In functie de tipul distrugerilor in sistem se disting:
( Virusi care provoaca distrugerea programelor in care sunt inclusi
( Virusi care nu provoaca distrugeri, dar incomodeaza lucrul cu sistemul de calcul, se manifesta prin incetinirea vitezei de lucru, blocarea tastaturii, afisarea unor mesaje sau imagini nejustificate.
( Virusi cu mare putere de distrugere, care provoaca incidente pentru intreg sistemul, cum ar fi: distrugerea tablei de alocare a fisierelor de pe hard disk, modificarea continutului directorului radacina, alocarea integrala si irecuperabila a informatiei existente.
Primi virusi atacau programele gazda.De exemplu "Brain" care inlocuia numele volumului dischetei cu al sau, "Vendredi13" care crestea dimensiunea programelor cu 512octeti.
Primele programe antivirus puteau repera usor acesti invadatori. Creatori de virusi au reactionat insa prin adoptarea unor strategii mai performante si au dezvoltat proceduri capabile sa infecteze un program, fara ca alterarea sa fie prea ostentativa.
O data introdus pe disc, a doua faza a vieti unui virus este autoprogramarea. Virusi incearca sa infecteze cat mai multe programe, inainte de a ataca propriu-zis. Pentru a opera cat mai eficient virusi isi lasa semnatura in fiecare program infectat, pentru a nu-l contamina inca o data. Pe acest principiu lucreaza si antivirusi, adica pe reperarea unei intruziuni. Ei analizeaza unitatile de disc pentru a cauta semnaturile cunoscute. Aceasta tehnica prezinta insa un defect major: virusul trebuie identificat, deci tabela de semnaturi trebuie sa fie reactualizata.
Virusii au forme de manifestare cat se poate de diverse. Uni se multumesc sa afiseze mesaje depace sau sa cante o melodie. Altii perturba lucrul utilizatorului, insa fara consecinte prea dramatice. De exemplu "KeyPress" duce la aparitia pe ecran a sirului "AAAAA", daca se apasa tasta "A". Cei mai neplacuti virusi sunt cei care sunt programati pentru distrugerea datelor: stergeri, formatari per disc, bruiaj de informatii, modificari in bazele de date, etc.
Uneori virusi atacau dupa o lunga perioada de somnolenta. De exemplu "Golden Gate" nu devine agresiv decat dupa ce a infectat 500 de programe, "Cyber Techb" nu a actionat decat pana in 1993.
In manualul de utilizare al MS-DOS, Microsoft imparte virusi in trei categorii:
( Virusi care infecteaza sistemul de boot
( Virusi care infecteaza fisierele
( Virusi Cal Troian
Totusi o clasificare mai amanuntita a virusilor ar arata astfel:
( Armmati - o forma mai recenta de virusi, care contin proceduri ce implica dezasamblarea si analiza de catre un antivirus, editorii fiind nevoiti sa-si dubleze eforturile pentru a dezvolta antidotul ex.: "Whale".
( Autoecriptori - inglobeaza in corpul lor metode de criptare sofisticare facand detectita destul de dificila. Din fericire, pot fi descoperiti prin faptul ca incorporeaza o rutina de decriptare ex.: "Cascade".
( Camarazii - sunt avantajati de o particularitate a DOS-ului, care executa programele .com inaintea celor .exe. Fisierul original nu se modifica si poate trece de testul antivirusilor avansati. O data lansat fisierul respectiv, ceea ce se executa nu este fisierul .com, ci fisierul .exe infectat. Acest lucru determina propagarea virusilor si la alte aplicatii.
( Furisati (stealth) - acesti virusi isi mascheaza prezenta prin deturnarea intreruperilor DOS. Astfel, comanda dir nu permite observarea faptului ca dimensiunea unui fisier executabil a crescut, deci este infectat. Exemplu: "512", "Atheus", "Brain", "Damage", "Gremlin", "Holocaust" si "Telecom".
( Infectie multipla - cu cativa ani in urma virusi erau repartizati in doua grupuri bine separate: cei care infectau programele si cei care operau asupra sectorului de boot si a tabelelor de partitii.
( Poliformi - sunt cei mai sofisticati virusi dintre cei intalniti pana acum. Un "motor" de mutatii permite transformarea lor in mii de variante de cod diferite. Exemplu: "Andre", "Cheeba", "Dark Avenger", "Phoenix 2000", "Maltese Fish" etc.
( Virusi ai sectorului de boot ai tabelelor de partitii - ei infecteaza si/sau cealalta dintre aceste zone critice ale dischetei sau hard disk -ului. Infectarea sectorului de boot este periculoasa, deoarece la pornirea calculatorului codul special MBP (Master Boot Program) de per discheta de executie inainte de DOS. Daca acolo este present un virus, s-ar putea sa nu fie reperabil. Tabelele de partitii contin informatii despre organizarea structurii discului, ele ne putand fi contaminate ci doar stricate. Majoritatea antivirusilor actuali pot detecta o infectie in MBP, propunand in general suprimarea MBP-ului si inlocuirea lui cu oforma sanatoasa. Exemplu: "Alameda", "Asthar", "Bloodie", "Cannabis", "Choos".
Modul de infectare
Mecanismul de contaminare clasic consta in ramanerea rezistenta in memoria interna a secventei purtatoare a virusului, ascunsa intr-un program care se executa. Programul modificat prin actiunea virusului cu de virus incorporata, este salvat pe discul care a fost lansat, constituind la randul sau un nou purtator de virus. Virusarea este relativ rapida, avand ca efect infectarea tuturor programelor lansate in executie, atat timp cat virusul este rezident in memoria interna.
O tehnica mai evoluata de contaminare conta in introducerea secventei de program ce contine virusul, in urma procesului de instalare a unui produs; in momentul instalari produsului, acestuia I se adauga instructiuni intr-o secventa ce defineste un cod de virus.
Cele mai vulnerabile fisiere sunt fisierele executabile de tip .exe si .com, deoarece acestea contin programele in forma executabila, care se incarca in memoria interna pentru executie, unde se localizeaza, initial virusul; deasemenea, pentru a patrunde in zonele protejate ale sistemului, virusul are nevoie de drepturi de acces per care nu le are, in timp ce programul per care s-a implantat ii mai gireaza aceste drepturi, fara ca utilizatorul sa aiba cunostinta de acest lucru.
Mod de protectie. Programe antivirus.
O data ajuns in calculator, pentru a-si indeplini in mod efficient scopul, virusul actioneaza in doua etape. In prima faza de multiplicare, virusul se reproduce marind astfel potentialul pentru infectari ulterioare, din exterior nu se observa nici o activitate. O parte a codului de virus testeaza constant daca au fost indeplinite conditiile de declansare (rularea de un numar de ori a unui program, atingerea unei anumite date de catre ceasul sistemului vineri 13 sau 1 aprilie sunt alegeri obisnuite, etc.).
Urmatoarea faza este cea activa, usor de recunoscut dupa actiunile sale tipice: modificarea imaginii de per ecran, stergerea unor fisiere sau chiar reformarea hard disk-ului.
Per langa fisierele executabile sunt atacate si datele de baza. Desi virusii au nevoie de o gazda pentru a putea supravietui, modul de coexistenta cu ea este diferit de la un virus la altul. Exista virusi paraziti care nu alerteaza codul gazdei, ci doar se ataseaza.
