Virus



Clasificarea virusilor

In septembrie 1989 existau cam doua duzini de virusi. Fiecare dintre acestia avea variante: mici modificari in codul viral sau schimbarea mesajelor afisate. De exemplu, virusul 17Y4 difera de virusul 1704 doar cu un octet. In mai 1998 existau aproximativ 20.000 de virusi (zilnic apar 3 noi virusi).

Acestia se impart in doua mari categorii:

virusi de BOOT
virusi de fisiere

Exista si virusi cu caracteristicile ambelor categorii (si de BOOT si de fisiere), dar acestia sunt in numar foarte mic.

Virusii de BOOT au diferite reactii. Ei se incarca in memorie inaintea sistemului de operare, transfera continutul de BOOT in alt sector, amesteca datele. Infecteaza orice disc logic al hard discului si orice discheta care se introduce in unitatea de dischete. Tot in aceasta categorie intra si virusii care infecteaza tabela de partitii a hard discului. Gasindu-se in tabela de partitii, ei se incarca in memorie inaintea sectorului de BOOT.

Virusii de fisiere se fixeaza de regula pe fisierele cu extensia EXE sau COM. Cind programul infectat este rulat, virusul se activeaza raminind de cele mai multe ori rezident in memorie pentru a infecta orice program se va lansa in executie. Daca ar fi numai atit, ar fi simplu ! Din pacate virusii de fisiere sunt de mai multe tipuri. Pina acum am descris tipul "clasic".
Cei mai multi dintre virusii de fisiere actuali sunt poliformi (se mai numesc mutanti sau evolutivi). Ei sunt codificati, continind doar o mica parte - modulul de decodificare - necodificata. In momentul activarii virusului, modulul de decodificare intra in actiune si decodifica restul virusului. Corpul virusului mai contine - evident, veti zice - si un modul de codificare. Folosind un generator de numere pseudoaleatoare acest modul isi schimba algoritmul de codificare la fiecare infectare a unui fisier, modificind modulul de decodificare. Ca urmare, nu exista o secventa comuna mai mare de citiva octeti intre doua contaminari succesive.

Complicata e mintea si bogata imaginatia omului, veti gindi! Si nu ati aflat inca totul! Diabolicul bulgar care-si zice Dark Avenger (Razboinicul Intunecat) a realizat un program numit MutaTion Engine (MtE) care poate transforma orice virus "clasic" intr-un virus poliform.

Un tip aparte de virusi de fisiere il constituie virusii Stealth (de furisare). Acestia sunt capabili sa pacaleasca programele antivirus, simulind toate apelurile de sistem DOS care ar duce la detectarea lor si facindu-le sa intoarca acele informatii care s-ar obtine in lipsa atacului. Daca un virus Stealth este rezident in memorie, el va pacali un program antivirus care citeste un fisier infectat cu acest tip de virus, deoarece virusul isi ascunde propriul cod, aratind numai codul fisierului. Termenul Stealth provine de la aviatia "clandestina" a SUA care a reusit sa evite detectarea prin radar in Razboiul din Golf. Aceasta tehnica are o analogie biologica.