de regulă nu depăşeşte 80 de octeţi.
De exemplu virusul cunoscut sub numele FU MANCHUFU MANCHU, codificat FUFU, are semnătura
"72454D484F72", codul are lungimea 2086 octeţi, se instalează la începutul fişierelor de tip
.COM şi la sfârşitul fişierelor de tip .EXE şi provoacă reîncărcarea aleatoare a sistemului la cald
(adică prin Ctrl+Alt+Delete).
Înainte de a infecta un nou fişier, virusul testează dacă semnătura sa este prezentă în corpul
fişierului la care urmează să fie cuplat. Dacă semnătura există, atunci procesul de contaminare nu
mai are sens (ar creşte prea repede dimensiunea programului), şi este abandonat.
Algoritmul de funcţionare al unui program ce conţine virus este următorul:
1. Încărcarea şi lansarea programului virusat.
1. Salt din program la secvenţa de virus care preia controlul.
1. Verificarea condiţiilor de distrugere. Dacă condiţiile sunt îndeplinite, se trece la
pasul 6, în caz contrar se continuă cu pasul 4.
1. Dacă virusul nu este în memorie, atunci se instalează rezident pentru a infecta noi
programe.
1. Se execută programul original. Virusul rămîne în memorie şi se trece la pasul 7.
1. Se execută distrugerile conform secvenţei de program a virusului. În funcţie de
rezultat, calculatorul poate fi folosit sau nu în continuare.
1. Se redă controlul sistemului de operare.
13
Mulţi programatori şi organizaţii victime ale răspîndirii viruşilor elaborează programe
proprii de detectare şi eliminare a acestora. Practic, pentru toţi viruşii cunoscuţi există deja
programe care îi detectează şi elimină. Procesul de detectare a viruşilor se bazează pe
recunoaşterea semnăturii. În cazul în care se detectează semnătura unui virus cunoscut se va
raporta existenţa acestuia. Dacă se cunosc tipurile de fişiere care pot fi infectate cu un anumit virus,
procesul de detectare poate fi mărginit doar la acestea.
Programele de eliminare a virusului ca şi programele de detectare verifică toate fişierele. În
cazul în care s-a găsit un fişier infectat se încearcă efectuarea operaţiei inverse procesului de
infectare, se încearcă refacerea stării iniţiale a fişierului. Nu toate fişierele infectate pot fi refăcute.
Fişierele care nu pot fi refăcute devin inutilizabile şi de regulă se elimină.
Operaţiile care se execută în scopul detectării viruşilor şi refacerii fişierelor sunt specifice
fiecărui virus. De obicei fiecare program detectează şi lichidează mai mulţi viruşi cunoscuţi, dar nu
poate fi scris un program care ar detecta şi lichida orice virus. De aceea, fiecare utilizator trebuie să
fie conştient de faptul că maşina sa poate fi infectată oricînd de un virus care nu este detectat de
programele antivirus care le foloseşte.
Motivul care a făcut posibil fenomenul virusului de calculator îl reprezintă lipsa mijloacelor
eficiente de protecţie contra acceselor neautorizate. În legătură cu aceasta, diverse firme şi
programatori au început să elaboreze programe care să reducă acest neajuns.
Aceste programe se află permanent în memoria calculatorului (sunt rezidente) şi
interceptează orice acţiune suspectă din partea programului în execuţie (acţiuni specifice viruşilor).
Printre acţiunile suspecte sunt considerate şi următoarele:
Modificarea fişierelor .EXE şi .COM;
Scrieri directe pe disc (la adrese absolute);
Formatarea discului;
Utilizarea unor programe rezidente.
La orice încercare de a efectua astfel de acţiuni, pe ecran apare un mesaj care comunică
acţiunea solicitată şi care program o solicită. Utilizatorul poate permite executarea ei sau o poate
interzice.
Modul de protecţie antivirus descris mai sus are o mulţime de neajunsuri:
Programul antivirus, fiind încărcat rezident în memoria operativă, micşorează
volumul de memorie accesibilă utilizatorului;
Pot fi cazuri în care un program are de efectuat multe operaţii "suspecte" şi
utilizatorul va trebui de fiecare dată să le confirme, fapt care măreşte timpul de execuţie al
programului;
Există viruşi care nu sunt detectaţi de programele antivirus rezidente.
14
Avantajul acestei metode constă în faptul că viruşii se detectează în etapa iniţială de
infectare, cînd încă n-au reuşit să se înmulţească sau să strice ceva pe disc.
Majoritatea programelor antivirus pot fi întrerupte la comanda utilizatorului (de exemplu, în
cazul în care un program are nevoie de multă memorie). De aceea se recomandă folosirea
programelor antivirus rezidente în mod permanent sau tot timpul cît acest lucru este posibil.
Comanda de lansare a programului antivirus poate fi inclusă în fişierul AUTOEXEC.BAT
(sub DOS) sau în folderul StartUp (sub Windows). În cazul executării unor programe care cer
multă memorie operativă, programul antivirus poate fi oprit, apoi lansat din nou. Dacă sunt indicii
că în lipsa antivirusului programele care s-au executat puteau fi infectate, se recomandă
reîncărcarea sistemului de operare şi executarea unui program de detectare a viruşilor.
Pentru a putea alege un program antivirus cît mai bun este important ca acsesta să ofere
următoarele facilităţi esenţiale:
Posibilitatea de verificare selectivă pentru discuri, directoare şi fişiere (facilitate
utilă în momentul în care nu doriţi să verificaţi întreg hard disk-ul ci numai directorul în care
aţi salvat fişierele preluate din Internet sau de pe alt calculator).
Capacitatea de a verifica şi dezinfecta fişiere din arhive în format ZIP sau ARJ.
Realizarea unei verificări a memoriei şi hard disk-ului înaintea instalării (lucru
necesar pentru a evita instalarea pe un sistem deja infectat).
Verificarea integrităţii fişierelor, prin intermediul sumelor de control.
Posibilitatea de analiză euristică (facilitatea este foarte importantă în cazul viruşilor
care îşi schimbă semnătura la fiecare infecţie).
Prezenţa unei componente rezidente (TSR – task stay resident) care să verifice toate
acţiunile care se execută în sistem.
Prezenţa unui scheduler, pentru programarea unei verificări la o anumită oră şi
într-o anumită zi din lună.
Lista viruşilor pe care îi poate detecta.
Afişarea unui raport de stare în urma activităţii desfăşurate de antivirus.
Posibilitatea de actualizare automată (prin descărcare din Internet) cu noii viruşi
apăruţi şi acordarea de asistenţă tehnică.
2.2. INSTALAREA UNUI ANTIVIRUS ŞI MODUL DE ACŢIUNE ÎN CAZUL
INFECTĂRII CALCULATORULUI
15
Este bine să fie instalat pe calculatorul personal mai mult de un program antivirus (de
obicei două, dar nu mai mult de trei) şi să realizaţi actualizarea fiecăruia cel puţin în fiecare lună,
dacă este posibil, chiar mai des.
Majoritatea utilizatorilor cunosc faptul că pentru interzicerea scrierii informaţiilor pe
dischete trebuie obturată fanta respectivă. Aceasta metodă se foloseşte pentru protecţia dischetelor
etalon, care conţin fişiere arhivă, programe şi date ce pot fi utilizate, dar nu se permite modificarea
lor.
Chiar şi discul Winchester poate fi protejat la scriere. Acest lucru se poate realiza prin
împărţirea lui în discuri logice, unele discuri logice pot fi protejate la scriere astfel încît toate
fişierele pe care le conţin sunt "apărate" de modificări, în particular de infectarea cu viruşi.
Protecţia la scriere poate fi instalată/dezinstalată în orice moment. Ca urmare, mai întîi se
scriu fişierele şi apoi se instalează protecţia. Dacă trebuie modificate unele fişiere sau trebuie scrise
fişiere noi pe disc, se scoate protecţia pentru acest timp, după care se reinstalează.
Pentru a vă proteja calculator faţă de acţiunile viruşilor este bine să respectaţi următoarele
reguli:
1. Protejaţi-vă dischetele la scriere cînd le introduceţi în calculatoare a căror integritate
este suspectă.
2. Scoateţi dischetele/CD-urile/DVD-urile din unitate la pornirea calculatorului.
3. Configuraţi BIOS-ul astfel încît bootarea să se încerce întîi de pe discul C:.
4. Folosiţi un program antivirus bun pentru a verifica fişierele pe care urmează să le
copiaţi pe o dischetă.
5. Folosiţi pentru instalarea programelor numai suporturi originale, protejate la scriere,
care poartă sigla firmei producătoare.
6. Nu instalaţi software pirat, în special jocuri.
7. Folosiţi întotdeauna componentele rezidente în memorie ale antivirusului pe care îl
aveţi instalat.
8. Verificaţi întregul spaţiu de stocare pe care îl aveţi la dispoziţie o dată la două
săptămâni.
9. Verificaţi fişierele preluate din Internet sau printr-o reţea.
10. Păstraţi la îndemînă o dischetă/CD sistem (care să conţină şi driverele mai
importante).
Vom instala un ativirus gratuit, pentru a descarca şi instala programul antivirus gratuit AVG
Free Edition pe calculatorul personal este necesar să fie urmaţi pasii de mai jos:
16
Pasul 1: Se accesează pagina oficiala de download a programului gratuit AVG Free Edition disponibilă la adresahttp://free.avg.com/ww-en/free-antivirus-download, apoi se derulează pană în partea inferioara şi se accesează butonul Download:
Pasul 2: In pagina urmatoare se apasă butonul Download Now pentru a incepe descarcarea programului antivirus gratuit AVG Free Edition pe calculatorul personal:
17
18
Pasul 3: Se apasă butonul Run din fereastra de confirmare aparută în partea inferioară pentru a incepe descarcarea şi instalarea programului antivirus gratuit AVG Free Edition pe calculatorul tau:
19
Pasul 4: Se aşteaptă descărcarea şi verificarea programului de instalare a antivirus-ului gratuit AVG Free Edition:
Pasul 5: La intrebarea de confirmare a instalării programului antivirus gratuit AVG Free Edition ne asigurăm că numele Verified Publisher este AVG Technologies şi se apasă butonul Yes:
20
Pasul 6: Apoi aşteaptă extragerea fisierelor descărcate pentru instalarea programului antivirus gratuit AVG Free Edition:
Pasul 7: Citim acordul de licenţă pentru folosirea programului antivirus gratuit AVG Free Edition şi dacă suntem de acord se apasă pe butonul Accept:
Pasul 8: Se selectează optiunea Basic protection şi se apasă butonul Next pentru a continua instalarea programului antivirus gratuit AVG Free Edition pe calculatorul personal:
21
Pasul 9: Se selectează opţiunea Custom install şi se apasă butonul Next pentru a continua instalarea programului antivirus gratuit AVG Free Edition:
Pasul 10: Dacă folosim alt program de email decît Microsoft Outlook atunci se selectează optiunea Personal E-mail Scanner pentru a activa protecţia antivirus pentru programul tau de email. Apoi se apasă butonul Next pentru a continua instalarea programului antivirus gratuit AVG Free Edition pe calculatorul personal:
22
Pasul 11: SE DE-selectează opţiunile din pagina urmatoare pentru a nu aduce modificări modului în care accesăm internetul. Apoi se apasă butonul Next pentru continuarea instalării programului antivirus gratuit AVG Free Edition:
Pasul 12: Se aşteaptă descarcarea componentelor necesare pentru instalarea programului antivirus gratuit AVG Antivirus Free Edition pe calculatorul personal:
23
Pasul 13: Configurarea componentelor programului antivirus gratuit AVG Free Edition se face automat in urma descarcarii:
Pasul 14: Urmeaza apoi copierea fisierelor descarcate pentru a instala programul
antivirus gratuit AVG Free Edition pe calculatorul tau:
24
Pasul 15: INtre timp va aparea pe ecranul calculatorului tau casuta de informare a
programului antivirus gratuit AVG Free Edition. Ulterior vei putea folosi aceasta casuta
pentru a lansa scanari ale calculatorului sau actualizari ale programului:
Pasul 16: Urmeaza ultima fereastra a etapei de descarcare si instalare a
programului antivirus gratuit AVG Free Edition pe calculatorul tau. Alege optiunile care ti
se potrivesc si apasa pe butonul Restart Now deoarece este necesar ca sistemul de
operare sa fie actualizat pentru rularea in conditii optime a programului antivirus gratuit
AVG Free Edition:
Paul 17: Dupa re-pornirea calculatorului tau programul antivirus gratuit AVG Free
Edition pe care tocmai l-ai instalat te va intampina cu fereastra de scanare initiala a
25
sistemului. Scanarea va avea loc in fundal si nu consuma multe resurse, deci poti
apasa cu incredere pe butonul Start the scan now:
Pasul 18: In partea dreapta-jos va aparea notificarea programului antivirus gratuit
AVG Free Edition:
Pasul 19: La incheierea scanarii calculatorului tau programul antivirus gratuit AVG
Free Edition iti va afisa o notificare cu rezultatele scanarii. Scanarea poate dura pana la
o ora iar la incheierea ei poti avea siguranta ca ai un calculator curat:
Pasii de mai sus exemplifica descarcarea si instalarea programului antivirus gratuit
AVG Free Edition pe un calculator cu Microsoft Windows 7 si Internet Explorer 9. Daca
descarci si instalezi programul antivirus gratuit AVG Free Edition folosind un sistem de
operare sau un browser diferit este posibil ca imaginile sa difere putin; totusi pasii de
descarcare si instalare raman aceiasi.
Utilizarea programelor antivirus permite detectarea viruşilor în etapa iniţială de infectare,
cînd încă nu au fost infectate alte programe. În acest caz trebuie încărcat sistemul de operare de pe
dischetă, şters programul infectat şi înlocuit cu unul neinfectat. Pentru a verifica că virusul nu a
infectat nici un fişier, trebuie lansat de pe dischetă un program de detectare a viruşilor.
Este bine să se ştie dacă pentru virusul descoperit există sau nu programe de detectare şi
eliminare. Pentru a găsi programul dorit se lansează pe rând toate programele disponibile de
26
detectare şi lichidare a virusilor. Dacă un program dintre acestea raportează că a găsit virusul, el va
fi folosit în continuare pentru a detecta toate programele infectate de pe toate discurile. Fişierele
care nu pot fi refăcute în acest proces trebuie distruse.
Dischetele etalon de pe care se încarcă în aceste cazuri sistemul de operare şi programul de
detectare trebuie să fie protejate fizic la scriere. Tot de pe această dischetă trebuie lansat programul
antivirus. Aceste măsuri vor permite lichidarea urmărilor infectării cu pierderi minimale.
Se recomandă folosirea în permanenţă a unui program antivirus şi întreţinerea în stare
funcţională a copiilor de arhivă. Programul antivirus trebuie utilizat neapărat când se lansează în
execuţie un program străin despre care nu se ştie dacă este infectat sau nu. Dacă se dispune de mai
multe programe de detectare a viruşilor, se recomandă verificarea oricărei dischete înainte de
utilizare.
La ora actuală există un număr important de programe antivirus printre care amintim:
- RAV (Romanian AntiVirus) este unul din cei doi antiviruşi produşi integral în România.
Nu numai că este un produs românesc, dar acest antivirus este printre puţinele care au o
recunoaştere internaţională semnificativă;
- Symantec a lansat la îneputul toamnei 1999, versiunea 6.0 a recunoscutului antivirus pe
care îl produce, Norton Antivirus, care de altfel a fost etichetat 2000;
- Programul SCANSCAN a fost elaborat de firma McAfeeMcAfee, care este cunoscută pentru produsele
sale foarte eficiente pentru prevenirea şi combaterea viruşilor calculatoarelor compatibile IBM-PC;
- BitDefender Online Scanner este un instrument antivirus si antispyware cu care poți
verifica starea de securitate al calculatorului tău folosind premiatele motoare de scanare
BitDefender;
- Kaspersky Anti-Virus este o aplicaţie de securitate ce protejează foarte bine calculatorul
impotriva atacurilor informatice.
Orice program care garantează siguranţa trebuie procurat şi folositOrice program care garantează siguranţa trebuie procurat şi folosit!
27