u5v8vk
Virusii de calculator au produs pana in prezent pagube de ordinul zecilor miliarde
de euro dar, in acelas timp, au dus la perfectionarea programelor software si
antivirus din intreaga lume. Aparitia lor a fost semnalata cu 18 ani in urma,
iar EVOLUTIA VIRUSILOR COINCIDE CU INSASI DEZVOLTAREA INDUSTRIEI SOFTWARE .
CE ESTE UN VIRUS ?
Un virus de calculator este un program proiectat sa se replice si sa se imprastie,
infectand cat mai multe calculatoare, fara ca utilizatori sa realizeze acest
lucru . Virusi se imprastie atasandu-se de alte programe, fisiere de tipul EXE
sau COM, documente WORD, EXCEL, chiar si HLP sau care pot sa infecteze sectorul
de boot al discului. Cand se lanseaza in executie un fisier infectat sau cand
porneste calculatorul de pe un disc sau o discheta virusata, se lanseaza si
virusul in executie . Adesea, virusul ramane rezident in menoria calculatorului,
pentru a putea infecta urmatorul program lansat in executie sau urmatoarea discheta
accesata .
Virusii periculosi au abilitatea de a executa actiuni in calculator . In timp
ce unele din aceste actiuni sunt doar deranjante (cum ar fi afisarea unui mesaj
la o anumita data sau ca raspuns la o anumita actiune a utilizatorului calculatorului),
exista virusi care pot distruge fisiere de date, documnete sau chiar CALCULATORUL
.
VIRUSI IN FAZA INCIPIENTA
Totul a inceput in 1986 . Atunci a avut loc prima atestare a unui virus . Doi
frati pakistanezi, Basit si Amjad, au constatat ca sectorul boot al unei dischete
contine un cod executabil si ca acesta este rulat de fiecare data cand se porneste
calculatorul utilizand o discheta in drive-ul A . Ei au observat ca pot inlocui
acest cod cu un program propriu, care poate fi un program rezident in memorie
si care poate instala o copie a lui pe orice discheta ce este accesata in orice
‘drive’.
Au nimit acest program virus . Inceputul era modest, deoarece virusul infecta
doar dischetele de 360 kB . In 1987, programatorii de la Universitatea din Delaware
au constatat ca au acest virus cand au vazut eticheta ‘c Brain’
pe o discheta . Tot ce facea el era sa se autocopie si punea o eticheta de volum
pe discheta.
In anul 1986, un programator pe nume Ralf Burger a ajuns la concluzia ca un
fisier putea fi conceput astfel incat sa se copie pe el insusi, prin atasarea
unei copii a lui la un alt fisier . El a scris o demonstratie a acestui efect,
pe care a numit-o VIRDEM (Virus Demonstration) si a distribuit-o la conferinta
pe tema virusilor Chaos Computer Club, in luna decembrie a acelui an . VIRDEM
ar fi infestat orice fisier COM . Din nou pagubele erau destu de nesemnificative
. Acest fapt a atras totusi atata interes, incat Ralf Burger a fost rugat sa
scrie o carte .
In aceeasi perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz
Swoboda a fost primul care a remarcat faptul ca acest virus era raspandit printr-un
program numit Charlie si s-a facut multa publicitate in jurul acestei descoperiri
. Ralf Burger a obtinut o copie a acestui virus si i-a dat-o unui prieten, Berdt
Fix, care l-a dezansamblat (a fost pentru prima oara cand cineva a dezansamblat
un virus) . Burger a inclus aceasta dezansamblare in cartea sa, dupa ce a scos
cateva parti, pentru a face virusul mai putin periculos si pentru a diminua
pagubele pe care le producea . Efectul unui virus de tipul celui din Viena este
de a determina un fisier din opt sa rebooteze calculatorul (virusul copiaza
primi cinci octeti de cod) ; Burger (poate Fix) a inlocuit acest cod de rebootare
cu cinci spatii . Efectul era ca fisierele copiate bloca calculatorul, in loc
sa-l rebooteze .
In 1987, la Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut
sub numele de Lehigh . Acesta a fost un model extrem de nereusit - nu era prevazut
sa se raspandeasca in afara universitatii, pentru ca infecta doar COMMAND.COM
si crea multe pagube gazdei, dupa numai patru reproduceri .
In aceasta perioada, la Tel Aviv, un alt programator facea experiente . Primul
sau virus a fost numit Suriv-01(cuvantul virus scris invers) . Era un virus
rezident in memorie , ce putea sa infecteze orice fisier COM -; o strategie
de infectare mult mai buna decat strategiile utilizate de virusul vienez, caci
ducea la infectarea tuturor fisierelor de pe toate ‘ drive-urile’
si din toate directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar
fisierele EXE, dar a fost primul de acest fel din lume . Cea de-a treia incercare
Suriv-03, un virus ce ataca atat fisierele EXE, cat si cele COM . A patra incercare
a sa s-a raspandit in intreaga lume si s-a numit Jerusalem . In fiecare vineri
13, in loc sa infecteze fisierele care rulau, acesta le stergea .
Tot in acea vreme, un student de la Universitatea din Wellington, Noua Zeelanda,
a gasit o cale foarte simpla de a crea un virus foarte eficient . O singura
data din opt, cand se booteaza de pe o discheta infectata, virusul se declanseaza
si pe monitor aparea mesajul ‘PC-ul tau este acum impietrit’ de
unde si numele virusului (STRONED). Virusul in sine avea dimensiuni de cateva
sute de octeti, dar din cauza reproducerii rezidente in memorie a devenit cel
mai raspandit vius din lumea intreaga . Virusul original se numeste scum Stoned.Standard.A
, fiind si astazi in topul celor mai raspanditi virusi .
In Italia, la Universitatea din Torino, un programator a scris si el un virus
de sector boot . Daca discul era accesat, din jumatate in jumatate de ora virusul
iti afisa o minge miscatoare pe ecran (bouncing ball) . Virusul avea un defect
major -; nu putea sa ruleze doar pe calculatoarele 8086 sau 8088, pentru
ca folosea o instructiune care nu functiona pe chipuri mai complexe .
Tot in anul 1987, un programator german a scris un virus foarte destept numit
-; Cascade (dupa literele cazatoare pe care le afisa) . Cea mai mare parte
a virusului era encriptata, lasand doar o mica parte necodata, curata, pentru
a putea decoda restul cu ea . Rostul acestui mecanism nu a fost destul de clar,
dar in mod cert ingreuna recuperarea fisierelor infectate si reducea obtiunile
de alegere a sirului de cautare doar la primi cativa octeti . Cascade trebuia
sa verifice si Bios-ul, si daca ar fi gasit un copyright IBM ar fi stopat procesul
de infectare . Aceasta parte a codului nu a functionat . Autorul a emis la putin
timp dupa aceea o noua versiune a virusului, de 1074 octeti in loc de 1701,
cu scopul de a corecta aceasta greseala . Dar si noua versiune avea o scapare
: nu era in stare sa detecteze Bios-urile IBM .
Dintre acesti virusi timpurii doar Stonsd , Cascade si Jerusalem au rezistat
pana in zilele noastre .
COMERT ANTIVIRUS
1988 este anul in care au aparut primi comercianti de antivirus, pe care le
vindeau la preturi foarte reduse (5-10 USD) . Unele firme au incercat, ocazional,
sa se propulseze, dar nimeni nu platea bani seriosi pentru o potentiala problema
. Astfel, s-a dat o sansa virusilor Stoned, Cascade si Jerusalem de a se raspandi,
fara a fi descoperiti .
Totusi, compania IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut
parte de o epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia
neplacuta de a-si anunta clientii ca s-ar putea sa fi fost infectati . De fapt,
nu a fost o problema foarte serioasa dar, din acel moment, IBM a luat problema
in seros si, drept rezultat, la High Integrity Computing Laboratory din Yorktown
s-a decis sa se inceapa cercetarile in acest domeniu .
La sfarsitul lui 1988 au avut loc aproape simultan mai multe evenimente : o
epidemie mare de Jerusalem intr-o institutie financiara ; al doilea -;
o firma britanica numita S&S a tinut primul seminar pe tema virusilor, seminar
care a explicat in premiera ce este un virus si cum lucreaza el ; al treilea
-; a avut loc epidemia de ‘Vineri 13’ . Un lucru era clar pentru
toti : instituti financiare, grupurile academice si persoanele fizice ar putea
cu usurinta sa faca fata unei epidemii, daca ar avea uneltele necesare . Tot
ce trebuia era un detector eficient de virusi, care nu era insa disponibil .
Ca atare, a fost crea primul Anti Virus Toolkint .
REVOLUTIA VIRUSILOR
In 1989, un scotian a contactat cercetatori din Anglia si le-a comunicat ca
a gasit un virus in hard disk-ul sau . El a mentionat ca se numeste Datacrime
si ca era ingrijorat ca se va declansa din nou pe data de 13 luna viitoare .
Cand virusul a fost dezansamblat, s-a constataca ca in orice zi dupa octombrie
el declansa o formatare low level a cilindrului zero de pe hard disk, care determina
pe cele mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si
lasa utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime.
A fost publicata o analiza a efectelor virusului dar s-a constataca ca era vorba,
de fapt, de un alt virus, nerezident in memorie . In America oameni au inceput
sa-l numeasca ‘Columbus Day Virus ‘ (12 octombrie) si s-a sugerat
ca a fost scris de un terorist norvegian, suparat de faptul ca nu Eric cel Rosu
a adescoperit America, ci Columb. Singurul leac pentru a elimina Datacrime era
de a rula un detector .
In luna iulie, companiile scotiene au inceput sa intrebe IBM daca virusii sut
o amenintare serioasa . Datacrime nu exista poate, dar exista posibilitatea
ca o firma sa se infecteza cu Jerusalem, Cascade sau Stoned . ‘Ce face
IBM-ul impotriva acestei amenintari ?’ , au intrebat ei .IBM detinea un
program antivirus, insa era folosit doar pentru uz intern . IBM avea o dilema
:daca nu oferea acest software clientilor si daca pe 13 octombrie o serie de
calculatoare ar fi cazut, reputatia sa avea de suferit . In septembrie 1989,
IBM a scos pe piata impreuna cu o scrisoare prin care ei explicau clientilor
despre ce era vorba . 13 octombrie a cazut intr-o vineri, asa ca a fost un eveniment
dub -; Jerusalem si Datacrime . In SUA, Datacrime a fost exagerat si confundat
cu unul care nu este atat de periculos ca acesta . In Londra, Royal National
Institute for the Blind a anuntat ca a avut un atac si ca a pierdut o multine
de date importante de cercetare, reprezentand luni intregi de munca . Acest
eveniment a fost investigat si se inregistrase intradevar o mica eruptie de
Jerusalem si cateva fisiere usor de inlocuit au fost sterse .
DUPA 1990
Mark Washburn a analizat in 1990 virusul Viena si a creat pe baza lui primul
virus polimorf . Ideea virusilor sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg
virusul era criptat si ca exista un descriptor la inceputul sau . Dar descriptorul
putea sa aiba o gama larga de forme si, in primi virusi, cel mai lung sir de
cautare posibil era doar de doi octeti (V2P6 a caborat acest prag pana la octet
) . Pentru a detecta acest virus, era nevoie de scrierea unui algoritm care
ar fi aplicat teste logice fisierului si ar fi decis daca octetii la care se
uita erau unii dintre posibilii descriptori .
Au aparut virusii Dark Avenger care au introdus doua idei noi . Prima idee era
acea de ‘infector rapid’ . In cazul acestora daca virusul era in
memorie, atunci simpla deschidere a unui fisier pentru citire ducea la infectare
. Hard disk-ul este infectat foarte repede . Cea de-a doua idee noua in acest
virus a fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional
un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita perioanda
de timp, se face un back-up al fisierelor corupte si, cand este refacut back-up-ul,
datele sunt de nefolosit .
La sfarsitul anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie
sa fie mult mai organizati, asadar a luat nastere in Hamburg EICAR (European
Institute for Computer Antivirus Research), in decembrie 1990 . La vremea cand
a fost creat EICAR existau aproximativ 150 de virusi . In 1991 problema virusilor
a atras marilor companii : Symantec a lansat Norton Anti Virus in decembrie
1990, iar Central Point a lansat CPAV in aprilie 1991 . Acesta a fost repede
urmat de XTree, Fifth Generation si altii . In decebrie 1990 erau aproximativ
200-300 de virusi ; in decembrie 1991 erau 1000. In zilele noastre apar zilnic
aproximativ 100 de virusi, deci milioane pe an . din 2-3 milioane pe an doar
2-3 virusi pot face probleme serioase in lume . De cand au aparut virusii companiile
au pierdut miliarde de dolari . In 2001 pierderi de 12 miliarde , in 2002 pierderi
de 25 de miliarde iar in 2003 -; 55 miliarde . Pe 2004 se estimeaza o suma
de 100 miliarde . In prezent cel mai titrate si cele mai bune antivirusuri sunt
Norton Antivirus si Bit Defender .