| Referate | Director web | Adauga link | Contact |



         

        

Virus vs Antivirus



Virusii de calculator au produs pana in prezent pagube de ordinul zecilor miliarde de euro dar, in acelas timp, au dus la perfectionarea programelor software si antivirus din intreaga lume. Aparitia lor a fost semnalata cu 18 ani in urma, iar EVOLUTIA VIRUSILOR COINCIDE CU INSASI DEZVOLTAREA INDUSTRIEI SOFTWARE .


CE ESTE UN VIRUS ?  

    Un virus de calculator este un program proiectat sa se replice si sa se imprastie, infectand cat mai multe calculatoare, fara ca utilizatori sa realizeze acest lucru . Virusi se imprastie atasandu-se de alte programe, fisiere de tipul EXE sau COM, documente WORD, EXCEL, chiar si HLP sau care pot sa infecteze sectorul de boot al discului. Cand se lanseaza in executie un fisier infectat sau cand porneste calculatorul de pe un disc sau o discheta virusata, se lanseaza si virusul in executie . Adesea, virusul ramane rezident in menoria calculatorului, pentru a putea infecta urmatorul program lansat in executie sau urmatoarea discheta accesata .

    Virusii periculosi au abilitatea de a executa actiuni in calculator . In timp ce unele din aceste actiuni sunt doar deranjante (cum ar fi afisarea unui mesaj la o anumita data sau ca raspuns la o anumita actiune a utilizatorului calculatorului), exista virusi care pot distruge fisiere de date, documnete sau chiar CALCULATORUL .


VIRUSI IN FAZA INCIPIENTA

   Totul a inceput in 1986 . Atunci a avut loc prima atestare a unui virus . Doi frati pakistanezi, Basit si Amjad, au constatat ca sectorul boot al unei dischete contine un cod executabil si ca acesta este rulat de fiecare data cand se porneste calculatorul utilizand o discheta in drive-ul A . Ei au observat ca pot inlocui acest cod cu un program propriu, care poate fi un program rezident in memorie si care poate instala o copie a lui pe orice discheta ce este accesata in orice ’drive’.

Au nimit acest program virus . Inceputul era modest, deoarece virusul infecta doar dischetele de 360 kB . In 1987, programatorii de la Universitatea din Delaware au constatat ca au acest virus cand au vazut eticheta ’c Brain’ pe o discheta . Tot ce facea el era sa se autocopie si punea o eticheta de volum pe discheta.

     In anul 1986, un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui la un alt fisier . El a scris o demonstratie a acestui efect, pe care a numit-o VIRDEM (Virus Demonstration) si a distribuit-o la conferinta pe tema virusilor Chaos Computer Club, in luna decembrie a acelui an . VIRDEM ar fi infestat orice fisier COM . Din nou pagubele erau destu de nesemnificative . Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte .

     In aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz Swoboda a fost primul care a remarcat faptul ca acest virus era raspandit printr-un program numit Charlie si s-a facut multa publicitate in jurul acestei descoperiri . Ralf Burger a obtinut o copie a acestui virus si i-a dat-o unui prieten, Berdt Fix, care l-a dezansamblat (a fost pentru prima oara cand cineva a dezansamblat un virus) . Burger a inclus aceasta dezansamblare in cartea sa, dupa ce a scos cateva parti, pentru a face virusul mai putin periculos si pentru a diminua pagubele pe care le producea . Efectul unui virus de tipul celui din Viena este de a determina un fisier din opt sa rebooteze calculatorul (virusul copiaza primi cinci octeti de cod) ; Burger (poate Fix) a inlocuit acest cod de rebootare cu cinci spatii . Efectul era ca fisierele copiate bloca calculatorul, in loc sa-l rebooteze .

    In 1987, la Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut sub numele de Lehigh . Acesta a fost un model extrem de nereusit  - nu era prevazut sa se raspandeasca in afara universitatii, pentru ca infecta doar COMMAND.COM si crea multe pagube gazdei, dupa numai patru reproduceri .

   In aceasta perioada, la Tel Aviv, un alt programator facea experiente . Primul sau virus a fost numit Suriv-01(cuvantul virus scris invers) . Era un virus rezident in memorie , ce putea sa infecteze orice fisier COM o strategie de infectare mult mai buna decat strategiile utilizate de virusul vienez, caci ducea la infectarea tuturor fisierelor de pe toate ’ drive-urile’ si din toate directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar fisierele EXE, dar a fost primul de acest fel din lume . Cea de-a treia incercare Suriv-03, un virus ce ataca atat fisierele EXE, cat si cele COM . A patra incercare a sa s-a raspandit in intreaga lume si s-a numit Jerusalem . In fiecare vineri 13, in loc sa infecteze fisierele care rulau, acesta le stergea .

       Tot in acea vreme, un student de la Universitatea din Wellington, Noua Zeelanda, a gasit o cale foarte simpla de a crea un virus foarte eficient . O singura data din opt, cand  se booteaza de pe o discheta infectata, virusul se declanseaza si pe monitor aparea mesajul ’PC-ul tau este acum impietrit’ de unde si numele virusului (STRONED). Virusul in sine avea dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in memorie a devenit cel mai raspandit vius din lumea intreaga . Virusul original se numeste scum Stoned.Standard.A , fiind si astazi in topul celor mai raspanditi virusi .

     In Italia, la Universitatea din Torino, un programator a scris si el un virus de sector boot . Daca discul era accesat, din jumatate in jumatate de ora virusul iti afisa o minge miscatoare pe ecran (bouncing ball) . Virusul avea un defect major nu putea sa ruleze doar pe calculatoarele 8086 sau 8088, pentru ca folosea o instructiune care nu functiona pe chipuri mai complexe .

     Tot in anul 1987, un programator german a scris un virus foarte destept numit Cascade (dupa literele cazatoare pe care le afisa) . Cea mai mare parte a virusului era encriptata, lasand doar o mica parte necodata, curata, pentru a putea decoda restul cu ea . Rostul acestui mecanism nu a fost destul de clar, dar in mod cert ingreuna recuperarea fisierelor infectate si reducea obtiunile de alegere a sirului de cautare doar la primi cativa octeti . Cascade trebuia sa verifice si Bios-ul, si daca ar fi gasit un copyright IBM ar fi stopat procesul de infectare . Aceasta parte a codului nu a functionat . Autorul a emis la putin timp dupa aceea o noua versiune a virusului, de 1074 octeti in loc de 1701, cu scopul de a corecta aceasta greseala . Dar si noua versiune avea o scapare : nu era in stare sa detecteze Bios-urile IBM .

      Dintre acesti virusi timpurii doar Stonsd , Cascade si Jerusalem au rezistat pana in zilele noastre . 

COMERT ANTIVIRUS

     1988 este anul in care au aparut primi comercianti de antivirus, pe care le vindeau la preturi foarte reduse (5-10 USD) . Unele firme au incercat, ocazional, sa  se  propulseze, dar nimeni nu platea bani seriosi pentru o potentiala problema . Astfel, s-a dat o sansa virusilor Stoned, Cascade si Jerusalem de a se raspandi, fara a fi descoperiti .

   Totusi, compania IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut parte de o epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia neplacuta de a-si anunta clientii ca s-ar putea sa fi fost infectati . De fapt, nu a fost  o problema foarte serioasa dar, din acel moment, IBM a luat problema in seros si, drept rezultat, la High Integrity Computing Laboratory din Yorktown s-a decis sa se inceapa cercetarile in acest domeniu .

    La sfarsitul lui 1988 au avut loc aproape simultan mai multe evenimente : o epidemie mare de Jerusalem intr-o institutie financiara ; al doilea o firma britanica numita S&S a tinut primul seminar pe tema virusilor, seminar care a explicat in premiera ce este un virus si cum lucreaza el ; al treilea a avut  loc epidemia de ’Vineri 13’ . Un lucru era clar pentru toti : instituti financiare, grupurile academice si persoanele fizice ar putea cu usurinta sa faca fata unei epidemii, daca ar avea uneltele necesare . Tot ce trebuia era un detector eficient de virusi, care nu era insa disponibil . Ca atare, a fost crea primul Anti Virus Toolkint . 


REVOLUTIA VIRUSILOR    

   In 1989, un scotian a contactat cercetatori din Anglia si le-a comunicat ca a gasit un virus in hard disk-ul sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va declansa din nou pe data de 13 luna viitoare . Cand virusul a fost dezansamblat, s-a constataca ca in orice zi dupa octombrie el declansa o formatare low level a cilindrului zero de pe hard disk, care determina pe cele mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si lasa utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A fost publicata o analiza a efectelor virusului dar s-a constataca ca era vorba, de fapt, de un alt virus, nerezident in memorie . In America oameni au inceput sa-l numeasca ’Columbus Day Virus ’ (12 octombrie) si s-a sugerat ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel Rosu  a adescoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era de a rula un detector .

   In luna iulie, companiile scotiene au inceput sa intrebe IBM daca virusii sut o amenintare serioasa . Datacrime nu exista poate, dar exista posibilitatea ca o firma sa se infecteza cu Jerusalem, Cascade sau Stoned . ’Ce face IBM-ul impotriva acestei amenintari ?’ , au intrebat ei .IBM detinea un program antivirus, insa era folosit doar pentru uz intern . IBM avea o dilema :daca nu oferea acest software clientilor si daca pe 13 octombrie o serie de calculatoare ar fi cazut, reputatia sa avea de suferit . In septembrie 1989, IBM a scos pe piata impreuna cu o scrisoare prin care ei explicau clientilor despre ce era vorba . 13 octombrie a cazut intr-o vineri, asa ca a fost un eveniment dub Jerusalem si Datacrime . In SUA, Datacrime a fost exagerat si confundat cu unul care nu este atat de periculos ca acesta . In Londra, Royal National Institute for the Blind a anuntat ca a avut un atac si ca a pierdut o multine de date importante de cercetare, reprezentand luni intregi de munca . Acest eveniment a fost investigat si se inregistrase intradevar o mica eruptie de Jerusalem si cateva fisiere usor de inlocuit au fost sterse . 


DUPA 1990

  Mark Washburn a analizat in 1990 virusul Viena si a creat pe baza lui primul virus polimorf . Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si ca exista un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama larga de forme si, in primi virusi, cel mai lung sir de cautare posibil era doar de doi octeti (V2P6 a caborat acest prag pana la octet ) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat teste logice fisierului si ar fi decis daca octetii la care se uita erau unii dintre posibilii descriptori .

  Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era acea de ’infector rapid’ . In cazul acestora daca virusul era in memorie, atunci simpla deschidere a unui fisier pentru citire ducea la infectare . Hard disk-ul este infectat foarte repede . Cea de-a doua idee noua in acest virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda de timp, se face un back-up al fisierelor corupte si, cand este refacut back-up-ul, datele sunt de nefolosit .

   La sfarsitul anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie sa fie mult mai organizati, asadar a luat nastere in Hamburg EICAR (European Institute for Computer Antivirus Research), in decembrie 1990 . La vremea cand a fost creat EICAR existau aproximativ 150 de virusi . In 1991 problema virusilor a atras marilor companii : Symantec a lansat Norton Anti Virus in decembrie 1990, iar Central Point a lansat  CPAV in aprilie 1991 . Acesta a fost repede urmat de XTree, Fifth Generation si altii . In decebrie 1990 erau aproximativ 200-300 de virusi ; in decembrie 1991 erau 1000. In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an . din 2-3 milioane pe an doar 2-3 virusi pot face probleme serioase in lume . De cand au aparut virusii companiile au  pierdut  miliarde de dolari . In 2001  pierderi de 12 miliarde , in 2002 pierderi de 25 de miliarde iar in 2003 55 miliarde . Pe 2004 se estimeaza o suma de 100 miliarde . In prezent cel mai titrate si cele mai bune antivirusuri sunt Norton Antivirus si Bit Defender .