Istoria Virusilor

Istoria virusilor
  Istoria virusilor de calculatoare este lunga si interesanta. Dar ea a devenit cu adevarat palpitanta abia din momentul in care a inceput sa se dezvolte industria PC-urilor. Pe masura ce dezvoltarea acestor calculatoare noi progresa, a devenit posibila si accesarea a mai mult de un program intr-un singur computer. In acelasi timp, s-a manifestat si o reactie impotriva a tot ceea ce insemna computerul. Aceasta tendinta are radacini mai vechi, dar impactul computerelor de tip PC a fost aaa de mare, incat si reactiile impotriva acestora au inceput sa se faca mai evidente. 
In anul 1986, niste programatori de la Basic&Amjad au descoperit ca un anumit sector dintr-un floppy disk contine un cod executabil care functiona de cate ori porneau computerul cu discheta montata in unitate. Acestora le-a venit ideea inlocuirii acestui cod executabil cu un program propriu. Acest program putea beneficia de memorie si putea fi astfel copiat in orice discheta si lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupand doar 360 KB dintr-un floppy disc. 
  In acelasi an, programatorul Ralf Burger a descoperit ca un fisier poate fi facut sa se autocopieze, atasand o copie intr-un alt director. El a facut si o demonstratie despre acest efect pe care l-a numit VirDem (Virus Demonstration). Acesta a reprezentat un prim exemplu de virus, autentic dar destul de nevinovat, intrucat nu putea infecta decat fiserele cu extensia .COM. 
La scurt timp au inceput sa apara numerosi virusi, fabricati peste tot in lume. Ei au evoluat rapid, luand diverse forme si ingloband idei din ce în ce mai sofisticate. 
  Iata o scurta dar spectaculoasa evolutie a fabricarii in serie in toate colturile lumii si lansarii pe piata a virusilor: 
- in anul 1990 erau cunoscuti si catalogati 300 de virusi 
- in anul 1991 existau peste 1000 de virusi 
- in anul 1994 erau inregistrati peste 4000 de virusi 
- in anul 1995 s-au inregistrat peste 7000 de virusi 
  Anul 1995 este cunoscut ca fiind si anul in care a inceput sa apara conceptul de macrovirus, devenind în scurt timp o adevărată ameninţare, deoarece erau mult mai uşor de fabricat decât părinţii lor viruşii. Aceştia nu erau adresaţi numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi folosiţi pentru orice program, uşurându-se calea de apariţie a cunoscuţilor microvirusi care au infestat fişierele la acea vreme produsul Lotus AmiPro. 
  Primul dintre macroviruşi a fost cel folosit în Word si Word Basic. În luna iulie 1996 a apărut si primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel. 
 
  Ce este un virus de calculator?
  Nu ne-am propus în aceste capitole să lămurim complet problema si să discutăm toate particularităţile referitoare la viruşii calculatoarelor. Ne-am propus doar să abordăm acest subiect din punct de vedere al realităţii obiective, pornind de la faptul că aceşti viruşii există, sunt o realitate de multă vreme si fac mult rău. Ne-am propus, totodată, să înţelegem mai bine ce reprezintă aceşti viruşi ai calculatoarelor, cum se răspândesc ei, ce ameninţă si cum ne putem apăra împotriva lor. În fine, vom prezenta câteva exemple, dintre cele mai concludente, si vom descrie pagubele produse. În fine, vom discuta si despre metodele practice de a combate acest flagel. 
  Mai precizăm că aceste capitole nu au deloc pretenţia de a epuiza subiectul. Ele se adresează acelor utilizatori care folosesc calculatorul aproape zilnic dar nu-l cunosc suficient de bine. Ca urmare, nu vom oferi nici un lucru nou pentru programatorii, inginerii de sistem sau administratorii de sisteme, baze de date sau aplicaţii. Cu alte cuvinte, nu-i vom putea ajuta în mod deosebit pe adevăraţii specialişti ai calculatoarelor, interesaţi de această problemă în cele mai mici detalii. 
  A fost cu adevărat o mare surpriză pentru omenire atunci când a descoperit, acum câteva decenii, si a trebuit să accepte ideea existentei unor viruşi de altă natură decât cea biologică. 
Un virus de calculator, sau virus informatic aşa cum i se mai spune, nu este altceva decât un program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. Acest program are, de regulă, proprietatea că se autoreproduce, ataşându-se altor programe si executând operaţii nedorite si uneori de distrugere. 
  Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii ţin foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă. 
Aşa cum am menţionat deja, când un virus infectează un disc, de exemplu, el se autoreproduce, ataşându-se la alte programe, inclusiv la programele vitale ale sistemului. Ca si în cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioadă de mai multe zile sau săptămâni, timp în care, orice disc introdus în sistem poate fi infectat cu o copie ascunsă a virusului. 
  Atunci când apar, efectele sunt diferite, variind de la mesaje glumeţe la erori în funcţionarea programelor de sistem sau ştergeri catastrofice a tuturor informaţiilor de pe un hard disk. De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă. 
  În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată si cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este uneori si o activitate de grup, în care sunt selectaţi, antrenaţi si plătiţi cu sume uriaşe specialiştii de înaltă clasă. 
  Virusul informatic este, aşadar, un program rău intenţionat, introdus în memoria calculatorului, care la un moment dat devine activ, atacând prin distrugere sau alterare fişiere sau autocopiindu-se în fişiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate la rândul său să infecteze alte programe. 
  Virusul este caracterizat de următoarele proprietăţi: 
- poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod sau numai a unei părţi speciale din codul său 
- modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe 
- are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o nouă modificare a acestuia. 
  Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori acelaşi fişier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai infectez". 
  Controversata problemă a viruşilor de calculatoare a născut ideea că orice virus poate fi combătut, adică depistat si anihilat. Cu toate acestea, există programatori care susţin că pot construi viruşi ce nu pot fi detectaţi si distruşi. Este cazul unui grup de programatori polonezi care au anunţat pe Internet, în urmă cu câţiva ani, că pot construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, conţinea câteva idei interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap utilizatorilor de servicii Internet. Supăraţi de faptul că lumea a exagerat atât de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceşti programatori intenţionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare". După părerea lor, ar putea fi construiţi viruşi care pot distruge cu mult mai mult decât a făcut-o "I Love You", adică o pagubă la scară planetară estimată atunci la circa 6 miliarde de dolari SUA. În plus, autorii au expus metode noi de reproducere a viruşilor, fără posibilităţi prea mari de a putea fi depistaţi si anihilaţi. 
Intenţiile, făcute publice de aceşti indivizi, păreau dintre cele mai diabolice. Din fericire, se pare că acest plan diabolic nu a fost până la urmă dus la capăt, ameninţările acestor indivizi oprindu-se doar la faza de proiect. Totuşi, aceste ameninţări au putut avea măcar efectul unui adevărat semnal de alarmă. A fost avertizată întreaga omenire că pot exista si din acest punct de vedere ameninţări dintre cele mai serioase care, desigur, nu ar trebui deloc neglijate. 
 
Clasificarea viruşilor

  Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de şantaj si constrângere. 
  Viruşii pot fi clasificaţi după diferite criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi. Totuşi, o enumerare a acestora este benefică, deoarece ea reflectă diversitatea caracteristicilor si tipurilor de viruşi.
  Iată o astfel de clasificare, oferind pentru câteva variante mai interesante si unele detalii (în această prezentare a fost preferată ordinea alfabetică, pentru a putea fi consultată ca pe un dicţionar): 
  Bacteria - este programul care se înmulţeşte rapid si se localizează în sistemul gazdă, ocupând procesorul si memoria centrală a calculatorului, provocând paralizia completă a acestuia. 
  Bomba (Bomb) - este un mecanism, nu neapărat de tip viral, care poate provoca în mod intenţionat distrugerea datelor. Este de fapt ceea ce face faima viruşilor. Pentru utilizator efectele pot varia de la unele amuzante, distractive, până la adevărate catastrofe, cum ar fi ştergerea tuturor fişierelor de pe hard disk. 
  Bomba cu ceas (Timer bomb) - este un virus de tip bombă, numit si bombă cu întârziere, programat special pentru a acţiona la un anumit moment de timp. Este de fapt, o secvenţă de program introdusă în sistem, care intră în funcţiune numai condiţionat de o anumită dată si oră. Această caracteristică foarte importantă face ca procesul de detectare să fie foarte dificil, sistemul putând să funcţioneze corect o bună perioadă de timp. Acţiunea lui distructivă este deosebită, putând şterge fişiere, bloca sistemul, formata hard disk-ul si distruge toate fişierele sistem. 
  Bomba logică (Logic bomb) - este un virus de tip bombă, care provoacă stricăciuni atunci când este îndeplinită o anumită condiţie, precum prezenta ori absenta unui nume de fişier pe disc. De fapt, reprezintă un program care poate avea acces în zone de memorie în care utilizatorul nu are acces, caracterizându-se prin efect distructiv puternic si necontrolat. O astfel de secvenţă de program introdusă în sistem, intră în funcţiune numai condiţionat de realizarea unor condiţii prealabile. 
  Calul troian (Trojan horse) - reprezintă programul care, aparent este folositor, dar are scopul de distrugere. Este un program virus a cărui execuţie produce efecte secundare nedorite, în general neanticipate de către utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparentă de funcţionare normală. 
Calul troian este un program pe calculator care apare pentru a executa funcţii valide, dar conţine ascunse în codul său instrucţiuni ce pot provoca daune sistemelor pe care se instalează şi rulează, deseori foarte severe. 
  Un exemplu foarte cunoscut astăzi de un astfel de program este cel numit Aids Information Kit Trojan. 
  Pe un model de tip "cal troian" s-a bazat marea păcăleală care a stârnit multă vâlvă la sfârşitul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care păreau să conţină informaţii despre SIDA, au fost expediate de la o adresă bine cunoscută din Londra, către corporaţii, firme de asigurări si profesionişti din domeniul sănătăţii, din Europa si America de Nord. Destinatarii care au încărcat discurile pe calculatoarele lor, au avut surpriza să descopere destul de repede că acolo se aflau programe de tip "cal troian", toate extrem de periculoase. Aceste programe au reuşit să şteargă complet datele de pe hard disk-urile pe care au fost copiate. 
Programele de tip "cal-troian" mai conţin o caracteristică importantă. Spre deosebire de viruşii obişnuiţi de calculator, aceştia nu se pot înmulţi în mod automat. Acest fapt nu constituie însă o consolare semnificativă pentru cineva care tocmai a pierdut zile si luni de muncă pe un calculator. 
  Viermele (Worm) - este un program care, inserat într-o reţea de calculatoare, devine activ într-o staţie de lucru în care nu se rulează nici un program. El nu infectează alte fişiere, aşa cum fac adevăraţii viruşi. Se multiplică însă în mai multe copii pe sistem si, mai ales, într-un sistem distribuit de calcul. În acest fel "mănâncă" din resursele sistemului (RAM, disc, CPU etc.). 
  Virus (Virus) - este un program care are funcţii de infectare, distructive si de incorporare a copiilor sale în interiorul altor programe. Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Noţiunea mai generală se referă adesea cu termenul de "virus informatic". Este de fapt un program care are proprietatea că se autocopiază, astfel încât poate infecta părţi din sistemul de operare şi/sau programe executabile. Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică este relativ bună pentru a descrie acţiunea unui virus informatic în lumea reală. 
  Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea iniţială a procesului de încărcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al sectorului de boot (încărcare) atacă fie sectorul de încărcare principal, fie sectorul de încărcare DOS de pe disc. Toţi viruşii sectorului de încărcare modifică într-un anume fel conţinutul sectorului de boot. Modificările sectorului de boot nu trebuie să fie prea extinse: unii viruşi mai noi din această categorie sunt capabili să infecteze discul fix, modificând doar zece octeţi din acest sector. 
  Virus ataşat (Appending virus) - este un virus care îşi ataşează codul la codul existent al fişierului, nedistrugând codul original. Primul care se execută atunci când se lansează fişierul infectat este virusul. Apoi, acesta se multiplică, face sau nu ceva stricăciuni, după care redă controlul codului original si permite programului să se execute normal în continuare. Acesta este modul de acţiune al unui "virus clasic". 
  Virus companion (Companion virus) - este un virus care infectează fişiere de tip .EXE prin crearea unui fişier COM având acelaşi nume si conţinând codul viral. El speculează o anumită caracteristică a sistemului DOS prin care, dacă două programe, unul de tip .EXE si celălalt de tip .COM, au acelaşi nume, atunci se execută mai întâi fişierul de tip .COM. 
  Virus criptografic (Crypto virus)- un virus care se infiltrează în memoria sistemului si permite folosirea absolut normală a intrărilor si transmiterilor de date, având proprietatea că, la o anumită dată, se autodistruge, distrugând în acelaşi timp toate datele din sistem si făcându-l absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de către emiţător aflat la distanţă, prin transmiterea unei comenzi corespunzătoare. 
  Virus critic (Critical virus) - este un virus care pur si simplu se înscrie peste codul unui fişier executabil fără a încerca să păstreze codul original al fişierului infectat. În cele mai multe cazuri, fişierul infectat devine neutilizabil. Cei mai mulţi viruşi de acest fel sunt viruşi vechi, primitivi, existând însă şi excepţii. 
  Virus cu infecţie multiplă (multi-partite virus) - este un virus care infectează atât sectorul de boot, cât si fişierele executabile, având caracteristicile specifice atât ale viruşilor sectorului de încărcare, cât si ale celor paraziţi. Acest tip de virus se ataşează la fişierele executabile, dar îşi plasează codul si în sistemul de operare, de obicei în MBR sau în sectoarele ascunse. Astfel, un virus cu infecţie multiplă devine activ dacă un fişier infectat este executat sau dacă PC-ul este încărcat de pe un disc infectat. 
  Virus de atac binar - este un virus care operează în sistemul de "cal troian", conţinând doar câţiva biţi pentru a se putea lega de sistem, restul fiind de regulă mascat ca un "program neexecutabil" 
  Virus de legătură (Link virus) - este un virus care modifică intrările din tabela de directoare pentru a conduce la corpul virusului. Ca si viruşii ataşaţi, viruşii de legătură nu modifică conţinutul însuşi al fişierelor executabile, însă alterează structura de directoare, legând primul pointer de cluster al intrării de directoare corespunzătoare fişierelor executabile la un singur cluster conţinând codul virusului. Odată ce s-a executat codul virusului, el încarcă fişierul executabil, citind corect valoarea cluster-ului de start care este stocată în altă parte. 
  Virus detaşabil (File jumper virus) - este un virus care se dezlipeşte el însuşi de fişierul infectat exact înaintea deschiderii sau execuţiei acestuia şi i se reataşează atunci când programul este închis sau se termină. Această tehnică este foarte eficientă împotriva multor programe de scanare si scheme de validare, deoarece programul de scanare va vedea un fişier "curat" si va considera că totul este în regulă. Aceasta este o tehnică de ascundere (stealth). 
  Virus invizibil (Stealth virus) - este un virus care îşi ascunde prezenta sa, atât faţă de utilizatori, cât si faţă de programele antivirus, de obicei, prin interceptarea serviciilor de întreruperi. 
  Virus morfic (Morphic virus) - un virus care îşi schimbă constant codul de programare si configurarea în scopul evitării unei structuri stabile care ar putea fi uşor identificată şi eliminată. 
  Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruşii nerezidenţi în memorie nu rămân activi după ce programul infectat a fost executat. El operează după un mecanism simplu si infectează doar executabilele atunci când un program infectat se execută. Comportarea tipică a unui astfel de virus este de a căuta un fişier gazdă potrivit atunci când fişierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă. 
  Virus parazit (Parasitic virus) - este un virus informatic, care se ataşează de alt program si se activează atunci când programul este executat. El poate să se ataşeze fie la începutul programului, fie la sfârşitul său, ori poate chiar să suprascrie o parte din codul programului. Infecţia se răspândeşte, de obicei, atunci când fişierul infectat este executat. Clasa viruşilor paraziţi poate fi separată în două: viruşii care devin rezidenţi în memorie după execuţie şi cei nerezidenţi. Viruşii rezidenţi în memorie tind să infecteze alte fişiere, pe măsură ce acestea sunt accesate, deschise sau executate. 
  Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat, pentru a ocoli sistemele de protecţie acolo unde se instalează. El este criptat si automodificabil. Un virus polimorfic adaugă aleator octeţi de tip "garbage" (gunoi) la codul de decriptare si/sau foloseşte metode de criptare/decriptare pentru a preveni existenta unor secvenţe constante de octeţi. Rezultatul net este un virus care poate avea o înfăţişare diferită în fiecare fişier infectat, făcând astfel mult mai dificilă detectarea lui cu un scaner. 
  Virus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât, chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fişier, să invoce o rutină "trigger" (de declanşare a unei anumite acţiuni) sau să monitorizeze activitatea sistemului. Aproape toţi viruşii care infectează MBR-ul sunt viruşi rezidenţi. În general, viruşii rezidenţi "agaţă" codul sistemului de operare. 
Marea majoritate a viruşilor actuali folosesc tehnici de ascundere. Există si un termen des folosit în acest domeniu; el se numeşte stealth (ascundere) si desemnează tehnicile folosite de anumiţi viruşi care încearcă să scape de detecţie. De exemplu, un lucru pe care-l pot face viruşii rezidenţi, este să intercepteze comenzile (funcţiile) DOS de tip DIR si să raporteze dimensiunile originale ale fişierelor, si nu cele modificate datorită ataşării virusului. Tehnicile Spawning si File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate. 
  Viruşii spioni - Pe lângă numeroşii viruşi, cunoscuţi la această oră în lumea calculatoarelor, există o categorie aparte de astfel de "intruşi", care au un rol special: acela de a inspecta, în calculatoarele sau reţelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la proprietar, la o anumită dată şi în anumite condiţii, un raport complet privind "corespondenta" pe Internet si alte "acţiuni" efectuate de către cel spionat prin intermediul calculatorului. 
Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de poştă electronică şi aşteaptă cuminte până apar condiţiile unui răspuns la aceeaşi adresă. Cât timp se află în reţea, acesta culege informaţiile care îl interesează, le codifică într-un anumit mod, depunându-le într-o listă a sa si apoi le transmite la proprietar. 
Un virus de acest gen poate pătrunde şi se poate ascunde, de exemplu, într-un fişier tip "doc" primit printr-un e-mail. El îşi începe activitatea odată cu închiderea unui document activ, atunci când verifică dacă acesta a fost infectat cu o anumită parte din codul său special. 
Unii viruşi din această categorie îşi i-au măsuri ca să nu fie depistaţi si distruşi de programele de dezinfectare. 
Într-o secvenţă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze diferite mesaje si acţiuni, le adaugă la lista sa secretă şi aşteaptă condiţiile ca să le transmită la destinatar, nimeni altul decât cel care l-a expediat. 
În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca şi cum în casa noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete şi nesecrete şi, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care aşteaptă. 
Din păcate, viruşii spioni sunt de multe ori neglijaţi. Nici chiar programele de dezinfectare nu sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o acţiune distructivă directă. 
Totuşi, pagubele pot fi uneori însemnate, nemaipunând la socoteală şi faptul că nimeni pe lumea aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare. Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intruşi" există şi pot pătrunde în viaţa noastră şi pe această cale. 
Un astfel de virus spion a fost descoperit de un student în primăvara anului 1999, în reţeaua de calculatoare a dezvoltătorilor de software ai Direcţiei Informatică din CS Sidex SA. Deşi la această oră este cunoscut si numele celui care a promovat virusul cu pricina, o firmă de software din Bucureşti, din motive lesne de înţeles nu-i vom dezvălui numele aici. Scris în limbajul VBS, virusul nu a apucat să-şi facă "datoria", aceea de a colecta informaţii confidenţiale şi diferite tipuri de documente active, deoarece a fost depistat la timp si înlăturat. Prezentăm, totuşi, pe scurt, descrierea acestuia şi modul său de acţiune: 
- virusul a apărut în reţea printr-un document de tip ".doc" ataşat unui mesaj de poştă electronică 
- el s-a declanşat odată cu închiderea documentului respectiv 
- câteva linii speciale de cod ale virusului se autocopiau în anumite documente active si template-uri 
- la închiderea documentului respectiv, verifica dacă a reuşit infestarea, apoi actualiza un fişier propriu cu anumite informaţii de genul: data si ora, numele taskului lansat, adresa etc. 
- cu adresa captată, prin intermediul FTP expedia la destinaţie lista cu informaţiile culese, împreună cu documentul infestat 
- transmiterea se făcea în ziua de 1 a fiecărei luni, în condiţiile în care protecţia de pe calculatorul gazdă era nulă. 
Un program care acţionează în acest mod este cunoscut în literatura de specialitate cu numele de spyware (spion). 
O serie de viruşi de e-mail, precum celebrul Melissa, încearcă să trimită documente confidenţiale - personale sau ale companiei la care lucraţi. Iar dacă celebrul cal troian numit "Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului PC oricui va solicita acest lucru. 
Chiar si în condiţiile în care sistemul este bine protejat împotriva atacurilor din exterior, este posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectaţi la Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web. 
Unele programe spyware sunt instalate în mod automat atunci când vizitaţi un anumit site de Web ce face apel la ele. Altele sunt instalate împreună cu aplicaţii de tip shareware sau freeware. Instalarea se produce uneori fără a fi conştienţi de ea sau chiar acceptabilă prin apăsarea butonului Yes fără citirea textului licenţei de utilizare. 
În presă au fost acuzate o serie de aplicaţii spyware pentru inventarierea software-ului instalat pe sistemul utilizatorului, scanarea Registrului, căutarea de informaţii confidenţiale, toate acestea fiind trimise apoi către anumite site-uri de Web. Adevărul este că nici o astfel de acuzaţie nu s-a dovedit întemeiată. Programele spyware nu sunt denumite astfel pentru că ele "fură" informaţii private ci pentru modul secret în care acţionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea utilizatorului. 
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de recepţionat mesaje publicitare, afişează aceste informaţii în programele asociate si încearcă să ajusteze mesajul publicitar preferinţelor si obiceiurilor utilizatorilor. Altele colectează informaţii statistice pentru clienţii lor. Toate aceste programe pretind că vă protejează informaţiile private si la o analiză atentă se dovedeşte că au dreptate. Informaţiile nepersonale ce sunt adunate de aceste programe ar putea fi totuşi folosite într-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea compromite securitatea. 
Iată câteva exemple de acest gen. Unul dintre acestea se referă la programul Comet Cursors, care nu este altceva decât un control ActiveX realizat si oferit de firma Comet Systems (www.cometsystems.com). Acesta permite site-urilor de Web ce au licenţiat acest control să ofere cursoare ciudate, animate si variat colorate. În funcţie de setările securităţii din browser-ul de Web, controlul ActiveX, semnat digital si certificat, se poate transfera si instala fără a vă cere permisiunea si fără cunoştinţa dvs. El contorizează numărul de vizitatori de pe site-urile de Web afiliate folosind tocmai aceste cursoare. Programul asociază fiecărui utilizator un număr de identificare unic, un ID, în aşa fel încât să poată raporta numărul de vizitatori distincţi. Nu se urmăreşte o persoană reală, ci doar raportarea acestor vizitatori ca număr. 
În acest mod, totuşi, firma intră în posesia adresei dvs. de IP. Prin aceasta se poate face legătură cu persoana, prin linia închiriată. Astfel, se poate afla prin ce furnizor de Internet vă conectaţi la reţea. 
O dezinstalare a acestui program nu poate fi făcută cu multă uşurinţă. De aceea, uneori este nevoie de a apela chiar la firma în cauză pentru a solicita un program de dezinstalare. 
Un alt exemplu este produsul TSAdBot, de la firma Conducent Technologies, fostă TimeSink. El este distribuit prin intermediul mai multor programe shareware si freeware, printre care si versiunea de Windows a utilitarului popular de comprimare PKZip. Rolul său este acela de a transfera de la site-ul său reclame si a le afişa în timpul rulării programului respectiv. Programul raportează sistemul de operare, adresa de IP a furnizorului de servicii Internet, Id-ul programului pe care îl folosim si numărul de reclame diferite ce au fost afişate. Poate, de asemenea, transmite când s-a făcut clic pe un banner publicitar precum si răspunsurile la un chestionar, dacă acesta a fost completat la instalarea produsului. 
În timp ce rulaţi un program care înglobează si acest produs, acesta din urmă se foloseşte de conexiunea Internet pentru a trimite informaţii si a transfera mesajele publicitare. Doar un firewall personal, precum ZoneAlarm, vă poate avertiza de producerea acestui lucru. 
Dezinstalarea unui astfel de program este si ea o operaţie care poate da bătăi de cap utilizatorilor. Uneori este necesar să fie dezinstalate toate programele care îl folosesc pentru a fi siguri că acest produs dispare definitiv din calculatorul dvs. 
În acelaşi mod acţionează si produsul Aureate DLL de la Radiate.com, instalat de pe sute de programe freeware si shareware si care, în timp ce afişează bannere publicitare atunci când programul rulează, transferă reclamele de la site-ul Radiate si raportează înapoi informaţii despre ce reclame au fost vizionate si pe care s-a făcut clic si datele unui chestionar propriu care a fost completat la instalare sau care poate reapărea la un anumit timp de la instalarea iniţială. Dezinstalarea programului originar nu elimină si DLL-ul, care continuă să funcţioneze independent. 
În plus faţă de celelalte programe, Aureate DLL introduce si o breşă în securitatea sistemului gazdă, un lucru apreciat de specialişti ca fiind foarte periculos. Un hacker rău intenţionat ar putea redirecta produsul să se conecteze la site-ul său. Astfel, acel server ar putea să preia controlul lui Aureate DLL si să-l determine să transfere fragmente periculoase de cod care apoi vor fi lansate în execuţie. 
Linia de demarcaţie dintre analizele demografice necesare marketingului si invadarea spaţiului privat a fost ştearsă cu mult înainte de inventarea spyware-ului. În momentul de faţă, utilizatorul este bombardat de mesaje publicitare trimise prin poştă electronică la anumite adrese. De fiecare dată când participaţi la un concurs, completaţi un chestionar sau dacă trimiteţi un talon pentru vreo reducere, sunteţi adăugaţi la baza de date a vânzătorului. Oamenii ce lucrează în marketing îşi doresc să afle cele mai mici aspecte ale vieţii cumpărătorilor, în aşa fel încât ei să fie "atinşi" de mesajele publicitare. Unii oameni par să nu fie deranjaţi de acest lucru, simţindu-se bine să primească scrisori si cataloage care se potrivesc propriilor interese si pasiuni. Dacă acest lucru nu vi se potriveşte, atunci va trebui să staţi în permanentă alertă. 
Iată si câteva sfaturi privind securitatea acestor chestiuni: 
- verificaţi setările de securitate ale browser-ului Web pentru a fi sigur că nici un control ActiveX nu poate fi instalat fără ştirea dvs. În Internet Explorer 5, alegeţi Options din meniul Tools si selectaţi tab-ul Security si setaţi opţiunile complete pentru a elimina astfel de posibilităţii 
- de fiecare dată când instalaţi un program sau un utilitar citiţi cu atenţie licenţa însoţitoare, chiar dacă vi se pare un lucru inutil. Dacă sunt menţionate sisteme integriste de livrare a reclamelor, folosirea în background a conexiunii Internet sau orice altceva ce duce la spyware, s-ar putea să vă gândiţi la abandonarea instalării. Si dacă, chiar după ce v-aţi luat aceste precauţii, noul joc sau utilitar afişează bannere dinamice, o idee bună ar fi să vă documentaţi în amănunt cu privire la funcţionarea lui. 
- puteţi afla destul de multe informaţii de pe site-ul de Web al producătorului programului spyware. Este bine să consultaţi aceste informaţii înainte de a instala un produs de tip shareware sau freeware. 
- apelaţi la pagina de Web ShieldsUp! de pe site-ul de Web Gibson Research care testează securitatea sistemului în acelaşi mod în care un hacker ar încerca să vadă dacă există vreo cale de atac. În fine, apelaţi site-ul OptOut (www.grc.com/optout.htm) de pe Internet, care oferă informaţii şi câteva instrumente pentru cei ce doresc să nu mai fie o sursă de informaţii de marketing prin intermediul programelor spyware. Există informaţii detaliate cu privire la toate programele spyware cunoscute, cu nume si adrese de Web ale furnizorilor, ce informaţii sunt culese si ce programe le integrează. Un astfel de utilitar costă mai puţin de 25 $ USA, preţ în care intră o perioadă nedefinită de actualizări gratuite ale bazei de date cu noi programe spyware. El localizează toate programele spyware din sistem şi oferă posibilitatea eliminării lor. El caută în sistem aplicaţii spyware cunoscute, raportează existenţa lor şi execută eliminarea fişierelor în cauză. În anumite variante, programul este oferit si gratuit. Un cunoscut specialist în acest domeniu, Neil J. Rubenking, este de părere că până acum nu există nici o dovadă că programele declarate spyware adună informaţii confidenţiale sau că fac o legătură între aceste informaţii si persoane individuale. S-ar putea să consideraţi că cedarea unor anumite informaţii non-personale este micul preţ ce trebuie plătit pentru programele gratuite. Dar posibilitatea de a se abuza de aceste informaţii există, aşa că este important să ştiţi cu cine vă partajaţi conexiunea la Internet.    Alte exemple de viruşiPrezentăm mai jos pe scurt câţiva dintre cei mai cunoscuţi viruşi, mai vechi si mai noi: Brain - a apărut pentru prima dată la Universitatea din Maryland, fiind creat de doi fraţi din Lahore, Pakistan. După trei luni de la apariţie s-au numărat peste 100.000 de copii răspândite în întreaga lume. Într-una din variantele sale virusul înlocuieşte numele volumului de dischetă cu numele său. Cascade - produs în Germania. Charlie - creat în anul 1987 de Frany Swoboda, virus care făcea ca un program să se autocopieze de opt ori. Cyber-Tech-B - a fost programat să acţioneze numai pe data de 13.12.1993. Dark Avenger - fabricat în Bulgaria în anul 1990, care conţinea două noi idei: a) infestarea programelor foarte rapid, b) producerea pagubelor să se facă foarte subtil, pentru a nu putea fi detectat o perioadă de timp. Data Crime - introduce o semnătură de 1168 octeţi. Form - se instalează în sectorul de boot al discului infectat si cauzează generarea unui sunet, de fiecare dată când se apasă o tastă. Virusul se declanşează numai pe data de 18 a fiecărei luni. Odată cu sunetul se afişează pe ecran si un mesaj obscen la adresa unei persoane numite Corrinne, ca si când ar fi vorba de o răzbunare de natură erotică a unui bun informatician. Golden Gate - devine agresiv doar după ce a infectat nu mai puţin de 500 de programe. I Love You - a apărut pe Internet prin intermediul unui mesaj de e-mail, transmis prin Outlook sau MIRC, care conţinea un fişier ataşat cu titlul tentant: "LOVE-LETTER-FOR-YOU.txt.vbs". Dând impresia că este un mesaj inofensiv (fişier cu extensia .TXT), la un dublu-clic sistemul îl execută, deoarece, în realitate, el este un fişier de tip VBScript. Virusul acţionează prin distrugerea registrelor sistemului, rescrierea fişierelor cu extensia .DLL, .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP3, .MP2 si scripturile MIRC (cel mai popular program dedicat Chat-urilor pe Internet). Mulţi s-au lăsat păcăliţi, astfel că mass-media a anunţat o pagubă la scară mondială de peste 6 miliarde dolari SUA. În Bucureşti, un grup de studenţi a reuşit în timp util să capteze virusul si să-i anihileze efectele. Jerusalem - virusul are o origine care la vremea când a fost lansat a fost socotit ca fiind un atac terorist, datorită acţiunii distructive ce programa distrugerea de proporţii a datelor la data împlinirii a 40 de ani de la desfiinţarea statului palestinian si faptului că a fost văzut pentru prima dată la Universitatea Evreiască din Ierusalim. Virusul se reproduce în interiorul executabilelor binare ale sistemului de operare DOS, fără a verifica noile infestări. O altă variantă a acestui virus, denumită "Jerusalem B", este mult mai îmbunătăţită si timp de câţiva ani a reprezentat cel mai mare pericol în reţelele de tip Novell. O altă variantă a acestui virus se activează în fiecare zi de vineri pe 13 si şterge fişierul în loc să îl infesteze. KeyPress - afişează pe ecran şirul "AAAAA" atunci când se apasă o tastă. Lehigh - infectează fişierul de comenzi MS-DOS numit COMMAND.COM şi se multiplică dintr-odată în patru copii. A apărut în toamna anului 1987, creat probabil de un student de la Universitatea Lehigh. Maltese Amoebae - de asemenea, virus de tip polimorf. Michelangelo - apărut în 1992, a făcut prăpăd în multe din calculatoare, cu toate că presa a reuşit să informeze foarte repede despre apariţia acestui virus. Se declanşează în fiecare zi de 6 martie. Natas - citit invers înseamnă Satan. A apărut în Statele Unite si în America Latină. Virusul poate infecta sectorul de boot, tabela de partiţii, precum si toate fişierele care au extensiile .COM sau .EXE si care au fost executate cel puţin odată. OneHalf - produs în Cehoslovacia. Pathgen - produs în Anglia. Stone - apărut în Noua Zeelandă, făcea să apară pe monitor mesajul "PC-ul tău este de piatră". Suriv 01, 02, 03 - citit invers, înseamnă Virus. Tequila - virus de tip polimorf, apărut în Elveţia. Tip.2475 - este o ruletă rusească foarte periculoasă. A apărut în Rusia şi s-a răspândit imediat si în tara noastră. Corupe memoria flash si suprascrie discul hard în Windows 9x. VBS BubbleBoy - virus de tip "vierme", infectează corpul unui mesaj e-mail. Originar din Argentina, are o mărime de 4992 octeţi si este scris în VBScript. El funcţionează pe platforme Windows cu Internet Explorer 5.0 si Outlook 98/2000 sau Outlook Express. Vendredi 13 - măreşte dimensiunea programelor infectate cu 512 octeţi. Vienna - introduce o semnătură de 648 octeţi. Yale - creat în SUA. Primul dintre macroviruşi este cunoscut ca fiind cel folosit în Word si Word Basic. În iulie 1996 a apărut microvirusul ZM.Laroux care avea menirea de a da peste cap Microsoft Excel. Cum ne apărăm împotriva viruşilorPornind de la conceptul bine experimentat că este mai puţin costisitor să previi decât să tratezi, este necesar să se acorde o atenţie deosebită problemei viruşilor. Într-o formă simplistă, lupta împotriva viruşilor s-ar putea rezuma la o singură frază: trebuie îmbunătăţite programele şi curăţate dischetele înaintea introducerii lor în unitatea centrală. Există astăzi mai multe organizaţii internaţionale care se ocupă cu problemele viruşilor pe calculator. Una dintre acestea se numeşte CARO - Computer Anti-virus Researcher Organisation, şi este o organizaţie constituită din cei mai reputaţi experţi din lume care se ocupă cu standardizarea si clasificarea viruşilor. Încă din anul 1990 a fost înfiinţată o instituţie specializată în acest domeniu, numită EICAR - Institutul European pentru Cercetarea Programelor Anti-Virus. Această organizaţie s-a bucurat de un real succes, mai ales în întâlnirile cu vânzătorii de programe. În decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software, astăzi foarte la modă. Tot în acelaşi an, dar în luna aprilie, firma Central Point Anti-Virus a lansat produsul CPAV. Există mai multe publicaţii internaţionale pe această temă, iar Internet-ul abundă de materiale si informaţii. Cea mai importantă revistă internaţională dedicată raportării şi analizei viruşilor se numeşte Virus Bulletin. De la lansarea sa în iulie 1989, revista a monitorizat noile dezvoltări din domeniul programării viruşilor si a evaluat cele mai actualizate instrumente si tehnici pentru combaterea ameninţării reprezentate de viruşi. În lupta împotriva viruşilor este necesar să se cunoască cele mai importante si eficiente mijloace, metode si tehnici care pot fi utilizate în acest scop. Pentru aceasta, este nevoie să ne familiarizăm cu câteva noţiuni si concepte specifice. Suma de control (Checksum) este o valoare numerică obţinută din octeţii individuali ai unui fişier. Împreună cu data creării, mărimea şi atributele DOS ale fişierului, suma de control este memorată în fişiere de tip listă de control. De obicei, are lungimea de 32 sau 64 biţi. Un alt termen des utilizat este CRC. Acronimul lui "Cycled Redundancy Check", în traducere - "Control Redundant Ciclic", el reprezintă o metodă matematică folosită pentru verificarea integrităţii datelor. Este o formă de sumă de control, care se bazează pe teoria polinoamelor de lungime maximă. Deşi este mai sigură decât cea bazată pe o simplă sumă de control, metoda CRC nu oferă totuşi o adevărată securitate criptografică. O secvenţă de octeţi sau, mai general, o combinaţie de secvenţe variabile, prin care programele antivirus încearcă să identifice viruşii se numeşte semnătura unui virus (virus signature). Operaţia prin care se elimină un virus dintr-un fişier sau dintr-un sistem se numeşte dezinfecţie (clean). Desigur, contaminarea unui calculator cu un virus informatic se numeşte infecţie (infection). Tehnica prin care se adaugă unui program executabil o porţiune de cod, pentru a se asigura autoverificarea sa, în aşa fel încât suma sa de control să fie verificată înainte ca programul propriu-zis să se execute, se numeşte imunizare (immunization). Orice modificare făcută programului poate fi deci verificată si execuţia refuzată. Această tehnică poate provoca multe probleme deoarece ea interfera adesea cu programul pe care încearcă sa-l protejeze. Atunci când se generează o amprentă (o informaţie de control) pentru un fişier spunem că s-a efectuat o inoculare (inoculate). Este suficient apoi să se compare această amprentă cu alta calculată ulterior pentru a detecta alterarea eventuală a fişierului de către un virus. Un program antivirus care caută fişiere infectate, analizând secvenţe identificabile ca aparţinând unor viruşi cunoscuţi (aşa numitele "semnături" de virus) se numeşte program de scanare (scanner). Programele de scanare au diverse limitări, printre care, cea mai importantă este faptul că ele nu pot căuta decât viruşi deja identificaţi sau cunoscuţi. Un software antivirus (anti-virus software) reprezintă un produs program utilizat pentru a identifica si deseori pentru a furniza mijloacele necesare eliminării viruşilor de pe sistemele infectate. Acest proces este denumit frecvent "curăţare" sau "dezinfectare". Un software de dezinfecţie (desinfection software) nu este altceva decât un program care încearcă să îndepărteze viruşii de pe discurile infectate, astfel încât să restaureze elementele infectate la starea lor anterioară. Dat fiind faptul că adesea viruşii sunt polimorfi (schimbaţi de o manieră subtilă), software-ul de dezinfectare poate să facă greşeli cu consecinţe potenţial catastrofale pentru integritatea datelor. Detecţia viruşilor sectorului de încărcare este cu mult mai fezabilă decât cea a fişierelor executabile, iar utilizarea programelor de sistem (DEL, SYS, FDISK si FORMAT) reprezintă adesea o soluţie preferabilă. Vaccinul este un program pe calculator realizat pentru a oferi o protecţie împotriva viruşilor de calculator. Adăugând un cod scurt la fişiere, de declanşează o alarmă atunci când un virus încearcă să modifice fişierul. Vaccinurile mai sunt numite si programe de imunizare. Autorii răuvoitori de viruşi ai calculatoarelor ştiu de existenta programelor de vaccinare si antivirus si unii dintre ei se ocupă cu crearea de noi viruşi care să le contracareze. Dacă folosiţi calculatorul pentru afaceri sau aplicaţii profesionale vitale, protejaţi datele introducând în calculator numai copii noi, care nu au fost deschise, de programe obţinute direct de la producători. Din activitatea programelor anti-virus pot rezulta si alarme false. O monitorizare a procesului de dezinfectare este deseori foarte utilă. O metodă de detectare a fişierelor virusate constă în compararea periodică a fişierului cu cel original, din dată, oră si dimensiune. Aceste teste nu prezintă totală încredere deoarece atât data si ora, cât si dimensiunea fişierelor pot fi manipulate convenabil, fără a ne putea da seama dacă s-a umblat în fişierul original si dacă acesta a fost alterat. Există si alte elemente care pot fi verificate, cum ar fi sumele de control (check sum), mai de încredere, dar nu totală, prin care datele dintr-un fişier sunt însumate si trecute printr-un algoritm specific, rezultând un fel de semnătură pentru acel fişier. Sumele de control funcţionează pentru verificarea integrităţii unui fişier în cazul transferului dintr-un punct în altul. Pentru protecţie, lista sumelor de control este necesar a fi păstrată pe un server separat, chiar pe un mediu separat accesibil doar de root si de utilizatorii de încredere. Totuşi această tehnică este insuficientă când sunt atacuri sofisticate împotriva integrităţii fişierelor, existând pericolul ca la destinaţie să ajungă un fişier necorespunzător. Pe Internet se găsesc însă suficiente materiale referitoare la modul în care pot fi învinse sistemele care folosesc sume de control, multe dintre ele chiar prin acţiunea viruşilor. Multe dintre utilitarele antivirus folosesc o analiză a cifrei de control pentru a identifica activităţi de virusare. Există tehnici satisfăcătoare bazate pe calcularea unei amprente digitale (digital fingerprint) sau semnătură pentru fişiere. Algoritmii care realizează acest lucru fac parte din familia MD, cea mai cunoscută implementare fiind MD5. Aceasta este o funcţie neinversabilă (one-way) care generează semnătura digitală pentru un fişier prin intermediul unui algoritm de condensare a mesajului (message digest). Algoritmul preia la intrare un mesaj de o lungime arbitrară şi produce un rezultat pe 128 biţi denumit amprentă (fingerprint) sau rezumat (message digest). Algoritmul se bazează pe un concept conform căruia este imposibil prin prelucrare să se producă două mesaje cu acelaşi rezumat sau să se reconstituie un mesaj pornind de la un anumit rezumat. Algoritmul MD5 este proiectat pentru aplicaţii bazate pe semnături digitale, în care un fişier de dimensiuni mari trebuie comprimat într-un mod sigur înainte de a fi criptat cu o cheie privată (secretă). Un produs care utilizează algoritmul MD5 este S/Key dezvoltat de Bell Laboratories pentru implementarea unei scheme de parole unic valabile (one-time), care sunt aproape imposibil de spart, deşi parolele sunt transmise în clar, dar datorită faptului că parola fiind de unică valabilitate, nu mai este de nici un folos pentru un eventual intrus. O tehnică foarte interesantă aplicată în combaterea viruşilor se bazează pe utilizarea programelor automodificabile (self-modifying program). Acestea sunt programe care îşi schimbă deliberat propriul lor cod, cu scopul de a se proteja împotriva viruşilor sau copierilor ilegale. În acest mod devine foarte dificilă validarea prin mijloace convenţionale.  Cine ne apără ?În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă proteja sistemul împotriva viruşilor calculatoarelor : - nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu sunteţi sigur că ele sunt fără viruşi (eventual aţi văzut pe altcineva folosind programul fără probleme). - nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau în regim shareware, dacă nu se precizează că se verifică fiecare program vândut. - nu încărcaţi niciodată un program transmis de curând pe un sistem de buletine informative, până când el nu a fost verificat de operatorul de sistem. Când încărcaţi programul, faceţi-o pe un sistem cu două unităţi de dischetă, astfel încât el să nu se apropie de hard disk. - nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi. - cumpăraţi şi folosiţi programe recunoscute de detectare a viruşilor - instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze fişierele pe care le copiaţi în calculator. 

Acorda o nata acestui referat

1 (4 | 31%)
2 (4 | 31%)
3 (2 | 15%)
4 (3 | 23%)