CENTRUL ID TULCEA

FACULTATEA STIINTE ECONOMICE

SPECIALIZAREA : FINANTE – BANCI
ANUL I, SEMESTRUL I, ian 2009.

PREZENTAREA VIERMILOR SI
VIRUSILOR DE CALCULATOR

REFERAT :

Bazele tehnologiei informatiei

VIRUSII SI VIERMII INFORMATICII
CUPRINS:

1. CE ESTE UN VIRUS DE
CALCULATOR?
2. ISTORIA VIRUSILOR
3. CLASIFICAREA VIRUSILOR
4. MODUL DE INFECTARE CU
VIRUSI
5. CE ESTE UN VIERME DE
CALCULATOR?
6. ISTORIA VIERMILOR
7. CLASIFICAREA VIERMILOR
8. MODUL DE INFECTARE CU
VIERMI
9. SIMPTOMELE UNUI SISTEM
VIRUSAT
10. MODALITATI DE PROTECTIE,
PROGRAMELE ANTIVIRUS
11. ACTUALII VIRUSI SI VIERMI
 BIBLIOGRAFIE :

Primii Pasi in securitatea retelelor - Tom Thomas

Computer Viruses - Dr. Frederick B. Cohen
http://ro.wikipedia.org/wiki/Virus_informatic
www.computerworld.ro
arhiva.wall-street.ro

Am ales prezenta tema pentru a invata cum imi pot proteja

calculatorul de virusi si viermi.
Aportul meu la realizarea acestui studiu se bazeaza doar prin
culegerea de informatii din sursele mentionate mai sus si imbinarea
acestora intr-un mod cat mai concis (sper).
Sper sa nu va deranjeze lungimea referatului, insa toate datele
referitoare la subiect mi s-au parut extrem de importante pentru
relatarea subiectului ales.
 Ce este un virus de calculator ?

Virus (Virus) - este un program care are funcţii de infectare, distructive si de

incorporare a copiilor sale în interiorul altor programe. Noţiunea mai generală se referă adesea
cu termenul de "virus informatic". Este de fapt un program care are proprietatea de a se
autocopia, astfel încât poate infecta părţi din sistemul de operare şi/sau programe executabile.
Probabil că principala caracteristică pentru identificarea unui virus este aceea că se duplică fără
acordul utilizatorului. Aşa cum sugerează şi numele, analogia biologică este relativ bună pentru
a descrie acţiunea unui virus informatic în lumea reală.
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii
ţin foarte mult ca produsul lor cu intenţii agresive să nu fie observat cu uşurinţă.
Efectele distructive nu pot fi sesizate imediat, ci după un anumit timp. Atunci când apar,
efectele sunt diferite, variind de la mesaje glumeţe, la erori în funcţionarea programelor de
sistem sau ştergeri catastrofice a tuturor informaţiilor de pe un hard disk. De aceea nu este
indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
În general, cei care construiesc viruşi sunt programatori autentici, cu experienţă bogată
si cu cunoştinţe avansate în limbajul de programare pe care îl folosesc. Elaborarea de viruşi este
uneori si o activitate de grup, în care sunt selectaţi, antrenaţi si plătiţi cu sume uriaşe specialiştii
de înaltă clasă.
Există programatori care susţin că pot construi viruşi ce nu pot fi detectaţi si distruşi. Este cazul
unui grup de programatori polonezi care au anunţat pe Internet, în urmă cu câţiva ani, că pot
construi astfel de "arme" imbatabile. Programul lor, bine pus la punct, conţinea câteva idei
interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap
utilizatorilor de servicii Internet. Supăraţi de faptul că lumea a exagerat atât de mult cu costurile
pe care le-a provocat virusul cunoscut sub numele de "I Love You", aceşti programatori
intenţionau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare".
Virusul este caracterizat de următoarele proprietăţi:
- poate modifica fişiere si programe ale utilizatorilor, prin inserarea în acestea a întregului cod
sau numai a unei părţi speciale din codul său
- modificările pot fi provocate nu numai programelor, ci si unor grupuri de programe
- are nevoie si poate să recunoască dacă un program a fost deja infectat pentru a putea interzice
o nouă modificare a acestuia.

Istoria virusilor
Istoria viruşilor de calculatoare este lungă şi interesantă. Dar ea a devenit cu adevărat
palpitantă abia din momentul în care a început să se dezvolte industria PC-urilor. Pe măsură ce
dezvoltarea acestor calculatoare noi progresa, a devenit posibilă si accesarea a mai mult de un
program într-un singur computer. În acelaşi timp, s-a manifestat şi o reacţie împotriva a tot ceea
ce însemna computerul. Această tendinţă are rădăcini mai vechi, dar impactul computerelor de
tip PC a fost aşa de mare, încât si reacţiile împotriva acestora au început să se facă mai evidente.
 Iată o scurtă dar spectaculoasă evoluţie a fabricării în serie în toate colturile lumii si lansării
pe piaţă a viruşilor:
1949
Sunt puse pentru prima oara bazele teoriilor legate de programele care se autoreproduc.

1981
Virusii Apple 1, 2, si 3 sunt printre primii virusi "in the wild". Descoperiti in sistemul de
operare Apple II, virusii se raspandesc in Texas A&M prin intermediul jocurilor piratate.

1983
In teza sa de doctorat, Fred Cohen defineste pentru prima oara formal un virus de
calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le intr-
un mod care presupune abordarea unor copii evoluate ale lor."

1986
Doi programatori Basit si Amjad(frati pakistanezi) au descoperit că un anumit sector
dintr-un floppy disk conţine un cod executabil care funcţiona de câte ori porneau computerul cu
discheta montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un
program propriu.Floppy-urile infectate aveau "© Brain" ca eticheta de disc (volume label).
Acest program putea beneficia de memorie si putea fi astfel copiat în orice dischetă si lansat de
pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un
floppy disc.
Tot in acelasi an, un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier
putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier
. El a scris o demonstratie a acestui efect, pe care a numit-o VIRDEM (Virus Demonstration) si
a distribuit-o la conferinta pe tema virusilor Chaos Computer Club, in luna decembrie a acelui
an . VIRDEM ar fi infestat orice fisier COM . Din nou pagubele erau destul de nesemnificative .
Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte .
In aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz Swoboda
a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit Charlie
si s-a facut multa publicitate in jurul acestei descoperiri . Ralf Burger a obtinut o copie a acestui
virus si i-a dat-o unui prieten, Berdt Fix, care l-a dezansamblat (a fost pentru prima oara cand
cineva a dezansamblat un virus) . Burger a inclus aceasta dezansamblare in cartea sa, dupa ce a
scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagubele pe care
le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa
rebooteze calculatorul (virusul copiaza primi cinci octeti de cod) ; Burger (poate Fix) a inlocuit
acest cod de rebootare cu cinci spatii . Efectul era ca fisierele copiate bloca calculatorul, in loc
sa-l rebooteze .

1987
Programatorii de la Universitatea din Delaware au constatat ca au virusul lansat de cei
doi programatori Basit si Amjad cand au vazut eticheta "© Brain" pe o discheta . Tot ce facea el
era sa se autocopie si punea o eticheta de volum pe discheta.
 Tot in 1987, la Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut sub
numele de Lehigh . Acesta a fost un model extrem de nereusit - nu era prevazut sa se
raspandeasca in afara universitatii, pentru ca infecta doar COMMAND.COM si crea multe
pagube gazdei, dupa numai patru reproduceri .
In aceasta perioada, la Tel Aviv, un alt programator facea experiente . Primul sau virus a
fost numit Suriv-01(cuvantul virus scris invers) . Era un virus rezident in memorie , ce putea sa
infecteze orice fisier COM - o strategie de infectare mult mai buna decat strategiile utilizate de
virusul vienez, caci ducea la infectarea tuturor fisierelor de pe toate ‘ drive-urile’ si din toate
directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar fisierele EXE, dar a fost primul
de acest fel din lume . Cea de-a treia incercare Suriv-03, un virus ce ataca atat fisierele EXE, cat
si cele COM .
Tot in acea vreme, un student de la Universitatea din Wellington, Noua Zeelanda, a
gasit o cale foarte simpla de a crea un virus foarte eficient . O singura data din opt, cand se
booteaza de pe o discheta infectata, virusul se declanseaza si pe monitor aparea mesajul ‘PC-ul
tau este acum impietrit’ de unde si numele virusului (STRONED). Virusul in sine avea
dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in memorie a devenit
cel mai raspandit virus din lumea intreaga. Virusul original se numeste scum Stoned.Standard.A
, fiind si astazi in topul celor mai raspanditi virusi .
In Italia, la Universitatea din Torino, un programator a scris si el un virus de sector
boot . Daca discul era accesat, din jumatate in jumatate de ora virusul iti afisa o minge
miscatoare pe ecran (bouncing ball) . Virusul avea un defect major - nu putea sa ruleze doar pe
calculatoarele 8086 sau 8088, pentru ca folosea o instructiune care nu functiona pe chipuri mai
complexe .
Un alt programator german a scris un virus foarte destept numit - Cascade (dupa literele
cazatoare pe care le afisa ) . Cea mai mare parte a virusului era encriptata, lasand doar o mica
parte necodata, curata, pentru a putea decoda restul cu ea . Rostul acestui mecanism nu a fost
destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea obtiunile de
alegere a sirului de cautare doar la primi cativa octeti . Cascade trebuia sa verifice si Bios-ul, si
daca ar fi gasit un copyright IBM ar fi stopat procesul de infectare . Aceasta parte a codului nu a
functionat . Autorul a emis la putin timp dupa aceea o noua versiune a virusului, de 1074 octeti
in loc de 1701, cu scopul de a corecta aceasta greseala . Dar si noua versiune avea o scapare : nu
era in stare sa detecteze Bios-urile IBM .
Dintre acesti virusi timpurii doar Stoned , Cascade si Jerusalem au rezistat pana in
zilele noastre .

1988
Este anul in care au aparut primii comercianti de antivirus, pe care le vindeau la preturi
foarte reduse (5-10 USD) . Unele firme au incercat, ocazional, sa se propulseze, dar nimeni nu
platea bani seriosi pentru o potentiala problema . Astfel, s-a dat o sansa virusilor Stoned,
Cascade si Jerusalem de a se raspandi, fara a fi descoperiti .
Totusi, compania IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut parte de o
epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia neplacuta de a-si anunta
clientii ca s-ar putea sa fi fost infectati . De fapt, nu a fost o problema foarte serioasa dar, din
acel moment, IBM a luat problema in seros si, drept rezultat, la High Integrity Computing
Laboratory din Yorktown s-a decis sa se inceapa cercetarile in acest domeniu .
 La sfarsitul lui 1988 au avut loc aproape simultan mai multe evenimente : o epidemie
mare de Jerusalem(Suriv-04) intr-o institutie financiara, virusul afecteaza fisierele .exe si .com
si sterge toate programele rulate in cursul acelei zile; al doilea - o firma britanica numita S&S a
tinut primul seminar pe tema virusilor, seminar care a explicat in premiera ce este un virus si
cum lucreaza el ; al treilea - a avut loc epidemia de ‘Vineri 13’ . Un lucru era clar pentru toti :
instituti financiare, grupurile academice si persoanele fizice ar putea cu usurinta sa faca fata
unei epidemii, daca ar avea uneltele necesare . Tot ce trebuia era un detector eficient de virusi,
care nu era insa disponibil .
Ca atare, a fost crea primul Anti Virus Toolkint .

1989
Un scotian a contactat cercetatori din Anglia si le-a comunicat ca a gasit un virus in hard
disk-ul sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va declansa din
nou pe data de 13 luna viitoare . Cand virusul a fost dezansamblat, s-a constataca ca in orice zi
dupa octombrie el declansa o formatare low level a cilindrului zero de pe hard disk, care
determina pe cele mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si lasa
utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A fost publicata o
analiza a efectelor virusului dar s-a constataca ca era vorba, de fapt, de un alt virus, nerezident
in memorie . In America oameni au inceput sa-l numeasca ‘Columbus Day Virus ‘ (12
octombrie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel
Rosu a adescoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era de a rula
un detector .
In luna iulie, companiile scotiene au inceput sa intrebe IBM daca virusii sunt o amenintare
serioasa . Datacrime nu exista poate, dar exista posibilitatea ca o firma sa se infecteza cu
Jerusalem, Cascade sau Stoned . ‘Ce face IBM-ul impotriva acestei amenintari ?’ , au intrebat ei
.IBM detinea un program antivirus, insa era folosit doar pentru uz intern . IBM avea o dilema
:daca nu oferea acest software clientilor si daca pe 13 octombrie o serie de calculatoare ar fi
cazut, reputatia sa avea de suferit . In septembrie 1989, IBM a scos pe piata impreuna cu o
scrisoare prin care ei explicau clientilor despre ce era vorba . 13 octombrie a cazut intr-o vineri,
asa ca a fost un eveniment dub - Jerusalem si Datacrime . In SUA, Datacrime a fost exagerat si
confundat cu unul care nu este atat de periculos ca acesta . In Londra, Royal National Institute
for the Blind a anuntat ca a avut un atac si ca a pierdut o multime de date importante de
cercetare, reprezentand luni intregi de munca . Acest eveniment a fost investigat si se
inregistrase intradevar o mica eruptie de Jerusalem si cateva fisiere usor de inlocuit au fost
sterse .

1990
Mark Washburn a analizat virusul Viena si a creat pe baza lui primul virus polimorf .
Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si ca exista
un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama larga de forme si, in primi
virusi, cel mai lung sir de cautare posibil era doar de doi octeti (V2P6 a caborat acest prag pana
la octet ) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat
teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posibilii descriptori
.
Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era acea de ‘infector
rapid’ . In cazul acestora daca virusul era in memorie, atunci simpla deschidere a unui fisier
pentru citire ducea la infectare . Hard disk-ul este infectat foarte repede . Cea de-a doua idee
noua in acest virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional
un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda de timp, se
face un back-up al fisierelor corupte si, cand este refacut back-up-ul, datele sunt de nefolosit .
La sfarsitul anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie sa fie
mult mai organizati, asadar a luat nastere in Hamburg EICAR (European Institute for Computer
Antivirus Research), in decembrie 1990 . La vremea cand a fost creat EICAR existau
aproximativ 150 de virusi , iar pana la sfarsitul anului au fost cunoscuti si catalogati 300 de
virusi.
In luna decembrie a aceluias an Symantec lanseaza pe piata Norton AntiVirus, unul
dintre primele programe antivirus dezvoltate de catre una dintre marile companii.

1991
La sfarsitul anului existau peste 1000 de virusi.
In luna aprilie Central Point a lansat CPAV. Acesta a fost repede urmat de XTree, Fifth
Generation si altii .
Tequila este primul virus polimorf cu raspandire pe scara larga gasit "in the wild".
Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin schimbarea
modul de actiune cu fiecare noua infectie.

1992
Exista 1300 de virusi, cu aproape 420% mai multi decat in decembrie 1990. Previziunile
sumbre ale virusului Michelangelo ameninta colapsul a circa 5 milioane de calculatoare pe data
de 6 martie. Insa doar 5,000-10,000 de calculatoare se intampla sa "dea coltul".

1994
Erau inregistrati peste 4000 de virusi.
Farsa de proportii din partea email-ului hoax (alarma falsa) Good Times. Farsa se
bazeaza pe amenintarea unui virus sofisticat care e capabil sa stearga un intreg hard prin simpla
deschidere a emailului al carui subiect este "Good Times". Desi se stie despre ce e vorba, hoasul
revine la un interval de 6-12 luni.

1995
Anul 1995 este cunoscut ca fiind si anul în care a început să apară conceptul de
macrovirus, devenind în scurt timp o adevărată ameninţare, deoarece erau mult mai uşor de
fabricat decât părinţii lor viruşii. Aceştia nu erau adresaţi numai anumitor platforme specifice,
precum Microsoft Word pentru Windows 3.x/95/NT si Macintosh, astfel încât ei puteau fi
folosiţi pentru orice program, uşurându-se calea de apariţie a cunoscuţilor microvirusi care au
infestat fişierele la acea vreme produsul Lotus AmiPro. Primul dintre macroviruşi a fost cel
folosit în Word si Word Basic.
Word Concept, virus de Microsoft Word, devine unul dintre cei mai raspanditi virusi din
anii '90.
 1996
In luna iulie a acestui an a aparut si primul microvirus cunoscut sub numele ZM.Laroux
care era destinat distrugerii produsului Microsoft Excel.

1998
StrangeBrew, actualmente inofensiv si totusi raportat, este primul virus care infecteaza
fisierele Java. Virusul modifica fisierele CLASS adaugand la mijlocul acestora o copie a sa si
incepand executarea programului din interiorul sectiunii virusate.
Virusul Cernobal se raspandeste rapid prin intermediul fisierelor ".exe". Dupa cum o
sugereaza si notorietatea numelui sau, virusul este nemilos, atacand nu numai fisierele dar si un
anumit cip din interiorul computerelor infectate.

1999
Virusul Melissa, W97M/Melissa, executa un macro dintr-un document atasat emailului,
care transmite mai departe documentul la 50 de adrese existente in Outlook address book.
Virusul infecteaza si documente Word pe care le trimite ca atasamente. Melissa se imprastie
mult mai rapid decat alti virusi anteriori infectand cam 1 milion de calculatoare.
Bubble Boy este primul virus care nu mai depinde de deschiderea atasamentului pentru a
se executa. De indata ce userul deschide email-ul, Bubble Boy se si pune pe treaba.

2000
Love Bug, cunoscut si sub numele de ILOVEYOU se raspandeste via Outlook,
asemanator modului de raspandire al Melissei. Acest virus e primit ca un atasament .VBS,
sterge fisiere, inclusiv MP3, MP2 si JPG si trimite username-uri si parole gasite in sistem
autorului virusului.
W97M.Resume.A, o noua varianta a Melissei, este "in the wild". Virusul se comporta
cam ca Melissa, folosindu-se de un macro Word pentru a infecta Outlook-ul si pentru a se
raspandi.
Virusul Stages deghizat intr-un email gluma despre etapele vietii, se raspandeste prin
Internet. Deloc specific celorlalti virusi anteriori, Stages este ascuns intr-un atasament cu
extensie falsa .txt, momind utilizatorii sa-l deschida. Pana la aparitia sa, fisierele text erau
considerate fisiere sigure.

In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an . Din 2-3
milioane pe an doar 2-3 virusi pot face probleme serioase in lume . De cand au aparut virusii,
companiile au pierdut miliarde de dolari . In 2001 pierderi de 12 miliarde , in 2002 pierderi de
25 de miliarde iar in 2003 - 55 miliarde . Pe 2004 100 miliarde si cifrele cresc in continuare an
de an.
 Clasificarea virusilor
Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o
proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau
fapte ilegale de şantaj si constrângere. In septembrie 1989 existau cam două duzini de viruşi.
Fiecare dintre aceştia avea variante: mici modificări în codul viral sau schimbarea mesajelor
afişate. De exemplu, virusul 17Y4 diferă de virusul 1704 doar cu un octet. În mai 1998 existau
aproximativ 20.000 de viruşi (zilnic apar 3 noi viruşi.
O clasificare riguroasa nu exista inca, dar se poate face tinand seama de anumite
criterii: modul de acţiune, tipul de ameninţare, grade de distrugere, tipul de instalare, modul de
declanşare etc. Există unele clasificări mai vechi care, desigur, nu mai corespund astăzi.
In forma cea mai generala virusii se impart in:
• Virusi hardware
• Virusi software
Virusii hardware sunt mai rar intalniti, acestia fiind de regula, livrati o data cu
echipamentul, ei fiind virusi care afecteaza hard-discul, floppy-discul si memoria.
Majoritatea sunt virusi software, creati de specialisti in informatica foarte abili si buni
cunoscatoari ai sistemelor de calcul, in special al modului cum lucreaza software-ul de baza si
cel aplicativ.
Cateva dintre efectele pe care le genereaza virusii software:
a) distrugerea unor fişiere;
b) modificarea dimensiunii fişierelor;
c) ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;
d) distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii informaţiei de pe
disc;
e) diverse efecte grafice/sonore inofensive;
f) încetinirea vitezei de lucru a calculatorului pana la bloc.

Virusii se mai pot imparti in doua mari categorii:

• Virusi de BOOT
• Virusi de fisiere

Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar

aceştia sunt în număr foarte mic.
Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului de
operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice disc logic
al hard discului şi orice dischetă care se introduce în unitatea de dischete. Tot în această
categorie intra şi viruşii care infectează tabela de partiţii a hard discului. Găsindu-se în tabela de
partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.
Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM. Cînd
programul infectat este rulat, virusul se activează rămînînd de cele mai multe ori rezident în
memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi numai atît, ar fi
simplu ! Din păcate viruşii de fişiere sunt de mai multe tipuri. Pînă acum am descris tipul
"clasic".
 Cei mai mulţi dintre viruşii de fişiere actuali sunt poliformi (se mai numesc mutanţi sau
evolutivi). Ei sunt codificaţi, conţinînd doar o mică parte - modulul de decodificare -
necodificată. În momentul activării virusului, modulul de decodificare intră în acţiune şi
decodifică restul virusului. Corpul virusului mai conţine - evident, veţi zice - şi un modul de
codificare. Folosind un generator de numere pseudoaleatoare acest modul îşi schimbă
algoritmul de codificare la fiecare infectare a unui fişier, modificînd modulul de decodificare.
Ca urmare, nu există o secvenţă comună mai mare de cîţiva octeţi între două contaminări
succesive.
Diabolicul bulgar care-şi zice Dark Avenger (Războinicul Întunecat) a realizat un
program numit MutaTion Engine (MtE) care poate transforma orice virus "clasic" într-un virus
poliform.
Un tip aparte de viruşi de fişiere îl constituie viruşii Stealth (de furişare). Aceştia sunt
capabili să păcălească programele antivirus, simulînd toate apelurile de sistem DOS care ar
duce la detectarea lor şi făcîndu-le să întoarcă acele informaţii care s-ar obţine în lipsa atacului.
Dacă un virus Stealth este rezident în memorie, el va păcăli un program antivirus care citeşte un
fişier infectat cu acest tip de virus, deoarece virusul îşi ascunde propriul cod, arătînd numai
codul fişierului. Termenul Stealth provine de la aviaţia "clandestină" a SUA care a reuşit să
evite detectarea prin radar în Razboiul din Golf. Această tehnică are o analogie biologică.
Viruşii mai pot fi clasificaţi după următoarele criterii:
După modul de infectare:
• viruşi care infectează fişierele cînd un program infectat este rulat;
• viruşi care rămîn rezidenţi în memorie cînd un program infectat este rulat şi infectează apoi
toate programele lansate în execuţie
Din punct de vedere al capacitatii de multiplicare:
• Virusi care se reproduc, infecteaza si distrug;
• Virusi care nu se reproduc, dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase
urme(Worms).
In functie de tipul distrugerilor in sistem:
• Virusi care provoaca distrugerea programului in care sunt inclusi;
• Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul se manifesta
prin incetinirea vitezei de lucru, blocarea tastaturii, reinitializarea aleatorie a sistemului, afisarea
unor mesaje sau imagini nejustificate;
• Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi:
distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului
radacina, alterarea integrala si irecuperabila a informatiei existente.
Dupa pozitia in cadrul fisierului infectat:
• viruşi care suprascriu fişierul, nemodificîndu-i lungimea (anumiţi viruşi suprascriu numai
zonele rezervate datelor pentru a nu împiedica funcţionarea programului - aceştia se numesc
viruşi de cavitate);
• viruşi care îşi adaugă codul la sfîrşitul programului;
• viruşi care îşi adaugă codul la începutul programului
 După viteza de infectare:
• viruşi rapizi (fast infector), care infectează toate fişierele care sunt descrise (chiar prin scanare
fişierele pot fi infectate);
• viruşi lenţi, care infectează numai programele care sunt lansate în execuţie.

Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt
aproape imposibil de studiat
Primii virusi atacau programele gazda. De exemplu, “Brain” inlocuia numele volumului
dischetei cu al sau; “Vendredi 13” crestea dimensiunea programelor cu 512 octetil “Data crime”
si “Vienna” se semnau prin respectiv 1168 si 648 octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au
reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile
sa infecteze un program, fara ca alterarea sa fie prea ostentativa.
Odata introdus pe disc, a doua faza a vietii unui virus este autoprogramarea. Virusii
incearca sa infecteze cat mai multe programe, inainte de a ataca propriu-zis. Pentru a opera cat
mai eficient, virusii isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca
o data. Pe acest principiu lucreaza si antivirusii, adica pe reperarea unei intruziuni. Ei analizeaza
unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect
major: virusul trebuie indentificat, deci tabela de semnaturi trebuie permanent reactualizata.
Virusii au forme de manifestare cat se poate de diverse.Unii se multumesc sa afiseze
mesaje de pace sau sa cante o melodie. Altii perturba lucrul utilizatorului,insa fara consecinte
prea dramatice.
De exemplu:
Virusul ” KeyPress” duce la aparitia pe ecran a sirului “AAAAA”, daca se apasa tasta
“A”.

Virusul "Te Iubesc": acesta a lovit internetul in 2000 infectand pozele si fisierele de
muzica din computere. Se putea identifica prin subiectul mail-ului care era "I Love You" sau
"Joke: Very Funny" virusul a devenit treptat tot mai periculos infectand fisiere importante
trebuind in final sa-ti restartezi computerul. Alte mesaje erau date de ziua mamei sau cu
subiectul "Hai sa ne intalnim la o cafea". Mai rau, altele pretindeau ca sunt mail-uri de la
companii anti-virus si te puneau sa instalezi o aplicatie care cica te-ar fi scapat de virusi insa, de
fapt, ti-i dadea.

Virusul HPS: primul din aceasta serie a fost creat pentru Windows 98 si si-a luat numele
dupa o boala care este transmisa de catre sobolani. HPS il face pe cel infectat sa aiba probleme
respiratorii, insa omologul sau pentru internet nu era deloc la fel de periculos. Virusul HPS a
fost lansat intr-o duminica si crea o imagine in oglinda a ceea ce era afisat pe ecran. Interesant
este ca acest virus a fost creat pentru Windows 98 inainte ca acesta sa fie lansat pe piata.
 Drogatul sau Virusul Marijuana: a fost unele dintre primele virusuri, infectand primele
sisteme DOS prin dischete. Prima data a afectat Noua Zeelanda in 1988 si nu facea altceva
decat sa afiseze pe ecran mesajul "Computerul tau este drogat. Legalizati Marijuana". Insa
unele dintre cele 90 de variante ale acestui virus (cu nume ca Donald Duck, Hawaii, Rostov,
Smithsonian, StonedMutation) reuseau pana la urma sa-ti blocheze computerul.

Virusul PolyPoster: acesta chiar reusea sa te faca de ras. PolyPoster nu numai ca iti
infecta fisierele MS Word dar le si posta pe grupuri pe internet fara ca tu sa-ti dai seama, cu
atragatorul mesaj "Informatii picante despre Monica Lewinsky". Virusul se infiltra in
computerele tuturor curiosilor care deschideau aceste fisiere.
Virusul Creier: creat de doi frati din Pakistan in 1986 acest virus nu s-a vrut virus la
inceput. Fratii au creat programul cu scopul de a proteja un software medical de a fi piratat. Dar
s-a dovedit a fi primul virus care sa infecteze calculatorul. Cunoscut sub diferite nume ca
Lahore, Pakistani, Pakistani Brain, Brain-A, UIUC, Ashar sau gripa pakistaneza acest virus
infecta Local Disk-ul, ii schimba numele in Brain si afisa textul in fisierele infectate. Mai manca
si 7 KB din memoria computerului facandu-l sa meraga foarte greu. Se pare ca cei doi frati nu
mintisera cand au zis ca a fost totul o greseala, pentru ca si-au facut publice numele, adresele,
numerele de telefon intr-un mail similar prin care ii rugau pe toti cei infectati sa-i contacteze
pentru vaccin.
Craniul: acum este vorba despre un virus de mobil. In 2004 acest troian a infectat cele
mai noi modele de telefoane Nokia care foloseau sistemul de operare Symbian. Cei care erau
infectati de Craniu isi gaseau iconitele de pe ecranul mobilului transformate in mici cranii si
oase. Singurul lucru pe care il puteau face cu sofisticatele mobile era sa dea sau sa primeasca
telefoane, celelalte functii inteligente fiind neoperabile.
Tantarul: Intr-o incercare de a stopa pirateria, sistemul Symbian OS a infectat in 2004
pe toti cei care incercau sa descarce ilegal versiuni ale jocului Mosquito (Tantarul), joc creat
special pentru mobilele inteligente. Odata instalat in mobil, troianul trimitea mesaje text cu
preturi exorbitante fara ca oamenii sa isi dea seama. Era simplu sa scapi de virus, singurul lucru
era sa dezinstalezi jocul. Insa nu-ti dadeai seama ca este ceva in neregula cu mobilul pana nu-ti
venea prima factura exorbitanta.

Cei mai neplacuti virusi sunt aceia care sunt programati pentru distrugerea datelor:
stergeri, formatari de disc, bruiaj de informatii, modificari in bazele de date,etc.Uneori, virusii
atacau dupa o lunga perioada de somnolenta. De exemplu,” Golden Gate” nu devine agresiv
decat dupa ce a infectat 500 de programe, “Cyber TechB” nu a actionat, in schimb, decat pana
la 31 decembrie 1993.

Morala: utilizatorul avizat(si patit) trebuie sa aiba grija ca periodic sa ruleze programe
antivitus.
 In manualul de utilizare al MS-DOS, Microsoft imparte virusii in trei categorii:

• Virusi care infecteaza sistemul de boot

• Virusi care infecteaza fisierele
• Virusi Cal Troian
Ultimii sunt acele programe care aparent au o anumita intrebuintare, dar sunt inzestrati
cu proceduri secundare distructive. Totusi, o clasificare mai amanuntita a virusilor ar arata
astfel:
Armati - o forma mai recenta de virusi, care contin proceduri ce impiedica dezasamblarea si
analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta
antidotul (ex:” Whale”).
Autoencriptori - inglobeaza in corpul lor metode de criptare sofisticate facand detectia destul
de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare( ex:
“Cascade”)
Bacteria - este programul care se înmulţeşte rapid si se localizează în sistemul gazdă, ocupând
procesorul si memoria centrală a calculatorului, provocând paralizia completă a acestuia.
Bomba (Bomb) - este un mecanism, nu neapărat de tip viral, care poate provoca în mod
intenţionat distrugerea datelor. Este de fapt ceea ce face faima viruşilor. Pentru utilizator
efectele pot varia de la unele amuzante, distractive, până la adevărate catastrofe, cum ar fi
ştergerea tuturor fişierelor de pe hard disk.
Bomba cu ceas (Timer bomb) - este un virus de tip bombă, numit si bombă cu întârziere,
programat special pentru a acţiona la un anumit moment de timp. Este de fapt, o secvenţă de
program introdusă în sistem, care intră în funcţiune numai condiţionat de o anumită dată si oră.
Această caracteristică foarte importantă face ca procesul de detectare să fie foarte dificil,
sistemul putând să funcţioneze corect o bună perioadă de timp. Acţiunea lui distructivă este
deosebită, putând şterge fişiere, bloca sistemul, formata hard disk-ul si distruge toate fişierele
sistem.
Bomba logică (Logic bomb) - este un virus de tip bombă, care provoacă stricăciuni atunci când
este îndeplinită o anumită condiţie, precum prezenta ori absenta unui nume de fişier pe disc. De
fapt, reprezintă un program care poate avea acces în zone de memorie în care utilizatorul nu are
acces, caracterizându-se prin efect distructiv puternic si necontrolat. O astfel de secvenţă de
program introdusă în sistem, intră în funcţiune numai condiţionat de realizarea unor condiţii
prealabile.
Camarazi - sunt avantajati de o particularitate a DOS-ului, care executa programele .com
inaintea celor .exe. Acesti virusi se ataseaza de fisierele .exe, apoi le copiaza schimband
extensia in .com. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati.
Odata lansat in executie fisierul respectiv, ceea ce se executa nu este fisierul .com, ci fisierul
.exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatii
Calul troian (Trojan horse) - reprezintă programul care, aparent este folositor, dar are scopul de
distrugere. Este un program virus a cărui execuţie produce efecte secundare nedorite, în general
neanticipate de către utilizator. Printre altele, acest tip de virus poate da pentru sistem o aparentă
de funcţionare normală.
Calul troian este un program pe calculator care apare pentru a executa funcţii valide, dar conţine
ascunse în codul său instrucţiuni ce pot provoca daune sistemelor pe care se instalează şi
rulează, deseori foarte severe.
Un exemplu foarte cunoscut astăzi de un astfel de program este cel numit Aids Information
Kit Trojan.
Pe un model de tip "cal troian" s-a bazat marea păcăleală care a stârnit multă vâlvă la
sfârşitul anului 1989. Peste 10.000 de copii ale unui disc de calculator, care păreau să conţină
informaţii despre SIDA, au fost expediate de la o adresă bine cunoscută din Londra, către
corporaţii, firme de asigurări si profesionişti din domeniul sănătăţii, din Europa si America de
Nord. Destinatarii care au încărcat discurile pe calculatoarele lor, au avut surpriza să descopere
destul de repede că acolo se aflau programe de tip "cal troian", toate extrem de periculoase.
Aceste programe au reuşit să şteargă complet datele de pe hard disk-urile pe care au fost
copiate.
Programele de tip "cal-troian" mai conţin o caracteristică importantă. Spre deosebire de viruşii
obişnuiţi de calculator, aceştia nu se pot înmulţi în mod automat. Acest fapt nu constituie însă o
consolare semnificativă pentru cineva care tocmai a pierdut zile si luni de muncă pe un
calculator.
Alte exemple de cai troieni:
1. Remote Access Trojans (RAT's)
Acest tip de troian este cel mai folosit in ultimul timp. Multa lume vrea sa detina un astfel de
troian pentru a putea avea acces la harddisk-ul victimei. Folosirea unui astfel de troian nu
necesita experienta, fiind foarte usor de utilizat. Trebuie doar sa convingeti pe cineva sa ruleze
serverul pe computerul lor dupa care ve-ti afla IP-ul victimei avand astfel acces deplin asupra
sistemului pe care a fost rulat serverul. In functie de tipul de "RAT" pe care il folositi ve-ti
putea efectua anumite operatii asupra sistemelor infectate. Majoritatea troienilor de acest tip
prezinta urmatoarele functi:
- keylogger;
- upload si download;
- realizarea unui screenshot;
- controlul asupra anumitor componente ale sistemului infectat (CD-ROM, Webcam);
Metoda de conectare la sitemul infectat folosita de RAT's (Remote Access Trojans) o reprezinta
deschiderea unui port in computerul infectat, prin care se poate conecta orice hacker. Pentru a
putea opri alte persoane sa se conecteze la computerul infectat exista posibilitatea de a-l parola
sau de a-i schimba portul. Schimbarea portului deschis este un proces foarte important deoarece
nu cred ca este bine ca victima sa constate ca de exemplu portul 1243 este deschis.
Aproape saptamanal apar noi astfel de programe ce vin cu noi posibilitati dar care au si
abilitatea de a nu fi detectate de anti-virusi. De aceea este recomandat sa folositi in general
ultimile versiuni de RAT's aparute, pentru a avea un randament cat mai mare.
Folosirea acestor programe presupune o atentie marita deoarece daca nu aveti grija va puteti
infecta foarte usor devenind din pradator prada.
2. Password Sending Trojans
Scopul acestor troieni este de a afla parolele unui computer iar apoi de a le trimite la o adresa de
e-mail specificata fara sa-si dea seama victima.
Marea majoritate a acestor troieni nu repornesc de fiecare data cand Windows-ul se incarca si in
general folosesc pentru a trimite mail-urile portul 25.
Exista cativa astfel de troieni ce trimit mail-uri si cu alte informatii folositoare.
3. FTP Trojans
Aceasta categorie de troieni deschid portul 21 pe computerul infectat lasand orice hacker, ce are
un client de FTP, sa se conectez la sistemul infectat pentru a putea realiza atat download cat si
upload.
4. Keyloggers
Keyloggers trojans sunt cei mai simpli troieni. Singura operatie pe care o realizeaza este aceea
de a inregistra fiecare tasta apasata de victima. In majoritatea cazurilor acesti troieni repornesc
de fiecare data cand se incarca Windows-ul. Prezinta posibilitatea de a lucra atat in mod online
cat si in mod offline. In modul online ei inregistreaza si trimit in mod direct informatia. Modul
offline este activat in momentul in care victima nu mai este conectata la retea (internet),
informatia inregistrata fiind salvata pe harddisk-ul victimei asteptand sa fie transferata.
5. Desctructive
Singura functie pe care o realizeaza acesti troieni este de a distruge si sterge fisierele. Sunt cei
mai simpli si usor de folosit deoarece pot sterge automat toate fisierele cu extensiile .dll .ini
sau .exe din computerul infectat. Sunt foarte periculosi si de indata ce ati fost infectat daca nu
va dezinfectati computerul intr-un timp cat mai scurt toata informatia stocata pe harddisk nu va
mai exista.
Acestea sunt cele mai folosite categori de Troieni. Toti sunt periculosi si ar trebui sa aveti grija
cum lucrati cu ei.
Furisati(stealth) - acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS.
Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a
crescut, deci este infectat . Exemplu:“512”,”Atheus”,”Brain”, ”Damage”,
”Gremlin”,”Holocaust”,”Telecom”
Virus al sectorului de boot (Boot sector virus) - este un tip de virus care distruge starea iniţială
a procesului de încărcare. El suprascrie sectorul de boot al sistemului de operare. Un virus al
sectorului de boot (încărcare) atacă fie sectorul de încărcare principal, fie sectorul de încărcare
DOS de pe disc. Toţi viruşii sectorului de încărcare modifică într-un anume fel conţinutul
sectorului de boot. Modificările sectorului de boot nu trebuie să fie prea extinse: unii viruşi mai
noi din această categorie sunt capabili să infecteze discul fix, modificând doar zece octeţi din
acest sector. Exemplu: ”Alameda”,”Ashar”,”Bloodie”,”Cannabis”,”Chaos”.
Virus ataşat (Appending virus) - este un virus care îşi ataşează codul la codul existent al
fişierului, nedistrugând codul original. Primul care se execută atunci când se lansează fişierul
infectat este virusul. Apoi, acesta se multiplică, face sau nu ceva stricăciuni, după care redă
controlul codului original si permite programului să se execute normal în continuare. Acesta
este modul de acţiune al unui "virus clasic".
Virus companion (Companion virus) - este un virus care infectează fişiere de tip .EXE prin
crearea unui fişier COM având acelaşi nume si conţinând codul viral. El speculează o anumită
caracteristică a sistemului DOS prin care, dacă două programe, unul de tip .EXE si celălalt de
tip .COM, au acelaşi nume, atunci se execută mai întâi fişierul de tip .COM.
Virus criptografic (Crypto virus)- un virus care se infiltrează în memoria sistemului si permite
folosirea absolut normală a intrărilor si transmiterilor de date, având proprietatea că, la o
anumită dată, se autodistruge, distrugând în acelaşi timp toate datele din sistem si făcându-l
absolut inutilizabil. Un astfel de atac poate fi, pur si simplu, activat sau anihilat, chiar de către
emiţător aflat la distanţă, prin transmiterea unei comenzi corespunzătoare.
Virus critic (Critical virus) - este un virus care pur si simplu se înscrie peste codul unui fişier
executabil fără a încerca să păstreze codul original al fişierului infectat. În cele mai multe
cazuri, fişierul infectat devine neutilizabil. Cei mai mulţi viruşi de acest fel sunt viruşi vechi,
primitivi, existând însă şi excepţii.
Virus cu infecţie multiplă (multi-partite virus) - este un virus care infectează atât sectorul de
boot, cât si fişierele executabile, având caracteristicile specifice atât ale viruşilor sectorului de
încărcare, cât si ale celor paraziţi. Acest tip de virus se ataşează la fişierele executabile, dar îşi
plasează codul si în sistemul de operare, de obicei în MBR sau în sectoarele ascunse. Astfel, un
virus cu infecţie multiplă devine activ dacă un fişier infectat este executat sau dacă PC-ul este
încărcat de pe un disc infectat. Exemplu: ”Authax”,” Crazy Eddie”,”Invader”,” Malaga”,etc
Virus de atac binar - este un virus care operează în sistemul de "cal troian", conţinând doar
câţiva biţi pentru a se putea lega de sistem, restul fiind de regulă mascat ca un “program
neexecutabil”
Virus de legătură (Link virus) - este un virus care modifică intrările din tabela de directoare
pentru a conduce la corpul virusului. Ca si viruşii ataşaţi, viruşii de legătură nu modifică
conţinutul însuşi al fişierelor executabile, însă alterează structura de directoare, legând primul
pointer de cluster al intrării de directoare corespunzătoare fişierelor executabile la un singur
cluster conţinând codul virusului. Odată ce s-a executat codul virusului, el încarcă fişierul
executabil, citind corect valoarea cluster-ului de start care este stocată în altă parte.
Virusii de macro fac parte dintr-o nouă generaţie de viruşi de fişiere. Viruşii macro infectează
documente, nu programe. Ei pot infecta numai documentele create cu programe care folosesc
limbaje macro (Word, Excel). Un exemplu de limbaj macro este WordBasic, care este inclus оn
Microsoft Word 7.0.
Pachetul Microsoft Office 97 foloseşte ca limbaj macro pentru programele componente
(Word 97, Excel 97, Access 97) o versiune restransa de Visual Basic numită Visual Basic for
Applications. Acesta este un limbaj puternic (permite chiar şi apeluri de sistem) care a
determinat apariţia viruşilor macro ce infectează şi bazele de date Access 97 (.MDB).
Deci acest tip de viruşi utilizează limbajul de programare macro al unei aplicaţii, pentru
a se distribui pe ei înşişi. De obicei fişierele document au ataşate macro-uri care sunt executate
automat la deschiderea lor. Unele dintre acestea pot fi de fapt secvenţe virale.
Un virus macro odată activat poate redefini comenzi ale programului care a deschis
documentul, cum ar fi salvarea sau tipărirea la imprimantă. Cel mai des acesta modifică
comanda de salvare a fişierelor (Save As din meniul File), astfel încît fişierele vor fi salvate
numai ca şabloane (template-uri - de exemplu .DOT pentru Word), dar cu extensia specifică
documentelor (în exemplul nostru .DOC). În final virusul infectează fişierul sablon global (de
exemplu template-ul NORMAL.DOT în cazul programului Microsoft Word), virusand apoi prin
intermediul acestuia orice document care se va deschide.
 Infecţiile cu un virus macro se răspîndesc mult mai rapid decît infecţiile cu viruşi
obişnuiţi, deoarece documentele sunt des folosite şi circulă mai mult decît alte tipuri de fişiere.
Programele Microsoft WordMail, saul Word Internet Assistant nu permit transmiterea
virusului. Un document infectat ataşat la un mesaj WordMail, poate fi însă transmis prim E-
mail. Deci atenţie la cutia poştală (electronică) !
Deoarece se scriu uşor, numărul viruşilor macro a crescut de la 40 în ianuarie 1997, la peste
2000 în vara anului 1998. Mulţi viruşi macro sunt variante ale altora (de exemplu există 86 de
variante ale virusului macro Wazzu).
Zilnic apar peste 10 viruşi macro.
Virus detaşabil (File jumper virus) - este un virus care se dezlipeşte el însuşi de fişierul infectat
exact înaintea deschiderii sau execuţiei acestuia şi i se reataşează atunci când programul este
închis sau se termină. Această tehnică este foarte eficientă împotriva multor programe de
scanare si scheme de validare, deoarece programul de scanare va vedea un fişier "curat" si va
considera că totul este în regulă. Aceasta este o tehnică de ascundere (stealth).
Virus invizibil (Stealth virus) - este un virus care îşi ascunde prezenta sa, atât faţă de utilizatori,
cât si faţă de programele antivirus, de obicei, prin interceptarea serviciilor de întreruperi.
Virus morfic (Morphic virus) - un virus care îşi schimbă constant codul de programare si
configurarea în scopul evitării unei structuri stabile care ar putea fi uşor identificată şi eliminată.

Virus nerezident (Runtime virus) - este opusul virusului rezident. Viruşii nerezidenţi în
memorie nu rămân activi după ce programul infectat a fost executat. El operează după un
mecanism simplu si infectează doar executabilele atunci când un program infectat se execută.
Comportarea tipică a unui astfel de virus este de a căuta un fişier gazdă potrivit atunci când
fişierul infectat se execută, să-l infecteze si apoi să redea controlul programului gazdă.
Virus parazit (Parasitic virus) - este un virus informatic, care se ataşează de alt program si se
activează atunci când programul este executat. El poate să se ataşeze fie la începutul
programului, fie la sfârşitul său, ori poate chiar să suprascrie o parte din codul programului.
Infecţia se răspândeşte, de obicei, atunci când fişierul infectat este executat. Clasa viruşilor
paraziţi poate fi separată în două: viruşii care devin rezidenţi în memorie după execuţie şi cei
nerezidenţi. Viruşii rezidenţi în memorie tind să infecteze alte fişiere, pe măsură ce acestea sunt
accesate, deschise sau executate.
Virus polimorf (Polymorphic virus) - este un virus care se poate reconfigura în mod automat,
pentru a ocoli sistemele de protecţie acolo unde se instalează. El este criptat si automodificabil.
Un virus polimorfic adaugă aleator octeţi de tip "garbage" (gunoi) la codul de decriptare si/sau
foloseşte metode de criptare/decriptare pentru a preveni existenta unor secvenţe constante de
octeţi. Rezultatul net este un virus care poate avea o înfăţişare diferită în fiecare fişier infectat,
făcând astfel mult mai dificilă detectarea lui cu un scaner. Exemplu: ”Andre”,” Cheeba”,”Dark
Avenger”,”Phoenix 2000”,” Maltese Fish”,etc
Virus rezident (Rezident virus) - este un virus care se autoinstalează în memorie, astfel încât,
chiar mult timp după ce un program infectat a fost executat, el poate încă să infecteze un fişier,
să invoce o rutină "trigger" (de declanşare a unei anumite acţiuni) sau să monitorizeze
activitatea sistemului. Aproape toţi viruşii care infectează MBR-ul sunt viruşi rezidenţi. În
general, viruşii rezidenţi "agaţă" codul sistemului de operare.
Marea majoritate a viruşilor actuali folosesc tehnici de ascundere. Există si un termen des
folosit în acest domeniu; el se numeşte stealth (ascundere) si desemnează tehnicile folosite de
anumiţi viruşi care încearcă să scape de detecţie. De exemplu, un lucru pe care-l pot face viruşii
rezidenţi, este să intercepteze comenzile (funcţiile) DOS de tip DIR si să raporteze dimensiunile
originale ale fişierelor, si nu cele modificate datorită ataşării virusului. Tehnicile Spawning si
File Jumper reprezintă metode de ascundere, fiind însă cu mult mai avansate.
Viruşii spioni - Pe lângă numeroşii viruşi, cunoscuţi la această oră în lumea calculatoarelor,
există o categorie aparte de astfel de "intruşi", care au un rol special: acela de a inspecta, în
calculatoarele sau reţelele în care pătrund, tot ceea ce se petrece, si de a trimite înapoi la
proprietar, la o anumită dată şi în anumite condiţii, un raport complet privind "corespondenta"
pe Internet si alte "acţiuni" efectuate de către cel spionat prin intermediul calculatorului.
Practic, un astfel de virus nu infectează calculatorul si, mai ales, nu distruge nimic din ceea ce
ar putea să distrugă. El se instalează, de regulă, prin intermediul unui mesaj de poştă electronică
şi aşteaptă cuminte până apar condiţiile unui răspuns la aceeaşi adresă. Cât timp se află în reţea,
acesta culege informaţiile care îl interesează, le codifică într-un anumit mod, depunându-le într-
o listă a sa si apoi le transmite la proprietar.
Un virus de acest gen poate pătrunde şi se poate ascunde, de exemplu, într-un fişier tip "doc"
primit printr-un e-mail. El îşi începe activitatea odată cu închiderea unui document activ, atunci
când verifică dacă acesta a fost infectat cu o anumită parte din codul său special.
Unii viruşi din această categorie îşi i-au măsuri ca să nu fie depistaţi si distruşi de programele de
dezinfectare.
Într-o secvenţă de cod, după o verificare si un control al liniilor, intrusul începe să înregistreze
diferite mesaje si acţiuni, le adaugă la lista sa secretă şi aşteaptă condiţiile ca să le transmită la
destinatar, nimeni altul decât cel care l-a expediat.
În unele variante ale sale de pe Internet acest tip de virus poate face singur o conexiune la o
adresă pe care o identifică singur. După aceasta, totul devine foarte simplu. E ca şi cum în casa
noastră se află permanent cineva care asistă din umbră la toate convorbirile noastre secrete şi
nesecrete şi, atunci când are prilejul, le transmite prin telefon unui "beneficiar" care aşteaptă.
Din păcate, viruşii spioni sunt de multe ori neglijaţi. Nici chiar programele de dezinfectare nu
sunt prea preocupate să-i ia în seamă si să-i trateze, motivul principal fiind acela că ei nu au o
acţiune distructivă directă.
Totuşi, pagubele pot fi uneori însemnate, nemaipunând la socoteală şi faptul că nimeni pe lumea
aceasta nu si-ar dori să fie "controlat" în intimitatea sa. Un astfel de spion poate sta mult si bine
într-un calculator, dacă nu este depistat la timp si înlăturat de un program serios de devirusare.
Este, desigur, un adevărat semnal de alarmă, pentru simplul motiv că asemenea "intruşi" există
şi pot pătrunde în viaţa noastră şi pe această cale.
Un astfel de virus spion a fost descoperit de un student în primăvara anului 1999, în reţeaua de
calculatoare a dezvoltătorilor de software ai Direcţiei Informatică din CS Sidex SA, de catre un
student.
Un program care acţionează în acest mod este cunoscut în literatura de specialitate cu numele de
spyware (spion).
O serie de viruşi de e-mail, precum celebrul Melissa, încearcă să trimită documente
confidenţiale - personale sau ale companiei la care lucraţi. Iar dacă celebrul cal troian numit
"Back Orifice" si-a găsit o cale către sistemul dvs., el va oferi control deplin asupra întregului
PC oricui va solicita acest lucru.
Chiar si în condiţiile în care sistemul este bine protejat împotriva atacurilor din exterior, este
posibil ca o trădare să se petreacă din interior. Cu alte cuvinte, atunci când vă conectaţi la
Internet este posibil să fie partajată conexiunea cu un parazit, adică un program spion care are
propria sa activitate si care se conectează la momente prestabilite la site-ul său de Web.
Unele programe spyware sunt instalate în mod automat atunci când vizitaţi un anumit site de
Web ce face apel la ele. Altele sunt instalate împreună cu aplicaţii de tip shareware sau
freeware. Instalarea se produce uneori fără a fi conştienţi de ea sau chiar acceptabilă prin
apăsarea butonului Yes fără citirea textului licenţei de utilizare.
Programele spyware nu sunt denumite astfel pentru că ele "fură" informaţii private ci pentru
modul secret în care acţionează, fără a fi cunoscute sau fără a cere vreo permisiune din partea
utilizatorului.
Scopul lor declarat pare destul de inofensiv. Unele dintre ele, denumite adbots, programe de
recepţionat mesaje publicitare, afişează aceste informaţii în programele asociate si încearcă să
ajusteze mesajul publicitar preferinţelor si obiceiurilor utilizatorilor. Altele colectează
informaţii statistice pentru clienţii lor. Toate aceste programe pretind că vă protejează
informaţiile private si la o analiză atentă se dovedeşte că au dreptate. Informaţiile nepersonale
ce sunt adunate de aceste programe ar putea fi totuşi folosite într-un mod neadecvat, iar
prezenta lor pe sistemul dvs. i-ar putea compromite securitatea.

Ce este un vierme de calculator?

Viermele (Worm) - este un program care, inserat într-o reţea de calculatoare, devine activ într-o
staţie de lucru în care nu se rulează nici un program. El nu infectează alte fişiere, aşa cum fac
adevăraţii viruşi. Se multiplică însă în mai multe copii pe sistem si, mai ales, într-un sistem
distribuit de calcul. În acest fel "mănâncă" din resursele sistemului (RAM, disc, CPU etc.).
Un vierme este un tip de virus care poate sa infecteze un sistem fara sa fie nevoie sa ruleze un
cod; acesta poate sa exploateze vulnerabilitatile aplicatiilor software si sa se instaleze automat
in computer. Si acest tip de virus se va raspandi in retea si va incerca sa foloseasca
vulnerabilitatile descoperite pentru multiplicarea cat mai multor sisteme.
Un vierme este asemanator unui virus prin faptul ca se auto-copiaza, diferenta constând în
faptul ca un vierme nu are nevoie sa se ataseze la anumite fisiere pentru a se multiplica.

Istoria viermilor
Aparitia:
Pe 2 noiembrie 1988 unele din calculatoarele cuplate la reteaua numita Internet, care lega o
parte dintre marile universitati si centre de cercetare americane, au început sa exhibe simptome
ciudate. Calculatoarele executau tot felul de programe, compilau surse si comunicau cu alte
calculatoare din retea, fara ca cineva sa fi initiat aceste activitati. Prima alarma a fost pornita la
universitatea Stanford, la ora 9 seara (ora coastei de est a Statelor Unite), care afirma ca
majoritatea masinilor Unix din campus (în numar de vreo 2500) erau infectate de un virus care
pornise de la MIT. La ora 10 seara programatorii de la MIT au descoperit si ei o activitate
suspicioasa si au încercat sa reboot-eze calculatoarele, crezînd ca e vorba de un program care a
luat-o razna. Cînd au observat însa ca, nu mult timp dupa repornire, calculatoarele re-începeau
acelasi lant de activitati bizare, au realizat ca ceva mai serios se afla la mijloc.
În curînd mesaje de e-mail schimbate cu colegi de la alte universitati le-au revelat ca atacul era
universal: calculatoare din toata America sufereau deaceleasi simptome. Au urmat apoi doua
nopti albe si munca în foc continuu în care hacker-ii încercau sa înteleaga în ce fel functioneaza
noul virus care le ataca calculatoarele. La fel ca si cei biologici, virusii de obicei calatoresc în
spinarea altor programe, care forteaza celulele organismului gazda sa-I multiplice. Programul
cel nou era însa autonom; ca atare a fost botezat ``vierme'': era un organism de sine-statator,
capabil sa se multiplice si sa atace de la sine alte calculatoare.
Cercetatorii au atacat viermele prin mai multe metode:
• au început sa-l dezasambleze si sa descifreze instructiunile din care era compus;
• au creat masini-capcana pe care sa le infecteze, care înregistrau o multime de detalii despre
ceea ce se petrecea cu ele însele (creau ``log-uri'');
• au creat masini-mutant pe care le paralizau partial, pentru a descoperi care sunt serviciile de
care viermele are nevoie pentru a se putea multiplica;
Viermele acesta era deosebit de virulent si complicat, atacînd statii de lucru Sunsi VAX care
rulau sistemul de operare Unix de la Berkeley. Viermele folosea mai multe metode de
propagare, exploatînd mai multe slabiciuni în configurarea calculatoarelor si implementarea
programelor:
• Întîi încerca sa se transfere între calculatoare pe care acelasi utilizatoravea conturi diferite si
între care utilizatorul îsi configurase acces faraparole (folosind fisierele .rhosts);
• Daca nu reusea folosind acest mecanism, încerca sa foloseasca o slabiciune din programul
send mail, care si la ora actuala este cel mai folosit program pentru procesarea postei
electronice. Pe multe calculatoare send mail era instalat compilat cu o configuratie de depanare,
care permitea executarea unor comenzi de la distanta;
• În fine, viermele exploata un bug din implementarea programului finger, care este folosit în
mod normal pentru a vedea cine lucreaza pe un calculator la distanta. Viermele exploata pentru
prima oara un tip de bug care este la ora actuala extrem de folosit de alte animale de acelasi
gen:buffer overflow. Viermele trimitea programului fingerd, care primeste întrebari despre
utilizatori prin retea, un nume de utilizator foarte lung,care depasea memoria alocata pentru
receptia mesajului. Numele era atît de lung încît scria gunoi peste stiva programului si modifica
valoarea salvata a registrului PC. Aceasta cauza un salt la o adresa dinainte stabilita, aflata în
numele foarte lung, unde viermele continea codul care prelua controlul.
• Odata instalat pe un calculator, viermele încerca sa decripteze unele din parolele utilizatorilor
folosind un dictionar de parole obisnuite, pentru a pune mîna pe noi conturi din care sa re-atace
folosind prima metoda.
• Viermele se propaga în doua etape pe un nou calculator pe care-l infecta: întîi trimitea un scurt
program scris în C, care era compilat pe masinalocala, care apoi aducea si restul viermelui, care
consta în module pre-compilate pentru Sun si VAX.
• În plus, în interiorul viermelui toate sirurile de caractere (inclusiv comenzilepe care viermele
le lanseaza în executie si dictionarul de parole inclus) erau “ascunse” (fiecare caracter este
suprapus cu un sau exclusiv cuvaloarea 81).
Viermele nu efectua actiuni distructive, cum ar fi stergerea de fisiere sau instalarea de conturi
ascunse: singurul efect negativ provenea din faptul ca masinile erau infectate în mod repetat, si
repede nu faceau altceva decît sa execute copii ale viermelui.
Cercetari ulterioare au relevat faptul ca viermele fusese creat si lansat de un student la doctorat
al universitatii Cornell, pe nume Robert Tappan Morris. În mod oarecum ironic, Morris este fiul
unui alt Robert Morris, care era pe vremea aceea era cercetator la National Security Agency, o
organizatie guvernamentala americana însarcinata cu criptologia.
Robert Morris a fost condamnat la trei ani de închisoare cu suspendare pentru fapta sa, 10000 de
dolari amenda si 400 de ore de munca în serviciul comunitatii.
Dupa terminarea sentintei Robert Morris a terminat doctoratul la universitatea Harvard si
începînd din 1999 este profesor la universitatea MIT, lucrînd în domeniul retelelor de
calculatoare.Morris nu a avut aceste succese ulterioare datorita pataniei cu viermele: el a reusit
sa-si “repare” cariera în pofida istoriei cu viermele, pentru ca este foarte capabil si inteligent. În
prezent refuza sa vorbeasca despre vierme sau sa faca cercetare în securitatea calculatoarelor.
O multime de rapoarte au descris aceste evenimente în detaliu si au discutat problema securitatii
în Internet imediat dupa aceste evenimente. Cu toate acestea, nimic nu s-a schimbat...

Clasificari ale viermilor

Viermii care se transmit prin e-mail
E-mailul este una din cele mai folosite metode de imprastiere a viermilor. De obicei, este sub
forma unui e-mail cu atasament (o poza sau un fisier text), iar cand utilizatorul ruleaza acest
atasament, viermele va infecta calculatorul. Dupa ce calculatorul este infectat, viermele va
incerca sa gaseasca alte adrese de e-mail pe calculator (de obicei in fisierele de configurare ale
clientilor de e-mail) si se va trimite automat la toate adresele pe care le gaseste, pornind astfel
un nou ciclu.
Viermii care se transmit prin IM (Internet Messaging)
Viermii care se transmit prin IM se vor imprastia folosind clienti de IM (Yahoo,MSN, AOL..).
Ei actioneaza trimitind tuturor celor din lista celui infectat un link spre un fisier infectat sau spre
un site. Cand este dat click pe linkul respectiv, viermele este downloadat si rulat. Astfel se va
infecta calculatorul respectiv.
Viermele va incepe sa scaneze lista de contacte a calculatorului respectiv, trimitand acelasi link
la toti cei din lista, pornind astfel un nou ciclu.
Viermii care se transmit prin Internet
Exista posibilitatea sa te infectezi cu un vierme doar fiind conectat la Internet.
Unii viermi cauta Internetul pentru a gasi calculatoare vulnerabile (fara update-uri
de securitate, fara firewall). Odata gasit un calculator vulnerabil, va incerca sa se copieze si sa
se instaleze pe acesta.
Viermii care se transmit prin retea
Sunt viermi care se copiaza automat intr-un director care este vizibil in reteaua locala (share), si
se redenumeste automat astfel incat sa atraga atentia, fiind apoi downloadat de catre utilizatorii
din retea. Utilizatorii care cred ca downloadeaza o oarecare aplicatie, vor ajunge infectati cu
acel vierme.

Viermele Caric-A: aparut tot in perioada scandalului cu Bill Clinton, acest program malitios se
activa dupa ce deschideai un atasament de mail cu o caricatura a lui Clinton cantand la saxofon
din care iesea un sutien.
Viermele Wurmark: a aparut in 2005 si era ascuns intr-o poza cu un batranel haios. Dupa ce
descarcai poza in computer, viermele instala un troian care le permitea hacker-ilor sa preia
controlul partilor infectate din calculator. Nu numai ca si tu transmiteai fara sa vrei mai departe
virusul, mai mult, iti si stergea la intamplare fisiere din computer sau le trimitea la contactele din
lista de mail.
Viermele Cuebot-K: acesta a facut multa valva. Sistemul antipiraterie creat de Windows,
Windows Genuine Advantage (WGA), era acuzat de catre utilizatori ca fiind de fapt o forma de
spyware. Microsoft a incercat sa rezolve problema creand o versiune noua a programului, lucru de
care au profitat programatorii de virusuri creand viermele Cuebot-K. Acest program din 2006 a
aparut pe net pretinzand ca este noua versiune Microsoft. Se lansa singur cand deschideai
computerul si afisa mesaje cum ca dezinstalarea lui va face computerul sa se blocheze. Dar ce
facea cel mai rau, era sa deschida o usa din spate prin care hackerii puteau sa-ti intre in computer.

Care sunt simptomele unui sistem virusat?

Cei care sunt iniţiaţi în domeniul viruşilor de calculatoare nu vor avea probabil
dificultăti în a spune dacă un calculator este suspect de a fi infectat cu un virus nou. Viruşii se
pot răspândi nestingheriţi doar atâta timp cât rămân nedetectaţi. Din acest motiv, majoritatea
viruşilor nu îşi manifestă prezenţa în sistem. Numai programele antivirus pot detecta prezenta
unei asemenea infecţii. Există, totuşi, mai multi viruşi, ce îsi fac simţită prezenţa în sistem prin
efectele secundare generate.
Câteva "simptome" specifice calculatoarelor virusate (lista este orientativã, cazurile
reale fiind mult mai numeroase si diverse):
• fişierele sistem cresc în lungime (de exemplu în DOS 6.20 fişierul command.com are
54619 octeţi, iar pe un calculator virusat el poate avea, să zicem cu 1200 de octeţi mai mult,
respectiv 55819);
• blocări frecvente - majoritatea viruşilor sunt extrem de prost scrişi si blochează calculatorul
extrem de des. Viruşii sunt de altfel cunoscuţi ca cele mai incompatibile programe (exceptând
viruşii multiplatformã, ca de exemplu clasa "Concept" - viruşii de .doc Word);
• mesaje ciudate, melodii sau sunete suspecte în difuzor. Mulţi viruţi îşi fac anunţatã prezenţa
prin astfel de efecte;
• distrugerile de date sunt alt efect al viruşilor. Dispariţia subită a unui fişier sau erori ale
sistemului de fişiere sunt clasice;
• încetinirea accesului la disc este produs de unii viruşi stealth care se interpun între
programe şi sistemul de acces la discuri;
• la apăsarea tastelor CTRL+ALT+DEL calculatorul boot-ează instantaneu fără a mai trece
prin ecranul de POST (power on, self test);
• la comanda chkdsk majoritatea programelor executabile sunt raportate ca având o lungime
incorectă: efect al unor viruşi stealth;
• dimensiunea memoriei afişată de programele specializate este mai mică decât 640Kb.
Uneori acest efect este generat de unele managere de memorie fără a fi vorba de un virus, dar de
obicei indică prezenţa unui virus;
 • programele de tip self-check raportează cã au fost modificate;
• nu mai porneşte Windows sau se raportează că accesul la disc se face prin BIOS;
• schimbări ale marcajului de timp al fişierelor;
• încărcarea mai grea a programelor;
• operarea înceată a calculatorului;
• sectoare defecte pe dischete.

Modalitati de protectie. Programe antivirus

Odata ajuns in calculator, pentru a-si indeplini in mod eficient scopul, virusul actioneaza
in doua etape. In prima faza de multiplicare, virusul se reproduce doar, marind astfel
considerabil potentialul pentru infectari ulterioare. Din exterior nu se observa nici o activitate
evidenta. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de
declansare(rularea de un numar de ori a unui program,atingerea unei anumite date de catre
ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc). Urmatoarea faza este cea
activa,usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de pe ecran,stergerea
unor fisiere sau chiar reformatatrea hard disk-ului.
Pe langa fisierele executabile sunt atacate si datele de baza. Desii virusii au nevoie de o
gazda pentru a putea supravietui,modul de coexistenta cu ea este diferit de la un virus la altul.
Exista virusi paraziti care nu altereaza codul gazdei,ci doar se atasaza. Atasarea se poate face la
inceputul, la sfarsitul sau la mijlocul codului gazda, ca o subrutina proprie.
In contrast cu acetia, altii se inscriu pur si simplu pe o parte din codul gazdei. Acestia
sunt deosebit de periculosi, deoarece fisierul gazda este imposibil de recuperat.
Pentru ca virusul sa se extinda, codul sau trebuie executat fie ca urmare indirecta a
invocarii de catre utilizator a unui program infectat, fie direct, ca facand parte din secventa de
initializare.
O speranta in diminuarea pericolului virusilor o constituie realizarea noilor tipuri de
programe cu protectii incluse. Una dintre acestea consta in includerea in program a unei sume
de control care verifica la lansare si blocheaza sistemul daca este infectat. In perspectiva,se pot
folosi sisteme de operare mai putin vulnerabile. Un astfel de sistem de oprerare este UNIX,in
care programul utilizator care poate fi infectat nu are acces la toate resursele sistemului.
Virusii care se inmultesc din ce in ce mai mult, polifereaza datorita urmatorilor factori:
• Punerea in circulatie prin retele internationale a unei colectii de programe sursa de virusi, pe
baza carora s-au scris mai multe variante de noi virusi
• Aparitia si punerea in circulatie, cu documentatie sursa completa, a unor pachete de programe
specializate pentru generarea de virusi. Doua dintre acestea sunt Man’s VCL (Nuke) si PC-
MPC de la Phalcon/Skim; ambele au fost puse in circulatie in 1992.
• Distribuirea in 1992, via BBS-ului bulgar, a programului MTE - “ masina de produs mutatii”-
conceput de Dark Avenger din Sofia. Acest program este insotit de o documentatie de utilizare
suficient de detaliata si de un virus simplu, didactic.
• Link-editarea unui virus existent cu MTE si un generator de numere aleatoare duce la
transformarea lui intr-un virus polimorf. Virusul polimorf are capaciatetea de a-si schimba
secventa de instructiuni la fiecare multiplicare, functia de baza ramanand nealterata,dar
devenind practic de nedectat prin scanare
• Raspandirea BBS-urilor (Bulletin Board System), care permit oricarui utilizator Pc dotat cu un
modem sa transmita programe spre si dinspre un calculator. Un sitem este lipsit de virusi, daca
in memorie nu este rezident sau ascuns nici un virus,iar programele care se ruleaza sunt curate.
In aceasta conceptie, programul antivirus vizeaza atat memoria calculatoarelor, cat si
programele executabile. Cum in practica nu poate fi evitata importarea de fisiere virusate,
metode antivirus cauta sa asigure protectie in anumite cazuri perticulare, si anume:
• la un prim contact cu un program,in care se recunoaste semnatura virusului, se foloseste
scanarea. Aceasta consta in cautarea in cadrul programelor a unor secvente sau semnaturi
caracateristice virusilor din biblioteca programului de scanare;
• daca programele sunt deja cunoscute, nefiind la primul contact, se folosesc sume de control.
Aceste sume constituie o semnatura a programului si orice modificare a lui va duce la o
modificare a sumei sale de control;
• in calculator exista o serie de programe care nu se modifica, reprezentand zestrea se soft a
calculatorului, care se protejeaza pur si simplu la scriere.

Scanarea se aplica preventiv la prelucrarea fisierelor din afara sistemului,deci este utila in faza
primara de raspandire a virusilor. Ea poate fi salvatoare, chiar daca se aplica ulterior (de pe o
discheta sistem curata), in faza activa,deoarece in numeroase cazuri poate recupera fisierele
infectate.
Concluzii:
• aria de actiune; memoria si fisierele de interes;
• protectia se mnifesta la primul contact cu orice fisier;
• permite dezinfectarea;
• nu detecteaza virusi noi. Orice virus nou trebuie introdus in lista de virusi a programului de
scanare;
• timpul de scanare creste odata cu cresterea numarului de virusi cautati si cu numarul de fisiere
protejate;
• exista alarme false, daca semnatura virusului este prea scurta;
• foloseste ca resursa memoria calculatorului;
• opereaza automat (ca un TSR).

Sumele de control sunt calculate cu polinoame CRC si pot detecta orice schimbare in
program,chiar daca aceasta consta numai in schimbarea ordinii octetilor. Aceasta permite
blocarea lansarii in executie a programelor infectate,chiar de virusi necunoscuti, dar nu permite
recuperarea acestora. Metoda este deosebit de utila in faza de raspandire a virusilor,orice fisier
infectat putand fi detectat. In faza activa,insa metoda este neputicioasa.
 Programele de protectie-programe antivirus- au rolul de a realiza simultan urmatoarele
activitati:
• prevenirea contaminarii;
• detectarea virusului;
• eliminarea virusului, cu refacerea contextului initial;

In general, exista doua categorii de programe antivirus:

• programe care verifica fisierele pentru a descoperi texte neadecvate sau sematuri de virusi
recunoscuti;
• programe rezidente in memoria interna, care intercepteaza instructiunile speciale sau cele care
par dubioase.
In categoria programelor de vierificare se include cele de tip SCANxxx,unde prin xxx s-a
specificat numarul asociat unei versiuni, de exemplu: SCAN86, SCAN102, SCAN108,
SCAN200.
Aceste programe verifica intai memoria interna si apoi unitatea de disc specifica, afisand pe
monitor eventuali virusi depistati si recunoscuti in versiunea respectiva. Dupa aceasta verificare,
utilizatorul va incerca aliminarea virusului depistat,prin intermediul programelor CLEARxxx,
prin specificarea numelui virusului; de remarcat ca, folosind acest program, nu exista
certitudinea curatirii virusilor,datorita fie a nerecunoasterii acestora, fie a localizarii acestora in
locuri care nu pot fi intotdeauna reperate.

În finalul acestui capitol prezentăm alte câteva sfaturi care ar putea fi foarte utile pentru a vă
proteja sistemul împotriva viruşilor calculatoarelor :
- nu încercaţi programe executabile de pe sistemele de buletine informative dacă nu sunteţi
sigur că ele sunt fără viruşi (eventual aţi văzut pe altcineva folosind programul fără probleme).
- nu preluaţi programe executabile vândute prin poştă şi care ţin de domeniul public sau în
regim shareware, dacă nu se precizează că se verifică fiecare program vândut.
- nu încărcaţi niciodată un program transmis de curând pe un sistem de buletine informative,
până când el nu a fost verificat de operatorul de sistem. Când încărcaţi programul, faceţi-o pe un
sistem cu două unităţi de dischetă, astfel încât el să nu se apropie de hard disk.
- nu copiaţi dischete pirat ale programelor comercializate, deoarece ele pot conţine viruşi.
- cumpăraţi şi folosiţi programe recunoscute de detectare a viruşilor
- instalaţi un program de detectare a viruşilor, rezident în memorie, care să examineze fişierele
pe care le copiaţi în calculator.
- instalati un firewall.
- asigurati-va ca sistemul dumneavoastra este la zi continand toate update-urile existente.
- pastrati setarile referitoare la securitatea browserului la nivel mediu sau ridicat.
- niciodata nu dati 'Yes' cand browserul va intreaba daca vreti sa instalati/rulati continut provenit
de la o organizatie pe care nu o cunoasteti sau in care nu aveti incredere.
- instalati un program anti-spyware pentru a spori protectia antivirus.
- nu instalati nici o bara de cautare ajutatoare pentru browser decat daca provine de la o sursa de
incredere.
- verificati in care certificate ale companiilor software puteti avea incredere.
- folositi o carte de credit numai pentru cumparaturi on-line.
- nu executati attachement-urile de la email-uri chiar daca aparent au fost trimise de prieteni.

.
 Actualii virusi si viermi

Amenintarile informatice din prima jumatate a anului 2008 au urmat si in Romania

aceleasi tendinte de intensificare si diversificare inregistrate la nivel global, clasamentul celor
mai periculoase 10 tipuri de malware fiind dominat in proportie de 70% de troieni.

Cercetatorii Laboratorului Antimalware BitDefender au remarcat ca autorii de malware

prefera sa profite in continuare de vulnerabilitatile sistemelor informatice prin intermediul
virusilor camuflati sub aparenta unor aplicatii legitime. Totodata, se mentine preferinta pentru
exploatarea vulnerabilitatilor software.

Prima pozitie este ocupata de Trojan.Clicker.CM, detinator al unui procent de 4,20 din
numarul de sisteme infectate in Romania, in semestrul intai al anului 2008. Troianul altereaza
resursele sistemului, limitand latimea de banda prin deschiderea in browser a unui numar sporit
de ferestre pop-up cu continut comercial, astfel incat sa-l determine pe utilizator sa acceseze
site-urile care isi fac reclama in acest mod.

Locul al doilea, cu 4,19% din cifra totala a sistemelor infectate, ii revine lui
Trojan.Downloader.JS.Istbar.B, o amenintare JavaScript care, exploatand vulnerabilitati de
sistem, descarca si instaleaza malware sub forma de module ActiveX.

Pe pozitia a treia il regasim, la distanta de aproape un procent fata de ocupantul pozitiei

secunde, pe Trojan.IFrame.AS, un malware ce exploateaza o vulnerabilitate HTML a
aplicatiilor Web browser prin intermediul careia unui sistem i se poate solicita accesarea de
continut on-line fara acordul utilizatorului. Si acest troian, asemeni celui plasat pe pozitia
precedenta, este folosit ca instrument pentru distributia altor tipuri de malware.

Win32.Jeefo.A se afla pe locul al patrulea, detinand 2,97 procente. Acest agent viral
paraziteaza directorul sistemului de operare printr-o copie a fisierului SVCHOST.EXE ce
ruleaza ca serviciu pe sistemele unde este instalat Microsoft Windows.
Jeefo este responsabil de infectarea tuturor fisierelor executabile din sistem, carora le altereaza
continutul prin adaugarea de cod (ce le mareste dimensiunea cu aproximativ 36 Kb), in unele
cazuri deteriorandu-le iremediabil.

Locul al cincilea este detinut, cu 2,49%, de Trojan.VB.AIA. Acest troian scris in Visual Basic
dezactiveaza prin suprascriere elementele de siguranta pasiva din Norton Antivirus si
paraziteaza toate fisierele cu extensia .mpg, .avi, .jpg, .mp3, carora le creeaza duplicate
denumite identic in care se inoculeaza, adaugandu-le extensia .exe. Este foarte raspandit, fiind
intalnit cu precadere in mediul extrem de favorabil al sistemelor care partajeaza fisiere in
retelele Peer-2-Peer.
 Trojan.Js.Wonka.UQ, posesor al unui procentaj de 1,96, se plaseaza pe pozitia a sasea.
Prezenta constanta pe podiumul clasamentelor malware din Romania in ultimele doua luni,
aceasta amenintare JavaScript perturba sistemele gratie unei vulnerabilitati ActiveX din
browser-ul Internet Explorer. Troianul este responsabil de descarcarea si raspandirea altor tipuri
de malware.

Locul sapte, la diferenta de numai patru sutimi, este ocupat de Win32.Worm.Viking.BU. Agent
viral cu predilectie pentru executabile, Viking infecteaza nu doar discurile locale, ci si pe cele
partajate in retea, anihiland totodata mai multe solutii de securitate pasiva, precum Kasperski.
Viking injecteaza o componenta .DLL in executabilele Internet Explorer sau Windows
Explorer, descarcand simultan alte fisiere stocate pe Web, pe care, ulterior, incearca sa le
execute pe sistemul compromis.

Win32.Fidcop.Gen se claseaza al optulea, la numai doua sutimi distanta de ocupantul pozitiei

precedente. Si aceasta tulpina virala vizeaza atat fisierele executabile locale, cat si pe cele
stocate in retea, evitandu-le insa pe cele din directoare ale caror nume contin elemente precum
„Win”, „Program Files”, „Music” sau „Documents and”. Prin intermediul unui fisier numit
„ole16.dll” pe care-l introduce in directorul System32 din Microsoft Windows, Fidcop
infecteaza sistemul si identifica procesele din spatele ferestrelor active de pe desktop care au o
anumita dimensiune. Apoi, colecteaza si cripteaza toate sirurile alfanumerice introduse de
utilizator de la tastatura (precum nume de utilizator, parole de acces etc.) in aceste ferestre si le
posteaza pe un forum al carui domeniu este inregistrat in Federatia Rusa.

Pe locul noua, il intalnim pe Trojan.Clicker.HTML.IFrame.AR, care acumuleaza un procentaj

de 1,72. Troianul poate fi contractat atunci cand sunt incarcate pagini Web cu potential
infectios, precum cele care promoveaza software piratat, pornografie sau care sunt folosite ca
instrumente in actiuni de tip phishing. In momentul accesarii, acestea descarca automat un script
Java care afecteaza comportamentul browser-ului, prin redirectionarea catre o sursa de malware
al carei domeniu este inregistrat, de asemenea, in Federatia Rusa.

Ultima pozitie ii revine lui Trojan.Peed.Gen, cu 1,56%. Una dintre cele mai spectaculoase si
longevive specii de malware, Peed creeaza copii infectate ale tuturor executabilelor pe care le
depisteaza, atribuindu-le noi nume aleatoare. Simultan, la fiecare 4 secunde scaneaza sistemul si
inchide automat orice fereastra care apartine unui produs antimalware. In plus, genereaza trafic
prin trimiterea de mesaje carora le anexeaza fisiere executabile infectate catre toate adresele de
e-mail pe care le gaseste in sistem.
Numarul total de virusi si infectari Trojan a depasit 1 milion la sfarsitul lui 2008, potrivit
lui Jari Heinomen, vicepresedintele F-Secure.
Anul 2009 se arata a fi mult mai agitat din perspectiva amenintarilor informatice decat
2008. Inca din primele zile ale anului au aparut incidente de tip phishing localizate, avand ca
tinta banci romanesti, iar realitatea ultimelor zile arata ca 3 din 10 calculatoare sunt predispuse
la infectarea cu viermele Downadup, din cauza insuficientelor masuri de securitate luate de
companii dar si de utilizatorii individuali.