Free Web Space | BlueHost Review  

Despre VIRUSI

 

Ce este un virus informatic?

Familii de virusi.

Denumirea virusilor


Ce este un virus informatic ?

        Virusii informatici sunt programe de dimensiuni mici care au proprietatea de a se multiplica inserandu-se in fisiere sau in zonele sistem ale discurilor flexibile fără acordul utilizatorului si au, de obicei, o activitate distructivă. Pană in momentul declansarii efectelor distructive, prezenta virusilor nu poate fi remarcata decat prin intermediul unui program specializat, numit antivirus.

     Utilizatorul este, in majoritatea cazurilor, cel care determina infectarea. In trecut singurul mod de infectare era prin intermediul dischetelor. In prezent interconectivitatea calculatoarelor, care a ajuns la un grad foarte mare prin raspandirea accentuată a retelelor si prin aparitia Internet-ului, la acestea adaugandu-se cresterea numărului de calculatoare deci cresterea numărului de surse potentiale de infectare, face ca virusii sa cunoasca o viteză de propagare foarte mare iar neutilizarea unui antivirus performant poate avea consecinte grave. Primi virusi PC au aparut odata cu raspandirea calculatoarelor de tip PC.

Virusii au devenit o problema reala odata cu aparitia retelelor si a internetului.

La inceput au dominat virusi de Boot apoi virusi de Macro, apoi dominau viermi.

Atentie!

-                   daca credeti, ca un antivirus va poate proteja total de pericolul virusilor, ei ... aici va inselati amarnic

-                       calculatorul dvs va fi in siguranta doar atunci cand este deconectat de la retea si probabil ascuns in podul casei (ideea este ca atata timp cat calculatorul functioneaza nu este in siguranta)

Oricum nu disperati, daca invatam sa ne protejam, riscul va fi mult mai mic .

Ce este un virus ?

Nu exista o definitie clara dar trebuie remarcat ceva comun la toate definitiile date de specialisti:

-                     un virus este o secventa de instructiuni

-                     se reproduce !

Totusi o definitie a unui virus ar suna cam asa:

 

"Virusul este o inteligenta artificiala lipsita de moralitate si sentiment, si-a dobandit inteligenta de la programatorul care l-a creat, dar poate fi la fel de imoral ca si autorul".

Familii de virusi.

Dorinta cu motivatii obscure a unora de a produce virusi a dus, prin copierea si modificarea unor virusi existenti, la aparitia unor familii de virusi ce numara de la cativa membri pana la peste o suta.
Exista mai multe mijloace prin care aceste familii de virusi si-au marit numarul, mijloace pe care le vom prezenta mai jos. Dar mai intai cateva cuvinte despre denumirea virusilor, lucru legat destul de mult de familiile de virusi.

   Denumirea virusilor


Existenta familiilor de virusi a dus la necesitatea stabilirii unor conventii de denumire a virusilor, care sa puna in evidenta, intr-o oarecare masura, relatiile de rudenie intre virusi. O astfel de conventie a fost propusa in 1991 de un comitet CARO format din Fridrik Skulason (editor tehnic al revistei Virus Bulletin), Alan Solomon (de la S&S International) si Vesselin Bontchev (pe atunci la universitatea din Hamburg).


S-a stabilit astfel ca denumirea CARO a virusilor sa contina pana la patru campuri separate cu punct. Cele patru campuri pot fi urmate de ':' si apoi de un modificator.

* Primul camp este numele familiei.
* Al doilea camp este numele grupului in cadrul familiei (un fel de subfamilie deci).
* Al treilea camp este varianta majora si este de obicei reprezentat ca un numar care da lungimea virusului.
* Al patrulea camp este varianta minora si este de obicei reprezentat printr-o litera mare.

Modificatorul reprezinta mecanismul folosit pentru a indica mijloacele folosite pentru modificarea virusului (de exemplu, mecanismul de criptare folosit). Un modificator poate fi el insusi reprezentat prin mai multe campuri separate cu punct. Pot fi eventual mai multi modificatori separati cu ':'.

Dorinta cu motivatii obscure a unora de a produce virusi a dus, prin copierea si modificarea unor virusi existenti, la aparitia unor familii de virusi ce numara de la cativa membri pana la peste o suta.

Familii obtinute prin prelucrarea codului

Prima, cea mai dificila dar in mod ciudat cea mai raspandita cale de realizare a familiilor de virusi este cea prin care virusi au fost dezasamblati (probabil), analizati si modificati pentru a se comporta altfel.

Pentru a vedea maniera prin care pornind de la un virus s-au obtinut diverse alte variante, vom lua ca exemplu virusul Cascade cunoscut si sub numele Falling Letters.

Detectat prima oara in 1987 in California, virusul se caracterizeaza in primul rand prin efectul sau vizibil: produce caderea literelor de pe ecranul calculatorului catre baza ecranului. In varianta sa initiala, fenomenul se producea doar in anii 1980 - 1988, lunile septembrie, octombrie si decembrie. Ca mod de functionare, virusul infecteaza fisiere COM si se instaleaza in memorie ca un TSR.

Virusul ar fi trebuit sa devinő inofensiv in 1987. Dar n-a fost asa. Varianta 1701-B produce aceleasi efecte, in aceleasi luni, doar ca in fiecare an.
Pentru ca efectele nu pareau prea grave, o alta varianta, 1704 Format realizeaza si formatarea discului.

Cineva, care avea probabil o afectiune pentru calculatoarele IBM PC adevarate, a creat varianta 1704 care nu mai producea efecte nedorite pe acest tip de calculatoare. In general, variantele cu lungimea de 1704 octeti au aceasta proprietate. Altcineva insa, suparat probabil de aceasta discriminare, a produs varianta 1704-D care, desi are 1704 octeti, afecteaza si calculatoarele IBM PC adevarate.
Intre timp, programatorii antivirus nu au stat nici ei degeaba si au produs antivirusi corespunzatori. Ca urmare, pentru a ingreuna munca lor au aparut: 1701 Mutation care avea 2 octeti modificati (si a trebuit alt antivirus!), 17Y4 care are un singur octet modificat, 1701- YAP care are, de asemenea, modificari speciale pentru a impiedica detectia cu antivirusii realizati anterior.
Un creator de virusi mai econom a realizat Cascade 1701.E care produce caderea unui singur caracter. In fine, varianta numita Cunning a inceput sa cante!
Si acestea nu sunt toate variantele virusului Falling Letter, care si-a inceput cariera cu circa 8 ani in urma...

Familii obtinute prin surse publicate de virusi

O cale surprinzatoare pentru initierea unor familii de virusi o constituie publicarea, pur si simplu, de catre diversi autori a unor surse de virusi. Motivatiile pentru astfel de publicari sunt relativ obscure (ca multe alte aspecte ale domeniului virusilor). Autorii au vrut sa traga poate un semnal de alarma ca sa arate ca virusii chiar exista, au vrut sa se amuze sau au vrut poate sa demonstreze cat de ingeniosi sunt. Greu de spus. Oricum, astfel s-a dat un imbold uluitor conceperii de virusi noi. Un exemplu celebru este virusul Vienna, care a ajuns sa aiba peste 110 variante fiind probabil cea mai numeroasa familie cunoscuta.

Virusul Vienna a fost creat de un student din Viena (de aceea el se mai numeste si Austria) si sursa sa, in BASIC si PASCAL, a fost publicata in 1987 in cartea Computer Viruses: A High Tech Disease, de catre Burger. Prima oara a fost detectat la Moscova in 1988 in cadrul unei tabere de copii organizata de UNESCO (de aceea un alt pseudonim al virusului este UNESCO). Are lungimea de 648 octeti (de unde pseudonimul 648) si infecteaza fisiere COM carora le modifica numarul de secunde al datei din director, la valoarea imposibila de 62s (de unde pseudonimul DOS-62). La fiecare al saselea fisier COM analizat de virus, el va face modificarea privitoare la numarul de secunde, va altera, in plus, primii cinci octeti ai fisierului cu valoarea hexa EAFOFF00F0, dar nu va infecta programul! Cand se va rula programul astfel alterat, el va produce reboot-area sistemului. Dupa cum se vede, programul care va produce necazuri nu va fi unul infectat. Uneori insa si unele programe infectate pot produce blocaje de sistem cand se termina.

Din numeroasa familie a virusului enumeram cateva exemplare.

Virusul W13 (numit astfel deoarece modifica luna programului infectat in 13) are mai bine de 15 descendenti. Printre acestia se afla si virusul Plumbum-M1, originar din Polonia, care contine (neafisat) "Be carefull!!! in your computer is one powerfull creeper", dar care nu este daunator caci el doar se multiplica.

Virusul Violator, originar din Canada, are circa 12 descendenti. Unul dintre ei este virusul Baby, care contine mesajul "by by baby". Nu se stie ce mai face Baby, in afara de faptul ca se inmulteste!

Familii obtinute cu ajutorul unor instrumente specializate

Daca publicarea surselor unor virusi pare surprinzatoare, atunci distribuirea unor instrumente de creat virusi este de-a dreptul uluitoare. Si totusi, astfel de instrument exista, si inca destul de numeroase:

Fiind vorba de niste instrumente de creare a virusilor, este evident ca toti virusii creati cu un anumit instrument vor avea elemente comune, alcatuind astfel o familie.

Pentru exemplificare vom prezenta cativa dintre virusii generati cu astfel de instrumente. Virusii generati cu VCS au toti lungimea de 1077 octeti. Initial VCS genereaza (la indicatiile utilizatorului) un fisier numit VIRUS.COM. Cand acest fisier va fi executat, el va infecta unu din trei fisiere COM. Dupa o perioada de incubatie (precizata in numar de generatii), virusul declanseaza efecte colaterale care constau in alterarea fisierelor CONFIG.SYS si AUTOEXEC.BAT. Din aceasta familie fac parte: VCS, DarkSide, Paranoimia, VCS-POST, Manta.

Virusii generati cu VCL infecteaza, de asemenea, numai fisiere COM, dar, deoarece programul de generare are mult mai multe instructiuni referitoare la efectele colaterale si conditiile lor de declansare, lungimile si caracteristicile virusilor variaza. Se cunosc peste 60 virusi realizati cu aceasta masinarie. Exista variante care viruseaza si fisiere EXE. Unele dintre variante lucreaza destul de complicat folosindu-se si de mecanisme de tip companion. Astfel, virusulVCL.587, raportat prima oara in iulie 1994, actioneaza cam in felul urmator: cand se executa, el creeaza pentru 3 fisiere EXE cate un companion COM, care contine corpul virusului. De asemenea, la un anumit moment dat afiseaza mesajele "Well, nobody is going to give a damn when they found your dead, limp body in the river next week with a knife through your heart. They just laugh and say... Good I hated anyway. FAKE DARK AVENGER!!! cBeePoP / PuKe WaReZ 1992." Mesajele sunt urmate de un blocaj al sistemului.