Programe Antivirus

Scopul lucrării: Definirea unui antivirus, depistarea simptomelor de infectare cu un virus a SO, explicarea algoritmului de lucru a antivirusului. Definirea unui program antispyware. Algoritmul lui de lucru.

Clasificarea viruşilor

Viruşii informatici nu afectează numai buna funcţionare a calculatoarelor. Printr-o proiectare corespunzătoare a părţii distructive, cu ei pot fi realizate si delicte de spionaj sau fapte ilegale de şantaj si constrângere.

Virusii se mai pot imparti in doua mari categorii:

• Virusi de BOOT

• Virusi de fisiere

Există şi viruşi cu caracteristicile ambelor categorii (şi de BOOT şi de fişiere), dar aceştia sunt în număr foarte mic.

Viruşii de BOOT au diferite reacţii. Ei se încarcă în memorie înaintea sistemului de operare, transferă conţinutul de BOOT în alt sector, amestecă datele. Infectează orice disc logic al hard discului şi orice dischetă care se introduce în unitatea de dischete. Tot în această categorie intra şi viruşii care infectează tabela de partiţii a hard discului. Găsindu-se în tabela de partiţii, ei se încarcă în memorie înaintea sectorului de BOOT.

Viruşii de fişiere se fixează de regulă pe fişierele cu extensia EXE sau COM. Cînd programul infectat este rulat, virusul se activează rămînînd de cele mai multe ori rezident în memorie pentru a infecta orice program se va lansa în execuţie. Dacă ar fi numai atît, ar fi simplu ! Din păcate viruşii de fişiere sunt de mai multe tipuri. Pînă acum am descris tipul "clasic".

Cei mai mulţi dintre viruşii de fişiere actuali sunt poliformi (se mai numesc mutanţi sau evolutivi). Ei sunt codificaţi, conţinînd doar o mică parte - modulul de decodificare - necodificată. În momentul activării virusului, modulul de decodificare intră în acţiune şi decodifică restul virusului. Corpul virusului mai conţine - evident, veţi zice - şi un modul de codificare. Folosind un generator de numere pseudoaleatoare acest modul îşi schimbă algoritmul de codificare la fiecare infectare a unui fişier, modificînd modulul de decodificare. Ca urmare, nu există o secvenţă comună mai mare de cîţiva octeţi între două contaminări succesive.

In forma cea mai generala virusii se impart in:

• Virusi hardware

• Virusi software

Virusii hardware sunt mai rar intalniti,acestia fiind de regula, livrati o data cu echipamentul,ei fiind virusi care afecteaza hard-discul,floppy-discul si memoria. Majoritatea sunt virusi software,creati de specialisti in informatica foarte abili si buni cunoscatoari ai sistemelor de calcul,in special al modului cum lucreaza software-ul de baza si cel aplicativ.

Cateva dintre efectele pe care le genereaza virusii software:

a) distrugerea unor fişiere;

b) modificarea dimensiunii fişierelor;

c) ştergerea totala a informaţilor de pe disc, inclusiv formatarea acestuia;

d) distrugerea tabelei de alocare a fişierelor, care duce la imposibilitatea citirii informaţiei de pe disc;

e) diverse efecte grafice/sonore inofensive;

f) încetinirea vitezei de lucru a calculatorului pana la bloc.

Viruşii mai pot fi clasificaţi după următoarele criterii:

După modul de infectare:

• viruşi care infectează fişierele cînd un program infectat este rulat;

• viruşi care rămîn rezidenţi în memorie cînd un program infectat este rulat şi infectează apoi toate programele lansate în execuţie

Din punct de vedere al capacitatii de multiplicare:

• Virusi care se reproduc,infecteaza si distrug;

• Virusi care nu se reproduc,dar se infiltreaza in sistem si provoaca distrugeri lente,fara sa lase urme(Worms).

In functie de tipul distrugerilor in sistem:

• Virusi care provoaca distrugerea programului in care sunt inclusi;

• Virusi care nu provoaca distrugeri,dar incomedeaza lucrul cu sistemul de calcul se manifesta prin incetinirea vitezei de lucru,blocarea tastaturii,reinitializarea aleatorie a sistemului, afisarea unor mesaje sau imagini nejustificate;

• Virusi cu mare putere de distrugere,care provoaca incideante pentru intreg sistemul, cum ar fi: distrugerea tabelei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina,alterarea integrala si irecuperabila a informatiei existente.

Dupa pozitia in cadrul fisierului infectat:

• viruşi care suprascriu fişierul, nemodificîndu-i lungimea (anumiţi viruşi suprascriu numai zonele rezervate datelor pentru a nu împiedica funcţionarea programului - aceştia se numesc viruşi de cavitate);

• viruşi care îşi adaugă codul la sfîrşitul programului;

• viruşi care îşi adaugă codul la începutul programului

După viteza de infectare:

• viruşi rapizi (fast infector), care infectează toate fişierele care sunt descrise (chiar prin scanare fişierele pot fi infectate);

• viruşi lenţi, care infectează numai programele care sunt lansate în execuţie.

Există viruşi "blindaţi", a căror dezasamblare este foarte dificilă, ca urmare sunt aproape imposibil de studiat

Primele programe antivirus puteau repera usor acesti invadatori. Creatorii de virusi au reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile sa infecteze un program,fara ca alterarea sa fie prea ostentativa.

Odata introdus pe disc,a doua faza a vietii unui virus este autoprogramarea. Virusii incearca sa infecteze cat mai multe programe,inainte de a ataca propriu-zis. Pentru a opera cat mai eficient, virusii isi lasa semnatura in fiecare program infectat,pentru a nu-l contamina inca o data. Pe acest principiu lucreaza si antivirusii,adica pe reperarea unei intruziuni. Ei analizeaza unitatiile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect major: virusul trebuie indentificat,deci tabela de senaturi trebuie permanent reactualizata.

In manualul de utilizare al MS-DOS,Microsoft imparte virusii in trei categorii:

• Virusi care infecteaza sistemul de boot

• Virusi care infecteaza fisierele

• Virusi Cal Troian