Virusii de
calculator au produs pana in prezent pagube de ordinul zecilor miliarde de euro
dar, in acelas timp, au dus la perfectionarea programelor software si antivirus
din intreaga lume. Aparitia lor a fost semnalata cu 18 ani in urma, iar
EVOLUTIA VIRUSILOR COINCIDE CU INSASI DEZVOLTAREA INDUSTRIEI SOFTWARE .
CE ESTE UN VIRUS ?
Un virus de calculator este un
program proiectat sa se replice si sa se imprastie, infectand cat mai multe
calculatoare, fara ca utilizatori sa realizeze acest lucru . Virusi se
imprastie atasandu-se de alte programe, fisiere de tipul EXE sau COM, documente
WORD, EXCEL, chiar si HLP sau care pot sa infecteze sectorul de boot al
discului. Cand se lanseaza in executie un fisier infectat sau cand porneste
calculatorul de pe un disc sau o discheta virusata, se lanseaza si virusul in
executie . Adesea,
virusul ramane rezident in menoria calculatorului, pentru a putea infecta
urmatorul program lansat in executie sau urmatoarea discheta accesata .
Virusii periculosi au abilitatea de a
executa actiuni in calculator . In timp ce unele din aceste actiuni sunt doar
deranjante (cum ar fi afisarea unui mesaj la o anumita data sau ca raspuns la o
anumita actiune a utilizatorului calculatorului), exista virusi care pot
distruge fisiere de date, documnete sau chiar CALCULATORUL .
VIRUSI IN FAZA INCIPIENTA
Totul a
inceput in 1986 . Atunci a avut loc prima atestare a unui virus . Doi
frati pakistanezi, Basit si Amjad, au constatat ca sectorul boot al unei
dischete contine un cod executabil si ca acesta este rulat de fiecare data cand
se porneste calculatorul utilizand o discheta in drive-ul A . Ei au observat ca
pot inlocui acest cod cu un program propriu, care poate fi un program rezident
in memorie si care poate instala o copie a lui pe orice discheta ce este
accesata in orice ‘drive’.
Au nimit acest program virus . Inceputul era modest,
deoarece virusul infecta doar dischetele de 360 kB . In 1987, programatorii de
la Universitatea din Delaware au constatat ca au acest virus cand au vazut
eticheta ‘c Brain’ pe o discheta . Tot ce facea el era sa se autocopie si
punea o eticheta de volum pe discheta.
In anul 1986,
un programator pe nume Ralf Burger a ajuns la concluzia ca un fisier putea fi
conceput astfel incat sa se copie pe el insusi, prin atasarea unei copii a lui
la un alt fisier . El a scris o demonstratie a acestui efect, pe care a numit-o
VIRDEM (Virus Demonstration) si a distribuit-o la conferinta pe tema virusilor
Chaos Computer Club, in luna decembrie a acelui an . VIRDEM ar fi infestat
orice fisier COM . Din nou pagubele erau destu de nesemnificative . Acest fapt
a atras totusi atata interes, incat Ralf Burger a fost rugat sa scrie o carte .
In aceeasi
perioada, cineva a inceput sa raspandeasca un virus in Viena . Franz Swoboda a
fost primul care a remarcat faptul ca acest virus era raspandit printr-un
program numit Charlie si s-a facut multa publicitate in jurul acestei
descoperiri . Ralf Burger a obtinut o copie a acestui virus si i-a dat-o unui
prieten, Berdt Fix, care l-a dezansamblat (a fost pentru prima oara cand cineva
a dezansamblat un virus) . Burger a inclus aceasta dezansamblare in cartea sa,
dupa ce a scos cateva parti, pentru a face virusul mai putin periculos si
pentru a diminua pagubele pe care le producea . Efectul unui virus de tipul
celui din Viena este de a determina un fisier din opt sa rebooteze calculatorul
(virusul copiaza primi cinci octeti de cod) ; Burger (poate Fix) a
inlocuit acest cod de rebootare cu cinci spatii . Efectul era ca fisierele
copiate bloca calculatorul, in loc sa-l rebooteze .
In 1987, la
Universitatea din Lehigh, Ken van Wyk a realizat un virus cunoscut sub numele
de Lehigh . Acesta a fost un model extrem de nereusit - nu era prevazut sa se raspandeasca in afara
universitatii, pentru ca infecta doar COMMAND.COM si crea multe pagube gazdei,
dupa numai patru reproduceri .
In aceasta
perioada, la Tel Aviv, un alt programator facea experiente . Primul sau virus a
fost numit Suriv-01(cuvantul virus scris invers) . Era un virus rezident in
memorie , ce putea sa infecteze orice fisier COM – o strategie de infectare
mult mai buna decat strategiile utilizate de virusul vienez, caci ducea la
infectarea tuturor fisierelor de pe toate ‘ drive-urile’ si din toate
directoarele . Cel de-al doilea virus al sau Suriv-02 infecta doar fisierele
EXE, dar a fost primul de acest fel din lume . Cea de-a treia incercare
Suriv-03, un virus ce ataca atat fisierele EXE, cat si cele COM . A patra
incercare a sa s-a raspandit in intreaga lume si s-a numit Jerusalem . In
fiecare vineri 13, in loc sa infecteze fisierele care rulau, acesta le stergea
.
Tot in acea
vreme, un student de la Universitatea din Wellington, Noua Zeelanda, a gasit o
cale foarte simpla de a crea un virus foarte eficient . O singura data din opt,
cand se booteaza de pe o discheta
infectata, virusul se declanseaza si pe monitor aparea mesajul ‘PC-ul tau este
acum impietrit’ de unde si numele virusului (STRONED). Virusul in sine avea
dimensiuni de cateva sute de octeti, dar din cauza reproducerii rezidente in
memorie a devenit cel mai raspandit vius din lumea intreaga . Virusul original
se numeste scum Stoned.Standard.A , fiind si astazi in topul celor mai
raspanditi virusi .
In Italia, la
Universitatea din Torino, un programator a scris si el un virus de sector boot
. Daca discul era
accesat, din jumatate in jumatate de ora virusul iti afisa o minge miscatoare
pe ecran (bouncing ball) . Virusul avea un defect major – nu putea sa ruleze
doar pe calculatoarele 8086 sau 8088, pentru ca folosea o instructiune care nu
functiona pe chipuri mai complexe .
Tot in anul 1987, un programator german a
scris un virus foarte destept numit – Cascade (dupa literele cazatoare pe care
le afisa) . Cea mai mare parte a virusului era encriptata, lasand doar o mica
parte necodata, curata, pentru a putea decoda restul cu ea . Rostul
acestui mecanism nu a fost destul de clar, dar in mod cert ingreuna recuperarea
fisierelor infectate si reducea obtiunile de alegere a sirului de cautare doar
la primi cativa octeti . Cascade trebuia sa verifice si Bios-ul, si daca ar fi
gasit un copyright IBM ar fi stopat procesul de infectare . Aceasta parte a
codului nu a functionat . Autorul a emis la putin timp dupa aceea o noua
versiune a virusului, de 1074 octeti in loc de 1701, cu scopul de a corecta
aceasta greseala . Dar si noua versiune avea o scapare : nu era in stare
sa detecteze Bios-urile IBM .
Dintre acesti
virusi timpurii doar Stonsd , Cascade si Jerusalem au rezistat pana in zilele
noastre .
COMERT
ANTIVIRUS
1988 este anul
in care au aparut primi comercianti de antivirus, pe care le vindeau la preturi
foarte reduse (5-10 USD) . Unele firme au incercat, ocazional, sa se
propulseze, dar nimeni nu platea bani seriosi pentru o potentiala
problema . Astfel, s-a dat o sansa virusilor Stoned, Cascade si Jerusalem de a
se raspandi, fara a fi descoperiti .
Totusi, compania
IBM a decis ca trebuie sa ia in serios virusii, dupa ce a avut parte de o
epidemie de virusi de tip Cascade la Lehulpe si s-a gasit in situatia neplacuta
de a-si anunta clientii ca s-ar putea sa fi fost infectati . De fapt, nu a fost o problema foarte serioasa dar, din acel
moment, IBM a luat problema in seros si, drept rezultat, la High Integrity Computing
Laboratory din Yorktown s-a decis sa se inceapa cercetarile in acest domeniu .
La sfarsitul lui 1988 au avut loc
aproape simultan mai multe evenimente : o epidemie mare de Jerusalem
intr-o institutie financiara ; al doilea – o firma britanica numita
S&S a tinut primul seminar pe tema virusilor, seminar care a explicat in
premiera ce este un virus si cum lucreaza el ; al treilea – a avut loc epidemia de ‘Vineri 13’ . Un lucru era
clar pentru toti : instituti financiare, grupurile academice si persoanele
fizice ar putea cu usurinta sa faca fata unei epidemii, daca ar avea uneltele
necesare . Tot ce trebuia era un detector eficient de virusi, care nu era insa
disponibil . Ca atare, a fost crea primul Anti Virus Toolkint .
REVOLUTIA
VIRUSILOR
In 1989, un scotian a contactat
cercetatori din Anglia si le-a comunicat ca a gasit un virus in hard disk-ul
sau . El a mentionat ca se numeste Datacrime si ca era ingrijorat ca se va
declansa din nou pe data de 13 luna viitoare . Cand virusul a fost
dezansamblat, s-a constataca ca in orice zi dupa octombrie el declansa o
formatare low level a cilindrului zero de pe hard disk, care determina pe cele
mai multe hard diskuri eliminarea tabelei de alocare a fisierelor si lasa
utilizatorl fara date . In acelasi timp, afisa numele virusului Datacrime. A
fost publicata o analiza a efectelor virusului dar s-a constataca ca era vorba,
de fapt, de un alt virus, nerezident in memorie . In America oameni au inceput
sa-l numeasca ‘Columbus Day Virus ‘ (12 octombrie) si s-a sugerat ca a fost
scris de un terorist norvegian, suparat de faptul ca nu Eric cel Rosu a adescoperit America, ci Columb. Singurul
leac pentru a elimina Datacrime era de a rula un detector .
In luna iulie,
companiile scotiene au inceput sa intrebe IBM daca virusii sut o amenintare
serioasa . Datacrime nu exista poate, dar exista posibilitatea ca o firma sa se
infecteza cu Jerusalem, Cascade sau Stoned . ‘Ce face IBM-ul impotriva acestei
amenintari ?’ , au intrebat ei .IBM detinea un program antivirus, insa era
folosit doar pentru uz intern . IBM avea o dilema :daca nu oferea acest
software clientilor si daca pe 13 octombrie o serie de calculatoare ar fi
cazut, reputatia sa avea de suferit . In septembrie 1989, IBM a scos pe piata
impreuna cu o scrisoare prin care ei explicau clientilor despre ce era vorba . 13
octombrie a cazut intr-o vineri, asa ca a fost un eveniment dub – Jerusalem si
Datacrime . In SUA, Datacrime a fost exagerat si confundat cu unul care nu este
atat de periculos ca acesta . In Londra, Royal National Institute for the Blind
a anuntat ca a avut un atac si ca a pierdut o multine de date importante de
cercetare, reprezentand luni intregi de munca . Acest eveniment a fost
investigat si se inregistrase intradevar o mica eruptie de Jerusalem si cateva
fisiere usor de inlocuit au fost sterse .
DUPA 1990
Mark Washburn a analizat in 1990
virusul Viena si a creat pe baza lui primul virus polimorf . Ideea virusilor
sai (numiti 1260, V2P1,V2P2,V2P6) era ca intreg virusul era criptat si ca
exista un descriptor la inceputul sau . Dar descriptorul putea sa aiba o gama
larga de forme si, in primi virusi, cel mai lung sir de cautare posibil era
doar de doi octeti (V2P6 a caborat acest prag pana la octet ) . Pentru a
detecta acest virus, era nevoie de scrierea unui algoritm care ar fi aplicat
teste logice fisierului si ar fi decis daca octetii la care se uita erau unii
dintre posibilii descriptori .
Au aparut virusii
Dark Avenger care au introdus doua idei noi . Prima idee era acea
de ‘infector rapid’ . In cazul acestora daca virusul era in memorie,
atunci simpla deschidere a unui fisier pentru citire ducea la infectare . Hard
disk-ul este infectat foarte repede . Cea de-a doua idee noua in acest virus a
fost cea a efectelor sale subite : DarkAvenger . 1800 suprascrie ocazional
un sector de pe hard disk . Daca nu se observa acest lucru intr-o anumita
perioanda de timp, se face un back-up al fisierelor corupte si, cand este
refacut back-up-ul, datele sunt de nefolosit .
La sfarsitul
anului 1990, cercetatorii antivirus au ajuns la concluzia ca trebuie sa fie
mult mai organizati, asadar a luat nastere in Hamburg EICAR (European Institute
for Computer Antivirus Research), in decembrie 1990 . La vremea cand a fost
creat EICAR existau aproximativ 150 de virusi . In 1991 problema virusilor a atras marilor
companii : Symantec a lansat Norton Anti Virus in decembrie 1990, iar
Central Point a lansat CPAV in aprilie
1991 . Acesta a fost repede urmat de XTree, Fifth Generation si altii . In
decebrie 1990 erau aproximativ 200-300 de virusi ; in decembrie 1991 erau 1000.
In zilele noastre apar zilnic aproximativ 100 de virusi, deci milioane pe an .
din 2-3 milioane pe an doar 2-3 virusi pot face probleme serioase in lume . De cand
au aparut virusii companiile au pierdut
miliarde de dolari . In 2001 pierderi
de 12 miliarde , in 2002 pierderi de 25 de miliarde iar in 2003 – 55 miliarde .
Pe 2004 se estimeaza o suma de 100 miliarde . In prezent cel mai titrate si
cele mai bune antivirusuri sunt Norton Antivirus si Bit Defender .
