Analiza viruşilor informatici

Articol postat de:

computer_virus

Virusul este un software, de regulă distructiv, proiectat pentru a infecta un sistem informatic. Viruşii informatici sunt creaţi din diverse motive; un specialist vrea să-şi demonstreze abilităţile, o firmă producătoare de software îşi protejează programele (activează un virus la copierea ilicită), o firmă de soft producătoare de antiviruşi lansează un virus pentru a-şi vinde produsele.

Virusul prezintă două caracteristici de bază: se auto-execută şi se auto-multiplică.

Mecanismul de activare verifică dacă s-a întâmplat un anumit eveniment sau o anumită condiţie. Când aceasta are loc, virusul îşi execută obiectivul care de cele mai multe ori este unul nedorit, distructiv pentru sistemul informatic. În funcţie de motivele autorului, un virus poate crea daune imediat după execuţia lui sau poate aştepta până când are loc un anumit eveniment. În cazul în care mecanismul de activare verifică dacă a fost atinsă o anumită dată calendaristică pentru a executa virusul, putem spune că virusul este o bombă cu ceas (time bomb). Dacă se verifică existenţa unei condiţii, ca de exemplu lansarea în execuţie a unui program de un anumit număr de ori), putem numi virusul bombă logică (logic bomb). Astfel pot exista diferite mecanisme de activare sau niciunul, în acest caz existând doar infectarea iniţială. O dată ce virusul a fost activat, pot declanşa acţiuni devastatoare pentru un sistem cum ar fi ştergerea informaţiilor de pe sistemul de stocare sau schimbarea tabelei de partiţii a hard disk-ului.

Iniţial virusul se află în interiorul unui program, strecurat printre instrucţiuni. Atât timp cât programul nu este executat, virusul nu este activat. Odată ce acesta a fost activat, virusul încearcă să se infiltreze printre instrucţiunile altor programe, contaminând întreg sistemul. Această acţiune poartă numele de mecanism de replicare.

Mecanismul de replicare îndeplineşte următoarele funcţii:

  • caută alte programe pentru a le infecta;
  • verifică programul găsit dacă a mai fost infectat anterior după semnătura virusului;
  • inserează instrucţiuni ascunse în interiorul programului;
  • modifică secvenţa de execuţie a programului infectat astfel încât instrucţiunile ascunse să fie executate ori de câte ori programul este apelat;
  • creează o semnătură pentru a indica faptul că programul a fost infectat pentru a nu fi infectat încă o dată .

Această semnătură a virusului este necesară pentru ca programele din interiorul sistemului informatic să nu fie infectate în mod repetat, acest lucru ducând la creşterea dimensiunii programelor şi automat la detecţia existenţei virusului. Mecanismul de replicare poate îndeplini şi alte funcţii cum ar fi resetarea datei de modificare a documentului infectat la valoarea ei iniţială (data la care a fost creat documentul) sau raportarea dimensiunii iniţiale a documentului şi nu pe cea în urma infectării.

Viruşii informatici pot fi clasificaţi în funcţie de programul executabil în care se infiltrează sau în funcţie de modalitatea lor de funcţionare.

În funcţie de programul executabil în care se infiltrează, există mai multe tipuri de viruşi:

  • viruşi MBR (Master Boot Record) – sunt acei viruşi care infectează MBR-ul de pe hard disk-uri; MBR-ul fiind sectorul care conţine un scurt program ce încarcă sistemul de operare. Dacă acest sector este corupt, sistemul de operare nu se mai poate încărca.
  • viruşi BS (Boot Sector) – sunt asemănători cu viruşii MBR, singura diferenţă fiind că viruşii BS au ca ţintă dischetele, CD-urile sau DVD-urile;
  • viruşi de fişiere – sunt viruşii ce infectează o anumită categorie de fişiere. De obicei sunt infectate fişierele executabilele (cele ce au extensia .EXE sau .COM), fişierele overlay (au extensia .OVL) sau fişierele de sistem (au extensia .SYS sau .DRV).
  • viruşi de macro-uri – viruşii se plasează într-unul sau mai multe macro-uri din cadrul documentelor de tip Microsoft Office şi utilizează funcţionalităţile Visual Basic for Applications.
  • viruşi pereche – sunt viruşii ce creează un fişier executabil nou, cu acelaşi nume, dar cu extensia .COM. Dacă sunt întâlnite două fişiere executabile cu acelaşi nume, dar cu extensii diferite: .COM şi .EXE, sistemul de operare Microsoft Windows lansează întâi fişierul cu extensia .COM.
  • viruşii de link-uri – sunt viruşii ce alterează structura de directoare, redirecţionând calea directorului unui fişier infectat către zona în care este localizat virusul. După lansare, virusul poate încărca fişierul executabil, citind calea corectă a directorului fişierului respectiv.
  • viruşi specifici – sunt viruşii ce infectează anumite aplicaţii:
    • viruşi de ActiveX – sunt scrişi pentru a infecta produsele Microsoft. Utilizează un cod încărcat pe un server şi se răspândesc în staţiile locale;
    • viruşii VB script – folosesc Visual Basic pentru a accesa un cod dăunător de pe un server web şi a-l răspândi în staţiile de lucru locale. Este suficientă accesarea unei pagini web pentru a infecta sistemul local de operare;
    • viruşii de Java – folosesc programele Java pentru a efectua operaţii nedorite pe staţiile de lucru.

După modalitatea de funcţionare şi de tehnicile folosite, viruşii se clasifică în:

  • viruşi invizibili – folosesc tehnici de mascare care ascund faptul că sistemul a fost infectat. Când sistemul de operare încearcă să afle dimensiunea unui program infectat, virusul ascuns scade o parte din aceste date, egală cu dimensiunea propriului cod şi o înlocuieşte cu datele corecte. Astfel, dacă programul este doar citit de un scanner de viruşi, dar nu este rulat, codul viral este ascuns şi nu poate fi detectat .
  • viruşi polimorfici – folosesc o tehnică de modificare a propriului cod viral, utilizând tehnici de criptare avansate. Acest proces de modificare se numeşte mutaţie. Prin mutaţie, un virus îşi poate schimba dimensiunea şi compunerea. În plus, îşi pot modifica  semnătura, fiind astfel mult mai greu de detectat de programele antivirus.
  • viruşi rezidenţi sau non-rezidenţi în memoria calculatorului:
    • viruşi rezidenţi în memorie – se instalează la un nivel înalt la memoriei RAM pentru a se ataşa fişierelor executabile sau documentelor de tip Microsoft Office ce sunt deschise la un moment dat. Aceşti viruşi pot controla întregul sistem şi îl pot infecta oricând.
    • viruşi non-rezidenţi – sunt activaţi numai la pornirea aplicaţiei gazdă.

Sursa foto: www.integrit-network.com
Sursa articolului: MIHAI, Ioan-Cosmin; “Securitatea informațiilor”, ISBN 978-606-11-29203-4, Editura Sitech, 2012


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>