Istoria virusilor de
calculatoare este lunga si interesanta. Dar ea a devenit cu adevarat
palpitanta abia din momentul in care a inceput sa se dezvolte
industria PC-urilor. Pe masura ce dezvoltarea acestor calculatoare
noi progresa, a devenit posibila si accesarea a mai mult de un program
intr-un singur computer. In acelasi timp, s-a manifestat si o reactie
impotriva a tot ceea ce insemna computerul. Aceasta tendinta are
radacini mai vechi, dar impactul computerelor de tip PC a fost asa
de mare, incat si reactiile impotriva acestora au inceput sa se faca
mai evidente.
In anul 1986, niste programatori de la Basic&Amjad au descoperit ca
un anumit sector dintr-un floppy disk contine un cod executabil care functiona
de cate ori porneau computerul cu discheta montata in unitate. Acestora
le-a venit ideea inlocuirii acestui cod executabil cu un program propriu. Acest
program putea beneficia de memorie si putea fi astfel copiat in orice discheta
si lansat de pe orice calculator de tip PC. Ei au numit acest program virus,
ocupand doar 360 KB dintr-un floppy disc.
In
acelasi an, programatorul Ralf Burger a descoperit ca un fisier
poate fi facut sa se autocopieze, atasand o copie intr-un alt
director. El a facut si o demonstratie despre acest efect pe care l-a
numit VirDem (Virus Demonstration). Acesta a reprezentat un prim exemplu de
virus, autentic dar destul de nevinovat, intrucat nu putea infecta decat fisierele
cu extensia .COM.
La scurt timp au inceput sa apara numerosi virusi, fabricati
peste tot in lume. Ei au evoluat rapid, luand diverse forme si ingloband idei
din ce in ce mai sofisticate.
Iata
o scurta dar spectaculoasa evolutie a fabricarii in serie in
toate colturile lumii si lansarii pe piata a virusilor:
- in anul 1990 erau cunoscuti si catalogati 300 de virusi
- in anul 1991 existau peste 1000 de virusi
- in anul 1994 erau inregistrati peste 4000 de virusi
- in anul 1995 s-au inregistrat peste 7000 de virusi
Anul
1995 este cunoscut ca fiind si anul in care a inceput sa apara
conceptul de macrovirus, devenind in scurt timp o adevarata
amenintare, deoarece erau mult mai usor de fabricat decat parintii
lor virusii. Acestia nu erau adresati numai anumitor platforme
specifice, precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel
incat ei puteau fi folositi pentru orice program, usurandu-se calea
de aparitie a cunoscutilor microvirusi care au infestat fisierele
la acea vreme produsul Lotus AmiPro.
Primul
dintre macrovirusi a fost cel folosit in Word si Word Basic. In luna iulie
1996 a aparut si primul microvirus cunoscut sub numele ZM.Laroux care era
destinat distrugerii produsului Microsoft Excel.
Ce
este un virus de calculator?
Nu ne-am propus in aceste capitole sa
lamurim complet problema si sa discutam toate particularitatile
referitoare la virusii calculatoarelor. Ne-am propus doar sa abordam
acest subiect din punct de vedere al realitatii obiective, pornind de
la faptul ca acesti virusii exista, sunt o realitate de multa
vreme si fac mult rau. Ne-am propus, totodata, sa intelegem
mai bine ce reprezinta acesti virusi ai calculatoarelor, cum se raspandesc
ei, ce ameninta si cum ne putem apara impotriva lor. In fine,
vom prezenta cateva exemple, dintre cele mai concludente, si vom descrie
pagubele produse. In fine, vom discuta si despre metodele practice de a combate
acest flagel.
Mai
precizam ca aceste capitole nu au deloc pretentia de a epuiza
subiectul. Ele se adreseaza acelor utilizatori care folosesc calculatorul
aproape zilnic dar nu-l cunosc suficient de bine. Ca urmare, nu vom oferi nici
un lucru nou pentru programatorii, inginerii de sistem sau administratorii de
sisteme, baze de date sau aplicatii. Cu alte cuvinte, nu-i vom putea ajuta
in mod deosebit pe adevaratii specialisti ai calculatoarelor, interesati
de aceasta problema in cele mai mici detalii.
A
fost cu adevarat o mare surpriza pentru omenire atunci cand a
descoperit, acum cateva decenii, si a trebuit sa accepte ideea existentei
unor virusi de alta natura decat cea biologica.
Un virus de calculator, sau virus informatic asa cum i se mai spune, nu
este altceva decat un program de dimensiuni mici, construit cu scopul de a face
o gluma sau de a sabota pe cineva. Acest program are, de regula,
proprietatea ca se autoreproduce, atasandu-se altor programe si
executand operatii nedorite si uneori de distrugere.
Dimensiunile
mici ale programului-virus reprezinta o caracteristica importanta,
intrucat autorii tin foarte mult ca produsul lor cu intentii agresive
sa nu fie observat cu usurinta.
Asa cum am mentionat deja, cand un virus infecteaza un disc, de
exemplu, el se autoreproduce, atasandu-se la alte programe, inclusiv la
programele vitale ale sistemului. Ca si in cazul unui virus real, efectele unui
virus al calculatorului pot sa nu fie detectate o perioada de mai
multe zile sau saptamani, timp in care, orice disc introdus in sistem
poate fi infectat cu o copie ascunsa a virusului.
Atunci
cand apar, efectele sunt diferite, variind de la mesaje glumete la erori
in functionarea programelor de sistem sau stergeri catastrofice a
tuturor informatiilor de pe un hard disk. De aceea nu este indicat sa
se plece de la ipoteza ca un virus nu inseamna ceva mai mult decat o gluma.
In
general, cei care construiesc virusi sunt programatori autentici, cu experienta
bogata si cu cunostinte avansate in limbajul de programare pe
care il folosesc. Elaborarea de virusi este uneori si o activitate de
grup, in care sunt selectati, antrenati si platiti cu sume
uriase specialistii de inalta clasa.
Virusul
informatic este, asadar, un program rau intentionat, introdus in
memoria calculatorului, care la un moment dat devine activ, atacand prin
distrugere sau alterare fisiere sau autocopiindu-se in fisiere aflate
pe diferite suporturi magnetice. Fiecare program infectat poate la randul sau
sa infecteze alte programe.
Virusul
este caracterizat de urmatoarele proprietati:
- poate modifica fisiere si programe ale utilizatorilor, prin inserarea in
acestea a intregului cod sau numai a unei parti speciale din codul
sau
- modificarile pot fi provocate nu numai programelor, ci si unor grupuri
de programe
- are nevoie si poate sa recunoasca daca un program a fost deja
infectat pentru a putea interzice o noua modificare a acestuia.
Fiecare
virus se autoidentifica, in general pentru a evita sa infecteze de
mai multe ori acelasi fisier. Identificatorul recunoscut de virus are
sensul de 'acest obiect este infectat, nu-l mai infectez'.
Controversata
problema a virusilor de calculatoare a nascut ideea ca
orice virus poate fi combatut, adica depistat si anihilat. Cu toate
acestea, exista programatori care sustin ca pot construi virusi
ce nu pot fi detectati si distrusi. Este cazul unui grup de
programatori polonezi care au anuntat pe Internet, in urma cu cativa
ani, ca pot construi astfel de 'arme' imbatabile. Programul lor,
bine pus la punct, continea cateva idei interesante care, daca ar fi
fost duse la capat, probabil ca ar fi dat multa bataie de
cap utilizatorilor de servicii Internet. Suparati de faptul ca
lumea a exagerat atat de mult cu costurile pe care le-a provocat virusul
cunoscut sub numele de 'I Love You', acesti programatori intentionau
sa demonstreze intregii lumi ca nu acest mult prea mediat virus este
cel mai 'tare'. Dupa parerea lor, ar putea fi construiti
virusi care pot distruge cu mult mai mult decat a facut-o 'I Love
You', adica o paguba la scara planetara estimata
atunci la circa 6 miliarde de dolari SUA. In plus, autorii au expus metode noi
de reproducere a virusilor, fara posibilitati prea
mari de a putea fi depistati si anihilati.
Intentiile, facute publice de acesti indivizi, pareau
dintre cele mai diabolice. Din fericire, se pare ca acest plan diabolic nu
a fost pana la urma dus la capat, amenintarile acestor
indivizi oprindu-se doar la faza de proiect. Totusi, aceste
amenintari au putut avea macar efectul unui adevarat semnal
de alarma. A fost avertizata intreaga omenire ca pot exista si
din acest punct de vedere amenintari dintre cele mai serioase care,
desigur, nu ar trebui deloc neglijate.
Clasificarea
virusilor
Virusii informatici nu afecteaza
numai buna functionare a calculatoarelor. Printr-o proiectare corespunzatoare
a partii distructive, cu ei pot fi realizate si delicte de spionaj
sau fapte ilegale de santaj si constrangere.
Virusii
pot fi clasificati dupa diferite criterii: modul de actiune,
tipul de amenintare, grade de distrugere, tipul de instalare, modul de declansare
etc. Exista unele clasificari mai vechi care, desigur, nu mai
corespund astazi. Totusi, o enumerare a acestora este benefica,
deoarece ea reflecta diversitatea caracteristicilor si tipurilor de virusi.
Iata o astfel de clasificare,
oferind pentru cateva variante mai interesante si unele detalii (in aceasta
prezentare a fost preferata ordinea alfabetica, pentru a putea fi consultata
ca pe un dictionar):
Bacteria
- este programul care se inmulteste rapid si se localizeaza in
sistemul gazda, ocupand procesorul si memoria centrala a
calculatorului, provocand paralizia completa a acestuia.
Bomba (Bomb) - este un mecanism, nu neaparat
de tip viral, care poate provoca in mod intentionat distrugerea datelor.
Este de fapt ceea ce face faima virusilor. Pentru utilizator efectele pot
varia de la unele amuzante, distractive, pana la adevarate
catastrofe, cum ar fi stergerea tuturor fisierelor de pe hard disk.
Bomba cu ceas (Timer bomb) - este un
virus de tip bomba, numit si bomba cu intarziere, programat special
pentru a actiona la un anumit moment de timp. Este de fapt, o secventa
de program introdusa in sistem, care intra in functiune numai
conditionat de o anumita data si ora. Aceasta
caracteristica foarte importanta face ca procesul de detectare sa
fie foarte dificil, sistemul putand sa functioneze corect o buna
perioada de timp. Actiunea lui distructiva este deosebita,
putand sterge fisiere, bloca sistemul, formata hard disk-ul si
distruge toate fisierele sistem.
Bomba logica (Logic bomb) - este
un virus de tip bomba, care provoaca stricaciuni atunci cand
este indeplinita o anumita conditie, precum prezenta ori absenta
unui nume de fisier pe disc. De fapt, reprezinta un program care
poate avea acces in zone de memorie in care utilizatorul nu are acces,
caracterizandu-se prin efect distructiv puternic si necontrolat. O astfel de
secventa de program introdusa in sistem, intra in
functiune numai conditionat de realizarea unor conditii
prealabile.
Calul troian (Trojan horse) - reprezinta
programul care, aparent este folositor, dar are scopul de distrugere. Este un
program virus a carui executie produce efecte secundare nedorite, in
general neanticipate de catre utilizator. Printre altele, acest tip de
virus poate da pentru sistem o aparenta de functionare normala.
Calul troian este un program pe calculator care apare pentru a executa
functii valide, dar contine ascunse in codul sau
instructiuni ce pot provoca daune sistemelor pe care se instaleaza
si ruleaza, deseori foarte severe.
Un
exemplu foarte cunoscut astazi de un astfel de program este cel numit Aids
Information Kit Trojan.
Pe
un model de tip 'cal troian' s-a bazat marea pacaleala
care a starnit multa valva la sfarsitul anului 1989. Peste
10.000 de copii ale unui disc de calculator, care pareau sa
contina informatii despre SIDA, au fost expediate de la o
adresa bine cunoscuta din Londra, catre corporatii, firme
de asigurari si profesionisti din domeniul sanatatii,
din Europa si America de Nord. Destinatarii care au incarcat discurile pe
calculatoarele lor, au avut surpriza sa descopere destul de repede ca
acolo se aflau programe de tip 'cal troian', toate extrem de
periculoase. Aceste programe au reusit sa stearga complet
datele de pe hard disk-urile pe care au fost copiate.
Programele de tip 'cal-troian' mai contin o caracteristica importanta.
Spre deosebire de virusii obisnuiti de calculator, acestia
nu se pot inmulti in mod automat. Acest fapt nu constituie insa o
consolare semnificativa pentru cineva care tocmai a pierdut zile si luni
de munca pe un calculator.
Viermele (Worm) - este un program care,
inserat intr-o retea de calculatoare, devine activ intr-o statie de
lucru in care nu se ruleaza nici un program. El nu infecteaza alte fisiere,
asa cum fac adevaratii virusi. Se multiplica insa
in mai multe copii pe sistem si, mai ales, intr-un sistem distribuit de calcul.
In acest fel 'mananca' din resursele sistemului (RAM, disc,
CPU etc.).
Virus (Virus) - este un program care
are functii de infectare, distructive si de incorporare a copiilor sale in
interiorul altor programe. Efectele distructive nu pot fi sesizate imediat, ci dupa
un anumit timp. Notiunea mai generala se refera adesea cu
termenul de 'virus informatic'. Este de fapt un program care are
proprietatea ca se autocopiaza, astfel incat poate infecta
parti din sistemul de operare si/sau programe executabile.
Probabil ca principala caracteristica pentru identificarea unui virus
este aceea ca se duplica fara acordul utilizatorului.
Asa cum sugereaza si numele, analogia biologica este
relativ buna pentru a descrie actiunea unui virus informatic in lumea
reala.
Virus al sectorului de boot (Boot
sector virus) - este un tip de virus care distruge starea initiala a
procesului de incarcare. El suprascrie sectorul de boot al sistemului de
operare. Un virus al sectorului de boot (incarcare) ataca fie
sectorul de incarcare principal, fie sectorul de incarcare DOS de pe
disc. Toti virusii sectorului de incarcare modifica intr-un
anume fel continutul sectorului de boot. Modificarile sectorului de
boot nu trebuie sa fie prea extinse: unii virusi mai noi din aceasta
categorie sunt capabili sa infecteze discul fix, modificand doar zece octeti
din acest sector.
Virus atasat (Appending virus) -
este un virus care isi ataseaza codul la codul existent al fisierului,
nedistrugand codul original. Primul care se executa atunci cand se lanseaza
fisierul infectat este virusul. Apoi, acesta se multiplica, face sau
nu ceva stricaciuni, dupa care reda controlul codului original
si permite programului sa se execute normal in continuare. Acesta este
modul de actiune al unui 'virus clasic'.
Virus companion (Companion virus) -
este un virus care infecteaza fisiere de tip .EXE prin crearea unui fisier
COM avand acelasi nume si continand codul viral. El speculeaza o
anumita caracteristica a sistemului DOS prin care, daca doua
programe, unul de tip .EXE si celalalt de tip .COM, au acelasi nume,
atunci se executa mai intai fisierul de tip .COM.
Virus criptografic (Crypto virus)- un
virus care se infiltreaza in memoria sistemului si permite folosirea
absolut normala a intrarilor si transmiterilor de date, avand proprietatea
ca, la o anumita data, se autodistruge, distrugand in
acelasi timp toate datele din sistem si facandu-l absolut
inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat,
chiar de catre emitator aflat la distanta, prin transmiterea
unei comenzi corespunzatoare.
Virus critic (Critical virus) - este un
virus care pur si simplu se inscrie peste codul unui fisier executabil fara
a incerca sa pastreze codul original al fisierului infectat. In
cele mai multe cazuri, fisierul infectat devine neutilizabil. Cei mai
multi virusi de acest fel sunt virusi vechi, primitivi, existand
insa si exceptii.
Virus cu infectie multipla
(multi-partite virus) - este un virus care infecteaza atat sectorul de
boot, cat si fisierele executabile, avand caracteristicile specifice atat
ale virusilor sectorului de incarcare, cat si ale celor paraziti.
Acest tip de virus se ataseaza la fisierele executabile, dar isi
plaseaza codul si in sistemul de operare, de obicei in MBR sau in
sectoarele ascunse. Astfel, un virus cu infectie multipla devine
activ daca un fisier infectat este executat sau daca PC-ul este incarcat
de pe un disc infectat.
Virus de atac binar - este un virus
care opereaza in sistemul de 'cal troian', continand doar cativa
biti pentru a se putea lega de sistem, restul fiind de regula mascat ca
un “program neexecutabil”
Virus de legatura (Link virus)
- este un virus care modifica intrarile din tabela de directoare
pentru a conduce la corpul virusului. Ca si virusii atasati,
virusii de legatura nu modifica continutul insusi
al fisierelor executabile, insa altereaza structura de
directoare, legand primul pointer de cluster al intrarii de directoare
corespunzatoare fisierelor executabile la un singur cluster
continand codul virusului. Odata ce s-a executat codul virusului, el incarca
fisierul executabil, citind corect valoarea cluster-ului de start care
este stocata in alta parte.
Virus detasabil (File jumper
virus) - este un virus care se dezlipeste el insusi de fisierul
infectat exact inaintea deschiderii sau executiei acestuia si i se reataseaza
atunci cand programul este inchis sau se termina. Aceasta
tehnica este foarte eficienta impotriva multor programe de scanare si
scheme de validare, deoarece programul de scanare va vedea un fisier
'curat' si va considera ca totul este in regula. Aceasta
este o tehnica de ascundere (stealth).
Virus invizibil (Stealth virus) - este
un virus care isi ascunde prezenta sa, atat fata de utilizatori,
cat si fata de programele antivirus, de obicei, prin interceptarea
serviciilor de intreruperi.
Virus morfic (Morphic virus) - un virus
care isi schimba constant codul de programare si configurarea in
scopul evitarii unei structuri stabile care ar putea fi usor
identificata si eliminata.
Virus nerezident (Runtime virus) - este
opusul virusului rezident. Virusii nerezidenti in memorie nu raman
activi dupa ce programul infectat a fost executat. El opereaza dupa
un mecanism simplu si infecteaza doar executabilele atunci cand un program
infectat se executa. Comportarea tipica a unui astfel de virus este
de a cauta un fisier gazda potrivit atunci cand fisierul
infectat se executa, sa-l infecteze si apoi sa redea controlul
programului gazda.
Virus
parazit (Parasitic virus) - este un virus informatic, care se ataseaza
de alt program si se activeaza atunci cand programul este executat. El
poate sa se ataseze fie la inceputul programului, fie la sfarsitul
sau, ori poate chiar sa suprascrie o parte din codul programului. Infectia
se raspandeste, de obicei, atunci cand fisierul infectat este
executat. Clasa virusilor paraziti poate fi separata in doua:
virusii care devin rezidenti in memorie dupa executie si
cei nerezidenti. Virusii rezidenti in memorie tind sa
infecteze alte fisiere, pe masura ce acestea sunt accesate,
deschise sau executate.
Virus polimorf (Polymorphic virus) -
este un virus care se poate reconfigura in mod automat, pentru a ocoli
sistemele de protectie acolo unde se instaleaza. El este criptat si
automodificabil. Un virus polimorfic adauga aleator octeti de tip
'garbage' (gunoi) la codul de decriptare si/sau foloseste metode
de criptare/decriptare pentru a preveni existenta unor secvente constante
de octeti. Rezultatul net este un virus care poate avea o infatisare
diferita in fiecare fisier infectat, facand astfel mult mai dificila
detectarea lui cu un scaner.
Virus rezident (Rezident virus) - este
un virus care se autoinstaleaza in memorie, astfel incat, chiar mult timp
dupa ce un program infectat a fost executat, el poate inca sa
infecteze un fisier, sa invoce o rutina 'trigger' (de
declansare a unei anumite actiuni) sau sa monitorizeze
activitatea sistemului. Aproape toti virusii care infecteaza
MBR-ul sunt virusi rezidenti. In general, virusii rezidenti
'agata' codul sistemului de operare.
Marea majoritate a virusilor actuali folosesc tehnici de ascundere. Exista
si un termen des folosit in acest domeniu; el se numeste stealth
(ascundere) si desemneaza tehnicile folosite de anumiti virusi
care incearca sa scape de detectie. De exemplu, un lucru pe
care-l pot face virusii rezidenti, este sa intercepteze
comenzile (functiile) DOS de tip DIR si sa raporteze dimensiunile
originale ale fisierelor, si nu cele modificate datorita
atasarii virusului. Tehnicile Spawning si File Jumper reprezinta
metode de ascundere, fiind insa cu mult mai avansate.
Virusii spioni - Pe langa
numerosii virusi, cunoscuti la aceasta ora in lumea
calculatoarelor, exista o categorie aparte de astfel de
'intrusi', care au un rol special: acela de a inspecta, in
calculatoarele sau retelele in care patrund, tot ceea ce se petrece,
si de a trimite inapoi la proprietar, la o anumita data si in
anumite conditii, un raport complet privind 'corespondenta' pe
Internet si alte 'actiuni' efectuate de catre cel spionat
prin intermediul calculatorului.
Practic, un astfel de virus nu infecteaza calculatorul si, mai ales, nu
distruge nimic din ceea ce ar putea sa distruga. El se instaleaza,
de regula, prin intermediul unui mesaj de posta electronica
si asteapta cuminte pana apar conditiile unui raspuns
la aceeasi adresa. Cat timp se afla in retea, acesta culege
informatiile care il intereseaza, le codifica intr-un anumit
mod, depunandu-le intr-o lista a sa si apoi le transmite la proprietar.
Un virus de acest gen poate patrunde si se poate ascunde, de exemplu,
intr-un fisier tip 'doc' primit printr-un e-mail. El isi
incepe activitatea odata cu inchiderea unui document activ, atunci cand verifica
daca acesta a fost infectat cu o anumita parte din codul sau
special.
Unii virusi din aceasta categorie isi i-au masuri ca sa
nu fie depistati si distrusi de programele de dezinfectare.
Intr-o secventa de cod, dupa o verificare si un control al
liniilor, intrusul incepe sa inregistreze diferite mesaje si actiuni,
le adauga la lista sa secreta si asteapta conditiile
ca sa le transmita la destinatar, nimeni altul decat cel care l-a
expediat.
In unele variante ale sale de pe Internet acest tip de virus poate face singur
o conexiune la o adresa pe care o identifica singur. Dupa
aceasta, totul devine foarte simplu. E ca si cum in casa noastra se
afla permanent cineva care asista din umbra la toate
convorbirile noastre secrete si nesecrete si, atunci cand are
prilejul, le transmite prin telefon unui 'beneficiar' care asteapta.
Din pacate, virusii spioni sunt de multe ori neglijati. Nici
chiar programele de dezinfectare nu sunt prea preocupate sa-i ia in seama
si sa-i trateze, motivul principal fiind acela ca ei nu au o
actiune distructiva directa.
Totusi, pagubele pot fi uneori insemnate, nemaipunand la socoteala
si faptul ca nimeni pe lumea aceasta nu si-ar dori sa fie
'controlat' in intimitatea sa. Un astfel de spion poate sta mult si
bine intr-un calculator, daca nu este depistat la timp si inlaturat
de un program serios de devirusare. Este, desigur, un adevarat semnal de alarma,
pentru simplul motiv ca asemenea 'intrusi' exista si
pot patrunde in viata noastra si pe aceasta cale.
Un astfel de virus spion a fost descoperit de
un student in primavara anului 1999, in reteaua de calculatoare a dezvoltatorilor
de software ai Directiei Informatica din CS Sidex SA. Desi la
aceasta ora este cunoscut si numele celui care a promovat virusul cu
pricina, o firma de software din Bucuresti, din motive lesne de
inteles nu-i vom dezvalui numele aici. Scris in limbajul VBS, virusul
nu a apucat sa-si faca 'datoria', aceea de a colecta
informatii confidentiale si diferite tipuri de documente active,
deoarece a fost depistat la timp si inlaturat. Prezentam,
totusi, pe scurt, descrierea acestuia si modul sau de actiune:
- virusul a aparut in retea printr-un document de tip
'.doc' atasat unui mesaj de posta electronica
- el s-a declansat odata cu inchiderea documentului respectiv
- cateva linii speciale de cod ale virusului se autocopiau in anumite documente
active si template-uri
- la inchiderea documentului respectiv, verifica daca a reusit
infestarea, apoi actualiza un fisier propriu cu anumite informatii de
genul: data si ora, numele taskului lansat, adresa etc.
- cu adresa captata, prin intermediul FTP expedia la destinatie lista
cu informatiile culese, impreuna cu documentul infestat
- transmiterea se facea in ziua de 1 a fiecarei luni, in conditiile
in care protectia de pe calculatorul gazda era nula.
Un program care actioneaza in acest
mod este cunoscut in literatura de specialitate cu numele de spyware (spion).
O serie de virusi de e-mail, precum celebrul Melissa, incearca
sa trimita documente confidentiale - personale sau ale companiei
la care lucrati. Iar daca celebrul cal troian numit 'Back
Orifice' si-a gasit o cale catre sistemul dvs., el va oferi
control deplin asupra intregului PC oricui va solicita acest lucru.
Chiar si in conditiile in care sistemul este bine protejat impotriva
atacurilor din exterior, este posibil ca o tradare sa se petreaca
din interior. Cu alte cuvinte, atunci cand va conectati la Internet
este posibil sa fie partajata conexiunea cu un parazit, adica un
program spion care are propria sa activitate si care se conecteaza la
momente prestabilite la site-ul sau de Web.
Unele programe spyware sunt instalate in mod automat atunci cand vizitati
un anumit site de Web ce face apel la ele. Altele sunt instalate impreuna
cu aplicatii de tip shareware sau freeware. Instalarea se produce uneori fara
a fi constienti de ea sau chiar acceptabila prin apasarea
butonului Yes fara citirea textului licentei de utilizare.
In presa au fost acuzate o serie de aplicatii spyware pentru
inventarierea software-ului instalat pe sistemul utilizatorului, scanarea
Registrului, cautarea de informatii confidentiale, toate acestea
fiind trimise apoi catre anumite site-uri de Web. Adevarul este ca
nici o astfel de acuzatie nu s-a dovedit intemeiata. Programele
spyware nu sunt denumite astfel pentru ca ele 'fura' informatii
private ci pentru modul secret in care actioneaza, fara a
fi cunoscute sau fara a cere vreo permisiune din partea
utilizatorului.
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite
adbots, programe de receptionat mesaje publicitare, afiseaza
aceste informatii in programele asociate si incearca sa ajusteze
mesajul publicitar preferintelor si obiceiurilor utilizatorilor. Altele colecteaza
informatii statistice pentru clientii lor. Toate aceste programe
pretind ca va protejeaza informatiile private si la o
analiza atenta se dovedeste ca au dreptate.
Informatiile nepersonale ce sunt adunate de aceste programe ar putea fi totusi
folosite intr-un mod neadecvat, iar prezenta lor pe sistemul dvs. i-ar putea
compromite securitatea.
Iata cateva exemple de acest gen. Unul dintre acestea se refera la
programul Comet Cursors, care nu este altceva decat un control ActiveX realizat
si oferit de firma Comet Systems (www.cometsystems.com). Acesta permite
site-urilor de Web ce au licentiat acest control sa ofere cursoare
ciudate, animate si variat colorate. In functie de setarile securitatii
din browser-ul de Web, controlul ActiveX, semnat digital si certificat, se
poate transfera si instala fara a va cere permisiunea si fara
cunostinta dvs. El contorizeaza numarul de vizitatori de pe
site-urile de Web afiliate folosind tocmai aceste cursoare. Programul asociaza
fiecarui utilizator un numar de identificare unic, un ID, in asa
fel incat sa poata raporta numarul de vizitatori distincti.
Nu se urmareste o persoana reala, ci doar raportarea
acestor vizitatori ca numar.
In acest mod, totusi, firma intra in posesia adresei dvs. de IP. Prin
aceasta se poate face legatura cu persoana, prin linia
inchiriata. Astfel, se poate afla prin ce furnizor de Internet va conectati
la retea.
O dezinstalare a acestui program nu poate fi facuta cu multa
usurinta. De aceea, uneori este nevoie de a apela chiar la firma
in cauza pentru a solicita un program de dezinstalare.
Un alt exemplu este produsul TSAdBot, de la firma Conducent Technologies, fosta
TimeSink. El este distribuit prin intermediul mai multor programe shareware si
freeware, printre care si versiunea de Windows a utilitarului popular de
comprimare PKZip. Rolul sau este acela de a transfera de la site-ul sau
reclame si a le afisa in timpul rularii programului respectiv.
Programul raporteaza sistemul de operare, adresa de IP a furnizorului de
servicii Internet, Id-ul programului pe care il folosim si numarul de
reclame diferite ce au fost afisate. Poate, de asemenea, transmite cand
s-a facut clic pe un banner publicitar precum si raspunsurile la un
chestionar, daca acesta a fost completat la instalarea produsului.
In timp ce rulati un program care inglobeaza si acest produs, acesta
din urma se foloseste de conexiunea Internet pentru a trimite informatii
si a transfera mesajele publicitare. Doar un firewall personal, precum
ZoneAlarm, va poate avertiza de producerea acestui lucru.
Dezinstalarea unui astfel de program este si ea o operatie care poate da batai
de cap utilizatorilor. Uneori este necesar sa fie dezinstalate toate
programele care il folosesc pentru a fi siguri ca acest produs dispare
definitiv din calculatorul dvs.
In acelasi mod actioneaza si produsul Aureate DLL de la
Radiate.com, instalat de pe sute de programe freeware si shareware si care, in
timp ce afiseaza bannere publicitare atunci cand programul
ruleaza, transfera reclamele de la site-ul Radiate si raporteaza
inapoi informatii despre ce reclame au fost vizionate si pe care s-a
facut clic si datele unui chestionar propriu care a fost completat la
instalare sau care poate reaparea la un anumit timp de la instalarea
initiala. Dezinstalarea programului originar nu elimina si
DLL-ul, care continua sa functioneze independent.
In plus fata de celelalte programe, Aureate DLL introduce si o bresa
in securitatea sistemului gazda, un lucru apreciat de specialisti ca
fiind foarte periculos. Un hacker rau intentionat ar putea redirecta
produsul sa se conecteze la site-ul sau. Astfel, acel server ar putea
sa preia controlul lui Aureate DLL si sa-l determine sa
transfere fragmente periculoase de cod care apoi vor fi lansate in executie.
Linia de demarcatie dintre analizele demografice necesare marketingului si
invadarea spatiului privat a fost stearsa cu mult inainte de
inventarea spyware-ului. In momentul de fata, utilizatorul este
bombardat de mesaje publicitare trimise prin posta electronica
la anumite adrese. De fiecare data cand participati la un concurs, completati
un chestionar sau daca trimiteti un talon pentru vreo reducere, sunteti
adaugati la baza de date a vanzatorului. Oamenii ce lucreaza
in marketing isi doresc sa afle cele mai mici aspecte ale vietii
cumparatorilor, in asa fel incat ei sa fie 'atinsi'
de mesajele publicitare. Unii oameni par sa nu fie deranjati de acest
lucru, simtindu-se bine sa primeasca scrisori si cataloage care
se potrivesc propriilor interese si pasiuni. Daca acest lucru nu vi se potriveste,
atunci va trebui sa stati in permanenta alerta.
Iata si cateva sfaturi privind securitatea acestor chestiuni:
- verificati setarile de
securitate ale browser-ului Web pentru a fi sigur ca nici un control
ActiveX nu poate fi instalat fara stirea dvs. In Internet
Explorer 5, alegeti Options din meniul Tools si selectati tab-ul
Security si setati optiunile complete pentru a elimina astfel de
posibilitatii
- de fiecare data cand
instalati un program sau un utilitar cititi cu atentie
licenta insotitoare, chiar daca vi se pare un lucru inutil.
Daca sunt mentionate sisteme integriste de livrare a reclamelor,
folosirea in background a conexiunii Internet sau orice altceva ce duce la
spyware, s-ar putea sa va ganditi la abandonarea instalarii.
Si daca, chiar dupa ce v-ati luat aceste precautii, noul
joc sau utilitar afiseaza bannere dinamice, o idee buna ar fi sa
va documentati in amanunt cu privire la functionarea lui.
- puteti afla destul de multe informatii
de pe site-ul de Web al producatorului programului spyware. Este bine sa
consultati aceste informatii inainte de a instala un produs de tip
shareware sau freeware.
- apelati la pagina de Web
ShieldsUp! de pe site-ul de Web Gibson Research care testeaza securitatea
sistemului in acelasi mod in care un hacker ar incerca sa vada
daca exista vreo cale de atac.
In fine, apelati site-ul OptOut (www.grc.com/optout.htm) de pe Internet,
care ofera informatii si cateva instrumente pentru cei ce doresc
sa nu mai fie o sursa de informatii de marketing prin
intermediul programelor spyware. Exista informatii detaliate cu
privire la toate programele spyware cunoscute, cu nume si adrese de Web ale furnizorilor,
ce informatii sunt culese si ce programe le integreaza. Un astfel de
utilitar costa mai putin de 25 $ USA, pret in care intra o perioada
nedefinita de actualizari gratuite ale bazei de date cu noi programe
spyware. El localizeaza toate programele spyware din sistem si ofera
posibilitatea eliminarii lor. El cauta in sistem aplicatii
spyware cunoscute, raporteaza existenta lor si executa
eliminarea fisierelor in cauza. In anumite variante, programul este
oferit si gratuit.
Un cunoscut specialist in acest domeniu, Neil J. Rubenking, este de parere
ca pana acum nu exista nici o dovada ca programele
declarate spyware aduna informatii confidentiale sau ca fac
o legatura intre aceste informatii si persoane individuale. S-ar
putea sa considerati ca cedarea unor anumite informatii non-personale
este micul pret ce trebuie platit pentru programele gratuite. Dar
posibilitatea de a se abuza de aceste informatii exista, asa ca
este important sa stiti cu cine va partajati
conexiunea la Internet.
Alte
exemple de virusi
Prezentam mai jos pe scurt cativa
dintre cei mai cunoscuti virusi, mai vechi si mai noi:
Brain - a aparut pentru prima data
la Universitatea din Maryland, fiind creat de doi frati din Lahore,
Pakistan. Dupa trei luni de la aparitie s-au numarat peste
100.000 de copii raspandite in intreaga lume. Intr-una din variantele sale
virusul inlocuieste numele volumului de discheta cu numele sau.
Cascade - produs in Germania.
Charlie - creat in anul 1987 de
Frany Swoboda, virus care facea ca un program sa se autocopieze de
opt ori.
Cyber-Tech-B - a fost programat sa
actioneze numai pe data de 13.12.1993.
Dark Avenger - fabricat in Bulgaria
in anul 1990, care continea doua noi idei: a) infestarea programelor
foarte rapid, b) producerea pagubelor sa se faca foarte subtil,
pentru a nu putea fi detectat o perioada de timp.
Data Crime - introduce o semnatura
de 1168 octeti.
Form - se instaleaza in
sectorul de boot al discului infectat si cauzeaza generarea unui sunet, de
fiecare data cand se apasa o tasta. Virusul se declanseaza
numai pe data de 18 a fiecarei luni. Odata cu sunetul se afiseaza
pe ecran si un mesaj obscen la adresa unei persoane numite Corrinne, ca si cand
ar fi vorba de o razbunare de natura erotica a unui bun
informatician.
Golden Gate - devine agresiv doar dupa
ce a infectat nu mai putin de 500 de programe.
I Love You - a aparut pe
Internet prin intermediul unui mesaj de e-mail, transmis prin Outlook sau MIRC,
care continea un fisier atasat cu titlul tentant:
'LOVE-LETTER-FOR-YOU.txt.vbs'. Dand impresia ca este un mesaj
inofensiv (fisier cu extensia .TXT), la un dublu-clic sistemul il executa,
deoarece, in realitate, el este un fisier de tip VBScript. Virusul actioneaza
prin distrugerea registrelor sistemului, rescrierea fisierelor cu extensia
.DLL, .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP3, .MP2 si
scripturile MIRC (cel mai popular program dedicat Chat-urilor pe Internet).
Multi s-au lasat pacaliti, astfel ca mass-media a
anuntat o paguba la scara mondiala de peste 6 miliarde
dolari SUA. In Bucuresti, un grup de studenti a reusit in timp
util sa capteze virusul si sa-i anihileze efectele.
Jerusalem - virusul are o origine
care la vremea cand a fost lansat a fost socotit ca fiind un atac terorist,
datorita actiunii distructive ce programa distrugerea de
proportii a datelor la data implinirii a 40 de ani de la desfiintarea
statului palestinian si faptului ca a fost vazut pentru prima
data la Universitatea Evreiasca din Ierusalim. Virusul se reproduce
in interiorul executabilelor binare ale sistemului de operare DOS, fara
a verifica noile infestari. O alta varianta a acestui virus, denumita
'Jerusalem B', este mult mai imbunatatita si timp
de cativa ani a reprezentat cel mai mare pericol in retelele de tip
Novell. O alta varianta a acestui virus se activeaza in fiecare
zi de vineri pe 13 si sterge fisierul in loc sa il infesteze.
KeyPress - afiseaza pe
ecran sirul 'AAAAA' atunci cand se apasa o tasta.
Lehigh - infecteaza
fisierul de comenzi MS-DOS numit COMMAND.COM si se multiplica
dintr-odata in patru copii. A aparut in toamna anului 1987, creat
probabil de un student de la Universitatea Lehigh.
Maltese Amoebae - de asemenea, virus
de tip polimorf.
Michelangelo - aparut in 1992,
a facut prapad in multe din calculatoare, cu toate ca presa
a reusit sa informeze foarte repede despre aparitia acestui
virus. Se declanseaza in fiecare zi de 6 martie.
Natas - citit invers inseamna
Satan. A aparut in Statele Unite si in America Latina. Virusul poate
infecta sectorul de boot, tabela de partitii, precum si toate fisierele
care au extensiile .COM sau .EXE si care au fost executate cel putin odata.
OneHalf - produs in Cehoslovacia.
Pathgen - produs in Anglia.
Stone - aparut in Noua
Zeelanda, facea sa apara pe monitor mesajul 'PC-ul
tau este de piatra'.
Suriv 01, 02, 03 - citit invers, inseamna
Virus.
Tequila - virus de tip polimorf, aparut
in Elvetia.
Tip.2475 - este o ruleta
ruseasca foarte periculoasa. A aparut in Rusia si s-a
raspandit imediat si in tara noastra. Corupe memoria flash si
suprascrie discul hard in Windows 9x.
VBS BubbleBoy - virus de tip
'vierme', infecteaza corpul unui mesaj e-mail. Originar din
Argentina, are o marime de 4992 octeti si este scris in VBScript. El functioneaza
pe platforme Windows cu Internet Explorer 5.0 si Outlook 98/2000 sau Outlook
Express.
Vendredi 13 - mareste
dimensiunea programelor infectate cu 512 octeti.
Vienna - introduce o semnatura
de 648 octeti.
Yale - creat in SUA.
Primul dintre macrovirusi este cunoscut
ca fiind cel folosit in Word si Word Basic. In iulie 1996 a aparut
microvirusul ZM.Laroux care avea
menirea de a da peste cap Microsoft Excel.
Cum
ne aparam impotriva virusilor
Pornind de la conceptul bine experimentat ca
este mai putin costisitor sa previi decat sa tratezi, este
necesar sa se acorde o atentie deosebita problemei virusilor.
Intr-o forma simplista, lupta impotriva virusilor s-ar putea
rezuma la o singura fraza: trebuie imbunatatite
programele si curatate dischetele inaintea introducerii lor in
unitatea centrala.
Exista astazi mai multe organizatii internationale care se ocupa
cu problemele virusilor pe calculator. Una dintre acestea se numeste
CARO - Computer Anti-virus Researcher Organisation, si este o
organizatie constituita din cei mai reputati experti din
lume care se ocupa cu standardizarea si clasificarea virusilor.
Inca din anul 1990 a fost infiintata o institutie specializata
in acest domeniu, numita EICAR - Institutul European pentru Cercetarea
Programelor Anti-Virus. Aceasta organizatie s-a bucurat de un real
succes, mai ales in intalnirile cu vanzatorii de programe.
In decembrie 1990, firma Symantec a lansat produsul Norton Anti-Virus Software,
astazi foarte la moda. Tot in acelasi an, dar in luna aprilie,
firma Central Point Anti-Virus a lansat produsul CPAV.
Exista mai multe publicatii internationale pe aceasta
tema, iar Internet-ul abunda de materiale si informatii. Cea mai
importanta revista internationala dedicata
raportarii si analizei virusilor se numeste Virus Bulletin.
De la lansarea sa in iulie 1989, revista a monitorizat noile dezvoltari
din domeniul programarii virusilor si a evaluat cele mai actualizate
instrumente si tehnici pentru combaterea amenintarii reprezentate de virusi.
In lupta impotriva virusilor este necesar sa se cunoasca cele
mai importante si eficiente mijloace, metode si tehnici care pot fi utilizate
in acest scop. Pentru aceasta, este nevoie sa ne familiarizam cu
cateva notiuni si concepte specifice.
Suma de control (Checksum) este o
valoare numerica obtinuta din octetii individuali ai unui
fisier. Impreuna cu data crearii, marimea si
atributele DOS ale fisierului, suma de control este memorata in
fisiere de tip lista de control. De obicei, are lungimea de 32 sau 64
biti.
Un alt termen des utilizat este CRC. Acronimul
lui 'Cycled Redundancy Check', in traducere - 'Control Redundant
Ciclic', el reprezinta o metoda matematica folosita
pentru verificarea integritatii datelor. Este o forma de
suma de control, care se bazeaza pe teoria polinoamelor de lungime maxima.
Desi este mai sigura decat cea bazata pe o simpla suma
de control, metoda CRC nu ofera totusi o adevarata
securitate criptografica.
O secventa de octeti sau, mai general, o combinatie de secvente
variabile, prin care programele antivirus incearca sa identifice virusii
se numeste semnatura unui
virus (virus signature).
Operatia prin care se elimina un virus dintr-un fisier sau
dintr-un sistem se numeste dezinfectie
(clean). Desigur, contaminarea unui calculator cu un virus informatic se numeste
infectie (infection).
Tehnica prin care se adauga unui program executabil o portiune de
cod, pentru a se asigura autoverificarea sa, in asa fel incat suma sa de
control sa fie verificata inainte ca programul propriu-zis sa se
execute, se numeste imunizare
(immunization). Orice modificare facuta programului poate fi deci verificata
si executia refuzata. Aceasta tehnica poate provoca multe
probleme deoarece ea interfera adesea cu programul pe care incearca sa-l
protejeze.
Atunci cand se genereaza o amprenta
(o informatie de control) pentru un fisier spunem ca s-a
efectuat o inoculare (inoculate).
Este suficient apoi sa se compare aceasta amprenta cu alta
calculata ulterior pentru a detecta alterarea eventuala a
fisierului de catre un virus.
Un program antivirus care cauta fisiere infectate, analizand secvente
identificabile ca apartinand unor virusi cunoscuti (asa
numitele 'semnaturi' de virus) se numeste program de scanare (scanner). Programele
de scanare au diverse limitari, printre care, cea mai importanta este
faptul ca ele nu pot cauta decat virusi deja identificati
sau cunoscuti.
Un software antivirus (anti-virus
software) reprezinta un produs program utilizat pentru a identifica si
deseori pentru a furniza mijloacele necesare eliminarii virusilor de
pe sistemele infectate. Acest proces este denumit frecvent 'curatare'
sau 'dezinfectare'.
Un software de dezinfectie
(desinfection software) nu este altceva decat un program care incearca sa
indeparteze virusii de pe discurile infectate, astfel incat sa
restaureze elementele infectate la starea lor anterioara. Dat fiind faptul
ca adesea virusii sunt polimorfi (schimbati de o maniera
subtila), software-ul de dezinfectare poate sa faca greseli
cu consecinte potential catastrofale pentru integritatea datelor.
Detectia virusilor sectorului de incarcare este cu mult mai fezabila
decat cea a fisierelor executabile, iar utilizarea programelor de sistem
(DEL, SYS, FDISK si FORMAT) reprezinta adesea o solutie preferabila.
Vaccinul este un program pe
calculator realizat pentru a oferi o protectie impotriva virusilor de
calculator. Adaugand un cod scurt la fisiere, de
declanseaza o alarma atunci cand un virus incearca sa
modifice fisierul. Vaccinurile mai sunt numite si programe de imunizare.
Autorii rauvoitori de virusi ai calculatoarelor stiu de
existenta programelor de vaccinare si antivirus si unii dintre ei se ocupa
cu crearea de noi virusi care sa le contracareze. Daca folositi
calculatorul pentru afaceri sau aplicatii profesionale vitale, protejati
datele introducand in calculator numai copii noi, care nu au fost deschise, de
programe obtinute direct de la producatori.
Din activitatea programelor anti-virus pot rezulta si alarme false. O
monitorizare a procesului de dezinfectare este deseori foarte utila.
O metoda de detectare a fisierelor virusate consta in compararea
periodica a fisierului cu cel original, din data, ora si
dimensiune. Aceste teste nu prezinta totala incredere deoarece atat
data si ora, cat si dimensiunea fisierelor pot fi manipulate convenabil, fara
a ne putea da seama daca s-a umblat in fisierul original si daca
acesta a fost alterat.
Exista si alte elemente care pot fi verificate, cum ar fi sumele de
control (check sum), mai de incredere, dar nu totala, prin care datele
dintr-un fisier sunt insumate si trecute printr-un algoritm specific,
rezultand un fel de semnatura pentru acel fisier. Sumele de
control functioneaza pentru verificarea integritatii unui fisier
in cazul transferului dintr-un punct in altul. Pentru protectie, lista
sumelor de control este necesar a fi pastrata pe un server separat,
chiar pe un mediu separat accesibil doar de root si de utilizatorii de
incredere. Totusi aceasta tehnica este insuficienta cand
sunt atacuri sofisticate impotriva integritatii fisierelor,
existand pericolul ca la destinatie sa ajunga un fisier necorespunzator.
Pe Internet se gasesc insa suficiente materiale referitoare la modul
in care pot fi invinse sistemele care folosesc sume de control, multe dintre
ele chiar prin actiunea virusilor. Multe dintre utilitarele antivirus
folosesc o analiza a cifrei de control pentru a identifica activitati
de virusare.
Exista tehnici satisfacatoare bazate pe calcularea unei amprente
digitale (digital fingerprint) sau semnatura pentru fisiere.
Algoritmii care realizeaza acest lucru fac parte din familia MD, cea mai cunoscuta
implementare fiind MD5. Aceasta este o functie neinversabila
(one-way) care genereaza semnatura digitala pentru un
fisier prin intermediul unui algoritm de condensare a mesajului (message
digest). Algoritmul preia la intrare un mesaj de o lungime arbitrara
si produce un rezultat pe 128 biti denumit amprenta
(fingerprint) sau rezumat (message digest). Algoritmul se bazeaza pe un
concept conform caruia este imposibil prin prelucrare sa se produca
doua mesaje cu acelasi rezumat sau sa se reconstituie un mesaj
pornind de la un anumit rezumat. Algoritmul MD5 este proiectat pentru aplicatii
bazate pe semnaturi digitale, in care un fisier de dimensiuni mari
trebuie comprimat intr-un mod sigur inainte de a fi criptat cu o cheie privata
(secreta).
Un produs care utilizeaza algoritmul MD5 este S/Key dezvoltat de Bell
Laboratories pentru implementarea unei scheme de parole unic valabile
(one-time), care sunt aproape imposibil de spart, desi parolele sunt
transmise in clar, dar datorita faptului ca parola fiind de
unica valabilitate, nu mai este de nici un folos pentru un eventual
intrus.
O tehnica foarte interesanta aplicata in combaterea virusilor
se bazeaza pe utilizarea programelor automodificabile (self-modifying
program). Acestea sunt programe care isi schimba deliberat propriul
lor cod, cu scopul de a se proteja impotriva virusilor sau copierilor
ilegale. In acest mod devine foarte dificila validarea prin mijloace conventionale.
Cine ne apara ?
In finalul acestui capitol prezentam
alte cateva sfaturi care ar putea fi foarte utile pentru a va proteja
sistemul impotriva virusilor calculatoarelor :
- nu incercati programe executabile de pe sistemele de buletine
informative daca nu sunteti sigur ca ele sunt fara
virusi (eventual ati vazut pe altcineva folosind programul
fara probleme).
- nu preluati programe executabile vandute prin posta si
care tin de domeniul public sau in regim shareware, daca nu se precizeaza
ca se verifica fiecare program vandut.
- nu incarcati niciodata un program transmis de curand pe un
sistem de buletine informative, pana cand el nu a fost verificat de
operatorul de sistem. Cand incarcati programul, faceti-o pe un
sistem cu doua unitati de discheta, astfel incat el sa
nu se apropie de hard disk.
- nu copiati dischete pirat ale programelor comercializate, deoarece ele
pot contine virusi.
- cumparati si folositi programe recunoscute de detectare a
virusilor
- instalati un program de detectare a virusilor, rezident in memorie,
care sa examineze fisierele pe care le copiati in calculator.