Virusul este definit ca un software cu doua caracteristici principale:
- Se auto-executa. Virusul se poate atasa altor programe sau se poate ascunde in codul care ruleaza automat la deschiderea anumitor tipuri de fisiere.
- Se auto-multiplica. Acest lucru este posibil prin atasarea virusului la alte programe din computer sau prin suprascrierea acestora. Virusul se auto-raspandeste cu ajutorul floppy disk-urilor sau a oricarei alte forme de schimb de date, nu numai in statia de lucru, dar si in intreaga retea. Ulterior, este activat impreuna cu partea infectata...
Tinand cont de tinta infectarii, virusii pot fi clasificati in cateva categorii. Unii virusi pot avea mai multe tinte. Acestia sunt denumiti multipartiti.
Virusii paraziti:
- afecteaza fisierele executabile. Virusul este lansat cand fisierul executabil este pornit.
Virusii paraziti pot fi:
- Virusi rezidenti in memorie, care pot controla intregul sistem si il pot infecta oricand
- Virusi non-rezidenti, care sunt activati numai la pornirea aplicatiei-gazda.
Intrucat acesti virusi infecteaza fisiere executabile, se pot raspandi prin intermediul oricarui mediu de stocare sau de transfer a datelor: floppy disk-uri, CD-uri, modemuri, retele. Virusii se raspandesc odata cu executarea fisierului-gazda.
Virusii de boot:
Afecteaza fisierele executabile. Virusul este lansat cand fisierul executabil este pornit. Virusii paraziti pot fi:- Virusi rezidenti in memorie, care pot controla intregul sistem si il pot infecta oricand - Virusi non-rezidenti, care sunt activati numai la pornirea aplicatiei-gazda. Intrucat acesti virusi infecteaza fisiere executabile, se pot raspandi prin intermediul oricarui mediu de stocare sau de transfer a datelor: floppy disk-uri, CD-uri, modemuri, retele. Virusii se raspandesc odata cu executarea fisierului-gazda. infecteaza sectorul de sistem a discurilor, sectorul de boot din floppy disk-uri si hard disk-uri. Singura modalitate de replicare a acestor virusi este pornirea sistemului de pe discul infectat. Accesarea sau copierea informatiilor de pe discurile infectate nu sunt operatii riscante atata vreme cat sistemul nu este pornit de pe discul infectat.
Virusii de boot rezida intotdeauna in memorie. Desi majoritatea sunt creati pentru DOS, nu tin cont de sistemul de operare, astfel ca, de fapt, toate computerele sunt vulnerabile in fata acestui tip de virus.
Virusii de Master boot:
sunt rezidenti in memorie, ca si virusii de boot, dar sunt localizati in sectorul master boot. Acesti virusi vor salva in alta locatie o copie curata a sectorului master boot.
Virusii de Macro-uri:
sunt plasati intr-unul sau mai multe macro-uri dintr-un document Microsoft Office si utilizeaza funcionalitatile puternice ale Visual Basic for Applications, care a fost creat pentru a permite utilizatorilor sa automatizeze anumite activitati.
Virusii de link-uri:
Nu altereaza fisierele executabile, ci structura de directoare, redirectionand calea directorului unui fisier infectat catre zona in care este localizat virusul. Dupa lansare, virusul poate incarca fisierul executabil, citind calea corecta a directorului fisierului respectiv.
Virusii-pereche:
creeaza un fisier executabil nou, cu acelasi nume, dar cu extensia .COM. Daca intalneste doua fisiere executabile cu acelasi nume, dar cu extensii diferite (.COM and .EXE), sistemul de operare Windows lanseaza intai fisierul .COM.
Virusii ascunsi:
rezida intotdeauna in memorie si incearca sa "pacaleasca" sistemul, ascunzandu-si existenta. Virusii ascunsi se multiplica si se comporta astfel incat sa preia controlul asupra datelor si continutului programelor, fara stiinta utilizatorilor sau a programelor anti-virus. Cand sistemul de operare (de exemplu prin comanda DIR) incearca sa afle dimensiunea unui program infectat, virusul ascuns scade o parte din aceste date, egala cu dimensiunea propriului cod, si o inlocuieste cu datele corecte. Astfel, daca programul este doar citit (de un scanner de virusi), dar nu este rulat, codul viral este ascuns si nu poate fi detectat.
Virusii criptati:
folosesc o tehnica de modificare a propriului cod viral, astfel incat programele anti-virus sa nu-i depisteze. Virusul se auto-converteste in semne criptate, pe care programul anti-virus nu le poate recunoaste. Totusi, pentru a putea sa se raspandeasca, acesti virusi trebuie sa se auto-decripteze si, astfel, pot fi detectati.
Virusi specifici:
- Virusul de ActiveX este scris pentru a infecta produsele Microsoft. Utilizeaza un cod incarcat de pe server si se raspandeste in statia locala. Virusul tinteste numai sistemele de operare Microsoft Windows si foloseste Microsoft Internet Explorer pentru a se raspandi.
- Virusul VB script foloseste Visual Basic pentru a aduce codul de pe serverul de Web si a se raspandi in statiile de lucru locale. E suficient sa accesati o pagina de pe Internet pentru a va infecta computerul. In orice caz, virusul de acest tip are nevoie de Microsoft Internet Explorer.
- Virusii de Java: comparative cu Applet-urile Java, folosite in special pentru animatie si control, programele Java pot efectua operatii riscante din punct de vedere al securitatii (ca scrierea pe hard-disk). Au aparut deja atacuri de virusi prin intermediul applet-urilor, dar cei din a doua categorie sunt mult mai periculosi.
ALTE TIPURI DE VIRUSI
Backdoor – tradus literalmente inseamna "poarta din spate". Mai precis, este un program care este capabil de a deschide un pasaj (mai bine zis o poarta), fara cunostinta noastra, prin care hackerul preia controlul computerului nostru. Multi virusi, imediat ce infecteaza computerul, instaleaza un backdoor pentru a permite auorului virusului de a prelua controlul computerului nostru si de a accesa informatii importante private. Unul dintre cei mai cunoscuti backdoor este Subseven, troian excelent Made in Romania!
Buffer Overflow – este o tehnica de atac a unui server ce are ca scop blocarea acesuia. In practica un program este realizat astfel incat este capabil sa primeasca stringuri de date de o anumita lungime, dar atacatorul trimite respectivului server pe care ruleaza programul stringuri de date de lungime mai mare decat cea permisa, programul nereusind in timp util sa proceseze respectivele informatii. Datele in exces sunt scrise astfel in variabilele interne ale programului. Astfel programul incepe sa dea rezultate eronate pana cand se ajunge la blocarea serverului.
Sniffing – Aceasta tehnica consta in interceptarea datelor ce sunt transferate intr-o retea precum si eventuala decodificare a acestora in vederea obtinerii de informatii confidentiale (parole, numere de carti de credit). Sniffingul este o operatiune delicata, deoarece atacatorul trebuie sa se gaseasca in interiorul respectivei retele pentru a putea captura datele in tranzit. Pentru a va putea proteja de sniffing e recomandata folosirea criptografiei (canale VPN, SSL).
DoS – Denil of Service este un atac specific doar serverelor ce gazduiesc siteuri Web sau FTP. Atacul consta in trimiterea de mii de cereri de acces in acelas timp, pana cand siteul sau serverul FTP cade. Este putin probabil ca voi puteti fi tinta unui asfel de atac, insa fara sa stiti puteti participa la un astfel de atac daca sunteti infectat cu vreun troian.
Exploit – Nici un sistem de operare sau program nu este perfect. Plecand de la acest principiu atacatorul foloseste erorile de programare ale unui program, penru a prelua controlul computerului tinta. Acesta este motivul pentru care Miscrosoft pune la dispozitia utilizatorilor updateuri ale programelor sale. Cele mai periculoase exploituri sunt cele care nu sunt dezvaluite publicului, fiind cunoscute doar de membril respectivului grup de hackeri care le-au descoperit.
Keylogger – Un keylogger este un program capabil de a inregistra tot ceea ce scriem de la tastatura si chiar de a face screenshots (capura de ecran) in anumite conditii. Odata strans un anumit volum de informatii, acestea vin trimise fara cunostinta utilizatorului, autorului keyloggerului. In acest mod atacaorul poate afla informatii precum username/password de la diverse siteuri, numere de carti de credit ... Keyloggerul vine instalat in urma instalarii unui virus sau a unui troian, sau chiar in urma instalarii unui program oficial, descarcat insa dintr-o sursa nesigura. Va recomand deci descarcarea programelor de pe siteurile oficiale ale acestora.
Port-scanning – Toate computerele dispun de 65.535 porturi, care sunt de fapt puncte de acces cu exteriorul, ce pot fi utilizate pentru diverse tipuri de comunicare. Tehnica port-scanning consta in verificarea porturilor pentru a vedea care dintre acestea sunt deschise. Raspunsurile posibile sunt: accepted inseamna ca portul e deschis; denied inseamna ca portul e inchis, dropped indica lipsa unui raspuns, filtered indica prezenta unui filtru care impiedica pasagiul. Atacatorii folosesc aceasta metoda pentru a vedea care porturi sunt deschise, si odata descoperit un port deschis, se va incerca in atac pe respctivul port in vederea preluarii controlului computerului. Programele firewall recente au o functie care impiedica port-scanningul, ingreunand viata potentialilor atacatori.
Trojan Horse – Sunt programe periculoase care se ascund in interiorul altor programe pentru a trece neobservate in momentul instalarii. Odata instalat un astfel de troian, permite celui care l-a creat de a controla computerul victima. Suntem noi cei care instalam asfel de programe fara sa stim. Vin in special intr-un mesaj email sub forma unui colegament, sau sunt ascunsi in programe normale descarcate din locuri nesigure.
- Se auto-executa. Virusul se poate atasa altor programe sau se poate ascunde in codul care ruleaza automat la deschiderea anumitor tipuri de fisiere.
- Se auto-multiplica. Acest lucru este posibil prin atasarea virusului la alte programe din computer sau prin suprascrierea acestora. Virusul se auto-raspandeste cu ajutorul floppy disk-urilor sau a oricarei alte forme de schimb de date, nu numai in statia de lucru, dar si in intreaga retea. Ulterior, este activat impreuna cu partea infectata...
Tinand cont de tinta infectarii, virusii pot fi clasificati in cateva categorii. Unii virusi pot avea mai multe tinte. Acestia sunt denumiti multipartiti.
Virusii paraziti:
- afecteaza fisierele executabile. Virusul este lansat cand fisierul executabil este pornit.
Virusii paraziti pot fi:
- Virusi rezidenti in memorie, care pot controla intregul sistem si il pot infecta oricand
- Virusi non-rezidenti, care sunt activati numai la pornirea aplicatiei-gazda.
Intrucat acesti virusi infecteaza fisiere executabile, se pot raspandi prin intermediul oricarui mediu de stocare sau de transfer a datelor: floppy disk-uri, CD-uri, modemuri, retele. Virusii se raspandesc odata cu executarea fisierului-gazda.
Virusii de boot:
Afecteaza fisierele executabile. Virusul este lansat cand fisierul executabil este pornit. Virusii paraziti pot fi:- Virusi rezidenti in memorie, care pot controla intregul sistem si il pot infecta oricand - Virusi non-rezidenti, care sunt activati numai la pornirea aplicatiei-gazda. Intrucat acesti virusi infecteaza fisiere executabile, se pot raspandi prin intermediul oricarui mediu de stocare sau de transfer a datelor: floppy disk-uri, CD-uri, modemuri, retele. Virusii se raspandesc odata cu executarea fisierului-gazda. infecteaza sectorul de sistem a discurilor, sectorul de boot din floppy disk-uri si hard disk-uri. Singura modalitate de replicare a acestor virusi este pornirea sistemului de pe discul infectat. Accesarea sau copierea informatiilor de pe discurile infectate nu sunt operatii riscante atata vreme cat sistemul nu este pornit de pe discul infectat.
Virusii de boot rezida intotdeauna in memorie. Desi majoritatea sunt creati pentru DOS, nu tin cont de sistemul de operare, astfel ca, de fapt, toate computerele sunt vulnerabile in fata acestui tip de virus.
Virusii de Master boot:
sunt rezidenti in memorie, ca si virusii de boot, dar sunt localizati in sectorul master boot. Acesti virusi vor salva in alta locatie o copie curata a sectorului master boot.
Virusii de Macro-uri:
sunt plasati intr-unul sau mai multe macro-uri dintr-un document Microsoft Office si utilizeaza funcionalitatile puternice ale Visual Basic for Applications, care a fost creat pentru a permite utilizatorilor sa automatizeze anumite activitati.
Virusii de link-uri:
Nu altereaza fisierele executabile, ci structura de directoare, redirectionand calea directorului unui fisier infectat catre zona in care este localizat virusul. Dupa lansare, virusul poate incarca fisierul executabil, citind calea corecta a directorului fisierului respectiv.
Virusii-pereche:
creeaza un fisier executabil nou, cu acelasi nume, dar cu extensia .COM. Daca intalneste doua fisiere executabile cu acelasi nume, dar cu extensii diferite (.COM and .EXE), sistemul de operare Windows lanseaza intai fisierul .COM.
Virusii ascunsi:
rezida intotdeauna in memorie si incearca sa "pacaleasca" sistemul, ascunzandu-si existenta. Virusii ascunsi se multiplica si se comporta astfel incat sa preia controlul asupra datelor si continutului programelor, fara stiinta utilizatorilor sau a programelor anti-virus. Cand sistemul de operare (de exemplu prin comanda DIR) incearca sa afle dimensiunea unui program infectat, virusul ascuns scade o parte din aceste date, egala cu dimensiunea propriului cod, si o inlocuieste cu datele corecte. Astfel, daca programul este doar citit (de un scanner de virusi), dar nu este rulat, codul viral este ascuns si nu poate fi detectat.
Virusii criptati:
folosesc o tehnica de modificare a propriului cod viral, astfel incat programele anti-virus sa nu-i depisteze. Virusul se auto-converteste in semne criptate, pe care programul anti-virus nu le poate recunoaste. Totusi, pentru a putea sa se raspandeasca, acesti virusi trebuie sa se auto-decripteze si, astfel, pot fi detectati.
Virusi specifici:
- Virusul de ActiveX este scris pentru a infecta produsele Microsoft. Utilizeaza un cod incarcat de pe server si se raspandeste in statia locala. Virusul tinteste numai sistemele de operare Microsoft Windows si foloseste Microsoft Internet Explorer pentru a se raspandi.
- Virusul VB script foloseste Visual Basic pentru a aduce codul de pe serverul de Web si a se raspandi in statiile de lucru locale. E suficient sa accesati o pagina de pe Internet pentru a va infecta computerul. In orice caz, virusul de acest tip are nevoie de Microsoft Internet Explorer.
- Virusii de Java: comparative cu Applet-urile Java, folosite in special pentru animatie si control, programele Java pot efectua operatii riscante din punct de vedere al securitatii (ca scrierea pe hard-disk). Au aparut deja atacuri de virusi prin intermediul applet-urilor, dar cei din a doua categorie sunt mult mai periculosi.
ALTE TIPURI DE VIRUSI
Backdoor – tradus literalmente inseamna "poarta din spate". Mai precis, este un program care este capabil de a deschide un pasaj (mai bine zis o poarta), fara cunostinta noastra, prin care hackerul preia controlul computerului nostru. Multi virusi, imediat ce infecteaza computerul, instaleaza un backdoor pentru a permite auorului virusului de a prelua controlul computerului nostru si de a accesa informatii importante private. Unul dintre cei mai cunoscuti backdoor este Subseven, troian excelent Made in Romania!
Buffer Overflow – este o tehnica de atac a unui server ce are ca scop blocarea acesuia. In practica un program este realizat astfel incat este capabil sa primeasca stringuri de date de o anumita lungime, dar atacatorul trimite respectivului server pe care ruleaza programul stringuri de date de lungime mai mare decat cea permisa, programul nereusind in timp util sa proceseze respectivele informatii. Datele in exces sunt scrise astfel in variabilele interne ale programului. Astfel programul incepe sa dea rezultate eronate pana cand se ajunge la blocarea serverului.
Sniffing – Aceasta tehnica consta in interceptarea datelor ce sunt transferate intr-o retea precum si eventuala decodificare a acestora in vederea obtinerii de informatii confidentiale (parole, numere de carti de credit). Sniffingul este o operatiune delicata, deoarece atacatorul trebuie sa se gaseasca in interiorul respectivei retele pentru a putea captura datele in tranzit. Pentru a va putea proteja de sniffing e recomandata folosirea criptografiei (canale VPN, SSL).
DoS – Denil of Service este un atac specific doar serverelor ce gazduiesc siteuri Web sau FTP. Atacul consta in trimiterea de mii de cereri de acces in acelas timp, pana cand siteul sau serverul FTP cade. Este putin probabil ca voi puteti fi tinta unui asfel de atac, insa fara sa stiti puteti participa la un astfel de atac daca sunteti infectat cu vreun troian.
Exploit – Nici un sistem de operare sau program nu este perfect. Plecand de la acest principiu atacatorul foloseste erorile de programare ale unui program, penru a prelua controlul computerului tinta. Acesta este motivul pentru care Miscrosoft pune la dispozitia utilizatorilor updateuri ale programelor sale. Cele mai periculoase exploituri sunt cele care nu sunt dezvaluite publicului, fiind cunoscute doar de membril respectivului grup de hackeri care le-au descoperit.
Keylogger – Un keylogger este un program capabil de a inregistra tot ceea ce scriem de la tastatura si chiar de a face screenshots (capura de ecran) in anumite conditii. Odata strans un anumit volum de informatii, acestea vin trimise fara cunostinta utilizatorului, autorului keyloggerului. In acest mod atacaorul poate afla informatii precum username/password de la diverse siteuri, numere de carti de credit ... Keyloggerul vine instalat in urma instalarii unui virus sau a unui troian, sau chiar in urma instalarii unui program oficial, descarcat insa dintr-o sursa nesigura. Va recomand deci descarcarea programelor de pe siteurile oficiale ale acestora.
Port-scanning – Toate computerele dispun de 65.535 porturi, care sunt de fapt puncte de acces cu exteriorul, ce pot fi utilizate pentru diverse tipuri de comunicare. Tehnica port-scanning consta in verificarea porturilor pentru a vedea care dintre acestea sunt deschise. Raspunsurile posibile sunt: accepted inseamna ca portul e deschis; denied inseamna ca portul e inchis, dropped indica lipsa unui raspuns, filtered indica prezenta unui filtru care impiedica pasagiul. Atacatorii folosesc aceasta metoda pentru a vedea care porturi sunt deschise, si odata descoperit un port deschis, se va incerca in atac pe respctivul port in vederea preluarii controlului computerului. Programele firewall recente au o functie care impiedica port-scanningul, ingreunand viata potentialilor atacatori.
Trojan Horse – Sunt programe periculoase care se ascund in interiorul altor programe pentru a trece neobservate in momentul instalarii. Odata instalat un astfel de troian, permite celui care l-a creat de a controla computerul victima. Suntem noi cei care instalam asfel de programe fara sa stim. Vin in special intr-un mesaj email sub forma unui colegament, sau sunt ascunsi in programe normale descarcate din locuri nesigure.
Comentarii
Trimiteți un comentariu